SlideShare a Scribd company logo

Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity

Mail.ru Group
Mail.ru Group

Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity

Education
1 of 17
Download to read offline
Мобилки, деньги, два фактора Дмитрий Евдокимов Директор исследовательского центра Digital Security #securitymeetup
© 2002—2015,Digital Security #whoami • Исследователь информационной безопасности в Digital Security • Редакторрубрики в журнале Xakep • Один из организаторов конференций DEFCON Russia и ZeroNights • Специализируюсь на поиске уязвимостейв бинарных приложениях без исходного кода • Анализ мобильных приложений для Android, iOS, WindowsPhone • Докладчик на конференцияхв Польше, Франции, Германии, ОАЭ, Мексики 2 Мобилки, деньги, два фактора
База Двухфакторнаяаутентификация (также известная как 2FA) представляет собой технологию, котораяобеспечивает идентификацию/аутентификацию пользователейс помощью комбинации двух различных компонентов. 3© 2002—2015,Digital Security Мобилки, деньги, два фактора 2FA и интернет сервисы: https://twofactorauth.org/ иhttp://www.dongleauth.info/
Банковская сфера Основные способы: • Таблица одноразовых ключей; • SMS; • Специальное мобильное приложение (RFC-4226); • Аппаратный генератор кодов подтверждения; • Биометрическая аутентификация. 4© 2002—2015,Digital Security Мобилки, деньги, два фактора
Основной расклад 5© 2002—2015,Digital Security Мобилки, деньги, два фактора ДБО, интернет-банкинг Мобильное банковское приложение1) Ввод логина и пароля 2) Ввод 2FA 2) Ввод 2FA
Атаки против SMS OTP 6© 2002—2015,Digital Security Мобилки, деньги, два фактора Перехват по сетиМобильное вредоносное ПО КлонированиеSIM карт
Чтение SMS мобильным вредоносным ПО 7© 2002—2015,Digital Security Мобилки, деньги, два фактора - Установкаприложения- Установкаприложения - Enterprise сертификат - LoadLibraryA+ GetProcAddress - Установкаприложения - Enterprise сертификат - Private API - Entitlementsbypass(0day) *Без root/jailbreak
Вредоносный код для iOS без JailBreak 8© 2002—2015,Digital Security Мобилки, деньги, два фактора Tories, LBTM, iSAM, InstaStock,CarrierIQ, FinaAndCall, Jekyll, FakeTor, WireLurker, Oneclickfraud, XcodeGhost,YiSpecter, …
Вредоносный код для WindowsPhone от HT 9© 2002—2015,Digital Security Мобилки, деньги, два фактора core-winphone/MornellaWp8/MornellaWp8/Events.h core-winphone/MornellaWp8/MornellaWp8/Conf.cpp core-winphone/MornellaWp8/MornellaWp8/SubAction.cpp Files: MornellaWp8/MornellaWp8/common_new/sms.h MornellaWp8/MornellaWp8/SmsMessage.h MornellaWp8/MornellaWp8/SendSms.h windowsSmsFilter.dll core-winphone/MornellaWp8/MornellaWp8/common_new/snapi.h
Новая модель разрешений в ОС Android 10© 2002—2015,Digital Security Мобилки, деньги, два фактора • Появилась с Android M (6.0, API level 23) • Запрос разрешений в run-time • Можно отзывать разрешения • Settings -> Apps -> app-name -> Permissions • Группы разрешений: • normal, dangerous, signature, signatureOrSystem, system, development, .. • Если target SDK < Android M, то все работает, как и раньше • Но может отзывать разрешения
Второй канал SMS для Android 11© 2002—2015,Digital Security Мобилки, деньги, два фактора Идея Collin Mulliner. Подробнее http://www.mulliner.org/blog/blosxom.cgi/2013/05/
Dual Identity (Dual Persona) for Mobile 12© 2002—2015,Digital Security Мобилки, деньги, два фактора • Одно физическое устройство – два и более логических устройств • Базируется на технологии виртуализации • Гипервизор Type-1 • Гипервизор Type-2 • Защищенный контейнер • Использование Virtual Desktop Infrastructure (VDI)
Превентивный способ 13© 2002—2015,Digital Security Мобилки, деньги, два фактора • Шифрование SMS • Отвечать не оригинальным OTP-сообщением • На пример: • Не защищает от вредоносного ПО, поднимающего привилегии в системе … Изменение Оригинальное Итоговое Без второй цифры 56732 5732 Заменить последнее значение 56732 56730 Только четные позиции 56732902 6392 Увеличенное на 1 56732 56733
А еще ... 14© 2002—2015,Digital Security Мобилки, деньги, два фактора
Человеческой фантазии нет предела! 15© 2002—2015,Digital Security Мобилки, деньги, два фактора
Итоги • SMS OTP уже не настольконадежен • ОС Android самая привлекательная для злоумышленников • Мобильные телефоны (сервисы) становятся все более привлекательнымицелями для злоумышленников 16© 2002—2015,Digital Security Мобилки, деньги, два фактора
d.evdokimov@dsec.ru @evdokimovds Digital Security в Москве: (495) 223-07-86 Digital Security в Санкт-Петербурге: (812) 703-15-47 Мобилки, деньги, два фактора Спасибо за внимание! Вопросы? 17© 2002—2015,Digital Security #securitymeetup

Recommended

Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Mail.ru Group
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Банковское обозрение
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Банковское обозрение
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
Банковское обозрение
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
Expolink
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
Positive Hack Days
 

Recommended

Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Security Meetup 22 октября. «Реверс-инжиниринг в Enterprise». Александр Секре...
Mail.ru Group
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IBЖизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
Банковское обозрение
 
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, SamsungБиометрические технологии и информационная безопасность. Александр Мец, Samsung
Биометрические технологии и информационная безопасность. Александр Мец, Samsung
Банковское обозрение
 
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Построение эффективной защиты от атак АPT на ключевых фронтах. Артем Синицын,...
Банковское обозрение
 
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...
Банковское обозрение
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транз...
Expolink
 
Эффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессыЭффективные и проблемные SOC-процессы
Эффективные и проблемные SOC-процессы
Positive Hack Days
 
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБС
ArtemAgeev
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
Digital Security
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
Positive Hack Days
 
CyberArk 21.10.2014
CyberArk 21.10.2014CyberArk 21.10.2014
CyberArk 21.10.2014
DialogueScience
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
LETA IT-company
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibs
journalrubezh
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
Expolink
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
Diana Frolova
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
Diana Frolova
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
Expolink
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
DialogueScience
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
Expolink
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
КРОК
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
КРОК
 
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
Expolink
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
Expolink
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Expolink
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписи
Alexander Kolybelnikov
 
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
Expolink
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Expolink
 

More Related Content

What's hot

«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
Mail.ru Group
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБС
ArtemAgeev
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
Digital Security
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
Alex Babenko
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
Positive Hack Days
 
CyberArk 21.10.2014
CyberArk 21.10.2014CyberArk 21.10.2014
CyberArk 21.10.2014
DialogueScience
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
Expolink
 
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
Expolink
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
Expolink
 

What's hot (20)

«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
«Идентификация, аутентификация, авторизация – встроенные функции приложений и...
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБС
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
SOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge acceptedSOC в большой корпоративной сети. Challenge accepted
SOC в большой корпоративной сети. Challenge accepted
 
CyberArk 21.10.2014
CyberArk 21.10.2014CyberArk 21.10.2014
CyberArk 21.10.2014
 
Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности» Продуктовая линейка компании «Код Безопасности»
Продуктовая линейка компании «Код Безопасности»
 
5 романченко ibs
5 романченко ibs5 романченко ibs
5 романченко ibs
 
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
НТБ. Евгений Архишин. "Система контроля привилегированных пользователей".
 
Astana r-vision20161028
Astana r-vision20161028Astana r-vision20161028
Astana r-vision20161028
 
Fortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасностиFortinet корпоративная фабрика безопасности
Fortinet корпоративная фабрика безопасности
 
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин. "Решение проблемы контроля привилегированных пользовате...
 
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
 
Консалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасностиКонсалтинг и аудит информационной безопасности
Консалтинг и аудит информационной безопасности
 
Решения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банковРешения КРОК по обеспечению информационной безопасности банков
Решения КРОК по обеспечению информационной безопасности банков
 
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
НТБ. Евгений Архишин. "Проблемы контроля привилегированных пользователей и их...
 
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
НТБ. Евгений Архишин: "Решение проблемы контроля привилегированных пользовате...
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписи
 

Similar to Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity

SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
Expolink
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
 
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Expolink
 

Similar to Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity (20)

SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
SafeTech. Денис Калемберг "Интернет-банкинг. Как сделать работу клиента безоп...
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
 
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
Safe Tech. Денис Калемберг: "Интернет-банкинг. Как сделать работу клиента без...
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банкаДенис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
Денис Калемберг (Safe tech) - Делаем безопасность клиента прибыльной для банка
 
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
Gemalto ключевой компонент безопасной инфраструктуры microsoft 05122014
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Удобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID ActividУдобные и доступные решения строгой аутентификации HID Activid
Удобные и доступные решения строгой аутентификации HID Activid
 
Chishinau
ChishinauChishinau
Chishinau
 
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
Microsoft. Андрей Иванов "Защита от современных угроз с помощью Windows 10"
 
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
Microsoft. Андрей Иванов: "Windows 10 - защита от современных угроз безопасно...
 
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
Самочувствие malware на iOS устройствах / Дмитрий Евдокимов (Didital Security)
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
Дарья Налетова, BIFIT - Комплексная безопасность ДБО
Дарья Налетова, BIFIT - Комплексная безопасность ДБОДарья Налетова, BIFIT - Комплексная безопасность ДБО
Дарья Налетова, BIFIT - Комплексная безопасность ДБО
 
Case project
Case projectCase project
Case project
 
Mob sec
Mob secMob sec
Mob sec
 
Дмитрий Евдокимов
Дмитрий ЕвдокимовДмитрий Евдокимов
Дмитрий Евдокимов
 

More from Mail.ru Group

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Mail.ru Group
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга Свиридова
Mail.ru Group
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
Mail.ru Group
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
Mail.ru Group
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей Пешков
Mail.ru Group
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Mail.ru Group
 

More from Mail.ru Group (20)

Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
Автоматизация без тест-инженеров по автоматизации, Мария Терехина и Владислав...
 
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
BDD для фронтенда. Автоматизация тестирования с Cucumber, Cypress и Jenkins, ...
 
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир ДубровинДругая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
 
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
Использование Fiddler и Charles при тестировании фронтенда проекта pulse.mail...
 
Управление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон ВикторовУправление инцидентами в Почте Mail.ru, Антон Викторов
Управление инцидентами в Почте Mail.ru, Антон Викторов
 
DAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга СвиридоваDAST в CI/CD, Ольга Свиридова
DAST в CI/CD, Ольга Свиридова
 
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
Почему вам стоит использовать свой велосипед и почему не стоит Александр Бел...
 
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
CV в пайплайне распознавания ценников товаров: трюки и хитрости Николай Масл...
 
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidiaRAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
RAPIDS: ускоряем Pandas и scikit-learn на GPU Павел Клеменков, NVidia
 
WebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий ОстапенкоWebAuthn в реальной жизни, Анатолий Остапенко
WebAuthn в реальной жизни, Анатолий Остапенко
 
AMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей ПешковAMP для электронной почты, Сергей Пешков
AMP для электронной почты, Сергей Пешков
 
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила СтрелковКак мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
Как мы захотели TWA и сделали его без мобильных разработчиков, Данила Стрелков
 
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
Кейсы использования PWA для партнерских предложений в Delivery Club, Никита Б...
 
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.ТаксиМетапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
Метапрограммирование: строим конечный автомат, Сергей Федоров, Яндекс.Такси
 
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru GroupКак не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
Как не сделать врагами архитектуру и оптимизацию, Кирилл Березин, Mail.ru Group
 
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)Этика искусственного интеллекта, Александр Кармаев (AI Journey)
Этика искусственного интеллекта, Александр Кармаев (AI Journey)
 
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
Нейро-машинный перевод в вопросно-ответных системах, Федор Федоренко (AI Jour...
 
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
Конвергенция технологий как тренд развития искусственного интеллекта, Владими...
 
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
Обзор трендов рекомендательных систем от Пульса, Андрей Мурашев (AI Journey)
 
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
Мир глазами нейросетей, Данила Байгушев, Александр Сноркин ()
 

Security Meetup 22 октября. «Мобилки, деньги, два фактора». Дмитрий Евдокимов. DigitalSecurity

  • 1. Мобилки, деньги, два фактора Дмитрий Евдокимов Директор исследовательского центра Digital Security #securitymeetup
  • 2. © 2002—2015,Digital Security #whoami • Исследователь информационной безопасности в Digital Security • Редакторрубрики в журнале Xakep • Один из организаторов конференций DEFCON Russia и ZeroNights • Специализируюсь на поиске уязвимостейв бинарных приложениях без исходного кода • Анализ мобильных приложений для Android, iOS, WindowsPhone • Докладчик на конференцияхв Польше, Франции, Германии, ОАЭ, Мексики 2 Мобилки, деньги, два фактора
  • 3. База Двухфакторнаяаутентификация (также известная как 2FA) представляет собой технологию, котораяобеспечивает идентификацию/аутентификацию пользователейс помощью комбинации двух различных компонентов. 3© 2002—2015,Digital Security Мобилки, деньги, два фактора 2FA и интернет сервисы: https://twofactorauth.org/ иhttp://www.dongleauth.info/
  • 4. Банковская сфера Основные способы: • Таблица одноразовых ключей; • SMS; • Специальное мобильное приложение (RFC-4226); • Аппаратный генератор кодов подтверждения; • Биометрическая аутентификация. 4© 2002—2015,Digital Security Мобилки, деньги, два фактора
  • 5. Основной расклад 5© 2002—2015,Digital Security Мобилки, деньги, два фактора ДБО, интернет-банкинг Мобильное банковское приложение1) Ввод логина и пароля 2) Ввод 2FA 2) Ввод 2FA
  • 6. Атаки против SMS OTP 6© 2002—2015,Digital Security Мобилки, деньги, два фактора Перехват по сетиМобильное вредоносное ПО КлонированиеSIM карт
  • 7. Чтение SMS мобильным вредоносным ПО 7© 2002—2015,Digital Security Мобилки, деньги, два фактора - Установкаприложения- Установкаприложения - Enterprise сертификат - LoadLibraryA+ GetProcAddress - Установкаприложения - Enterprise сертификат - Private API - Entitlementsbypass(0day) *Без root/jailbreak
  • 8. Вредоносный код для iOS без JailBreak 8© 2002—2015,Digital Security Мобилки, деньги, два фактора Tories, LBTM, iSAM, InstaStock,CarrierIQ, FinaAndCall, Jekyll, FakeTor, WireLurker, Oneclickfraud, XcodeGhost,YiSpecter, …
  • 9. Вредоносный код для WindowsPhone от HT 9© 2002—2015,Digital Security Мобилки, деньги, два фактора core-winphone/MornellaWp8/MornellaWp8/Events.h core-winphone/MornellaWp8/MornellaWp8/Conf.cpp core-winphone/MornellaWp8/MornellaWp8/SubAction.cpp Files: MornellaWp8/MornellaWp8/common_new/sms.h MornellaWp8/MornellaWp8/SmsMessage.h MornellaWp8/MornellaWp8/SendSms.h windowsSmsFilter.dll core-winphone/MornellaWp8/MornellaWp8/common_new/snapi.h
  • 10. Новая модель разрешений в ОС Android 10© 2002—2015,Digital Security Мобилки, деньги, два фактора • Появилась с Android M (6.0, API level 23) • Запрос разрешений в run-time • Можно отзывать разрешения • Settings -> Apps -> app-name -> Permissions • Группы разрешений: • normal, dangerous, signature, signatureOrSystem, system, development, .. • Если target SDK < Android M, то все работает, как и раньше • Но может отзывать разрешения
  • 11. Второй канал SMS для Android 11© 2002—2015,Digital Security Мобилки, деньги, два фактора Идея Collin Mulliner. Подробнее http://www.mulliner.org/blog/blosxom.cgi/2013/05/
  • 12. Dual Identity (Dual Persona) for Mobile 12© 2002—2015,Digital Security Мобилки, деньги, два фактора • Одно физическое устройство – два и более логических устройств • Базируется на технологии виртуализации • Гипервизор Type-1 • Гипервизор Type-2 • Защищенный контейнер • Использование Virtual Desktop Infrastructure (VDI)
  • 13. Превентивный способ 13© 2002—2015,Digital Security Мобилки, деньги, два фактора • Шифрование SMS • Отвечать не оригинальным OTP-сообщением • На пример: • Не защищает от вредоносного ПО, поднимающего привилегии в системе … Изменение Оригинальное Итоговое Без второй цифры 56732 5732 Заменить последнее значение 56732 56730 Только четные позиции 56732902 6392 Увеличенное на 1 56732 56733
  • 14. А еще ... 14© 2002—2015,Digital Security Мобилки, деньги, два фактора
  • 15. Человеческой фантазии нет предела! 15© 2002—2015,Digital Security Мобилки, деньги, два фактора
  • 16. Итоги • SMS OTP уже не настольконадежен • ОС Android самая привлекательная для злоумышленников • Мобильные телефоны (сервисы) становятся все более привлекательнымицелями для злоумышленников 16© 2002—2015,Digital Security Мобилки, деньги, два фактора
  • 17. d.evdokimov@dsec.ru @evdokimovds Digital Security в Москве: (495) 223-07-86 Digital Security в Санкт-Петербурге: (812) 703-15-47 Мобилки, деньги, два фактора Спасибо за внимание! Вопросы? 17© 2002—2015,Digital Security #securitymeetup