Zabezpečení mobilníchbankovnictvíPetr DvořákPartner & Mobile Strategy Consultantpetr@inmite.euKonference mDevCamp 2013
Obsah• Vlastnosti mobilních zařízení.• Architektura mobilního bankovnictví.• Popis současného stavu zabezpečení.• Témata r...
Vlastnosti mobilníchzařízení
Mobilní zařízení• Chytré telefony a tablety.• Zcela běžně dostupná.• Vysoce přenosná, osobní.• Vždy on-line (GSM i Wi-Fi)....
Mobilní operační systémy• iOS: Mac OS X, Objective-C / Cocoa.• Android: Linux, Java (Dalvik).• Relativně snadné zásahy v r...
Architektura mobilníchbankovnictví
Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover REST
Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover REST
Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover RESTPenetrační...
Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover RESTPenetrační...
Mobilní bankovnictvíNativníaplikace.Různé operačnísystémyMultiplatformníframework.
Mobilní bankovnictvíObjective-C
Mobilní bankovnictvíJava
Mobilní bankovnictvíC/C++ (sdílený kód)
Popis současného stavuzabezpečení
Současný stav zabezpečení• Bezpečnost MB - typicky“rozumná”úroveň.• Neexistuje obecný konsenzus jako u IB.• Kompromis UX v...
Nástroje pro práci• mitmproxy.• evasi0n.• iExplorer, iFunBox.• dex2jar, IDA, JD-GUI.• cycript.
Staré dobré útoky• Útok MITM.• Podvržená aplikace.• Útok po ukradení.• Reverzní inženýrství.• Další méně drsné útoky.
Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní val...
Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní val...
Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní val...
Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní val...
Útok MITMStará dobrácommand-line.
Podvržená aplikace• iOS -“Nemožné”(review).• Android - Snadné(otevřenost).• Manuální kontrola GooglePlay (a App Store).• U...
Podvržená aplikace• iOS -“Nemožné”(review).• Android - Snadné(otevřenost).• Manuální kontrola GooglePlay (a App Store).• U...
Útok po ukradení• Krádež či ztráta zařízení.• Malý dopad reálně, velké obavy uživatelů.• Typy útoků:• Postranní kanály.• H...
Postranní kanály• Použití stejného hesla napříč aplikacemis různým zabezpečením.• Slabá úložiště hesel.• Otisky prstů na d...
Postranní kanályÚtok po ukradení
Hádání hesla• Nutné efektivně omezit počet pokusů.• Sdílený náhodný klíč (symetrická šifra).• Sekvenčnost.• Heslo odemykaj...
Hádání hesla• Nutné omezení možnosti blokování účtu.• Rozpoznání situace, kdy útočník vlastnízařízení uživatele.• Dvou-fak...
Dolování hesla• Výpis paměti nebo útok na run-time.• Nutné zajistit striktní práci s pamětí.• Low-level implementace (C/C+...
Dolování heslaSpuštěníaplikaceZavřeníaplikaceAplikaceukončenaUživatel: Aplikace je vypnutá. Útočník zcizí zařízení, nebo j...
Dolování hesla• Přemazávání klíčůa dočasných hodnot.• Složitější dekompilacealgoritmů.• Speciální klávesnice.• Zabezpečení...
Reverzní inženýrství• Přílišné odkrývání implementačníchdetailů láká zvědavce.• Diskuze, které se nemusí vést= reputační r...
Méně drsné útoky.http://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked.html
Méně drsné útoky• Odpozorování hesla.• Krádež desktopového heslaskrze mobilní telefon.• Sociální inženýrství.Kontrast kláv...
Témata 2013
Témata pro iOS 6 / 7• Protokol NSSecureCoding.• Přijde Apple s Remote View Controllery?
Mobilní malware• Problém především na OS Android.• S rostoucí penetrací poroste intenzita.• Kradení autorizačních SMS (Eur...
Silnější autorizace• Současné mobilní banky směřují na“retail”.• Chybí řešení pro SME a větší podniky.• Jak z pohledu funk...
HW token, ARM TrustZone, ...Možností je mnoho ...
Specializovaný hardware• Různé typy tokenů.• Různé komunikační rozhraní.• Výrobce tokenu dodává SDK.• Typicky Android, obč...
Přijdou dva světy?• ARM TrustZone• Intel Trusted Execution Technology
Hlavní výzva?Včasné vzdělávání uživatelů ...Včasné vzdělávání programátorů ...
Děkuji.Petr DvořákPartner & Mobile Strategy Consultantpetr@inmite.eu
Upcoming SlideShare
Loading in …5
×

mDevCamp 2013 - Bezpečnost mobilního bankovnictví

686 views

Published on

Prezentace z konference mDevCamp 2013 na téma bezpečnosti mobilního bankovnictví.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
686
On SlideShare
0
From Embeds
0
Number of Embeds
82
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

mDevCamp 2013 - Bezpečnost mobilního bankovnictví

  1. 1. Zabezpečení mobilníchbankovnictvíPetr DvořákPartner & Mobile Strategy Consultantpetr@inmite.euKonference mDevCamp 2013
  2. 2. Obsah• Vlastnosti mobilních zařízení.• Architektura mobilního bankovnictví.• Popis současného stavu zabezpečení.• Témata roku 2013.
  3. 3. Vlastnosti mobilníchzařízení
  4. 4. Mobilní zařízení• Chytré telefony a tablety.• Zcela běžně dostupná.• Vysoce přenosná, osobní.• Vždy on-line (GSM i Wi-Fi).• Vybavená senzory.
  5. 5. Mobilní operační systémy• iOS: Mac OS X, Objective-C / Cocoa.• Android: Linux, Java (Dalvik).• Relativně snadné zásahy v runtime.• Benevolentní management paměti.Snadné napadení poúpravě “jail break”
  6. 6. Architektura mobilníchbankovnictví
  7. 7. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover REST
  8. 8. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover REST
  9. 9. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover RESTPenetrační testyvždy před“většími” release
  10. 10. Celkový pohled shoraFront-endovýserverIntegračnímezivrstvaTransakčnísystémAutentizačnísystém...XML/JSONover RESTPenetrační testyvždy před“většími” release
  11. 11. Mobilní bankovnictvíNativníaplikace.Různé operačnísystémyMultiplatformníframework.
  12. 12. Mobilní bankovnictvíObjective-C
  13. 13. Mobilní bankovnictvíJava
  14. 14. Mobilní bankovnictvíC/C++ (sdílený kód)
  15. 15. Popis současného stavuzabezpečení
  16. 16. Současný stav zabezpečení• Bezpečnost MB - typicky“rozumná”úroveň.• Neexistuje obecný konsenzus jako u IB.• Kompromis UX vs. bezpečnost.• Řeší se stará i nová témata.• Ví se zhruba o problémech, které přijdou.
  17. 17. Nástroje pro práci• mitmproxy.• evasi0n.• iExplorer, iFunBox.• dex2jar, IDA, JD-GUI.• cycript.
  18. 18. Staré dobré útoky• Útok MITM.• Podvržená aplikace.• Útok po ukradení.• Reverzní inženýrství.• Další méně drsné útoky.
  19. 19. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.
  20. 20. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.
  21. 21. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.iOS 6 nepatrně mění API...connection:willSendRequestForAuthenticationChallenge:
  22. 22. Útok MITM• iOS - Snadné (Wi-Fi, e-mail).• Android - Méně snadné(SD karta).• Podepisování na aplikačnívrstvě.• Striktní validace SSLcertifikátu.Problém přivypršení platnosti.
  23. 23. Útok MITMStará dobrácommand-line.
  24. 24. Podvržená aplikace• iOS -“Nemožné”(review).• Android - Snadné(otevřenost).• Manuální kontrola GooglePlay (a App Store).• Uživatelská hodnocení.Uživatelé vyhlížíaplikace své banky.
  25. 25. Podvržená aplikace• iOS -“Nemožné”(review).• Android - Snadné(otevřenost).• Manuální kontrola GooglePlay (a App Store).• Uživatelská hodnocení.Nejlepší obrana: vydejte aplikacivčas a komunikujte ji! ☺
  26. 26. Útok po ukradení• Krádež či ztráta zařízení.• Malý dopad reálně, velké obavy uživatelů.• Typy útoků:• Postranní kanály.• Hádání hesla.• Dolování hesla.
  27. 27. Postranní kanály• Použití stejného hesla napříč aplikacemis různým zabezpečením.• Slabá úložiště hesel.• Otisky prstů na displeji.Útok jinudy, než skrze aplikaci.Útok po ukradení
  28. 28. Postranní kanályÚtok po ukradení
  29. 29. Hádání hesla• Nutné efektivně omezit počet pokusů.• Sdílený náhodný klíč (symetrická šifra).• Sekvenčnost.• Heslo odemykající klíč nemusí být složité.V případě správné implementacedílčího ověřování.Útok po ukradení
  30. 30. Hádání hesla• Nutné omezení možnosti blokování účtu.• Rozpoznání situace, kdy útočník vlastnízařízení uživatele.• Dvou-faktorová autentizace.Opačný požadavek než omezenípočtu pokusů pro hádání.Útok po ukradení
  31. 31. Dolování hesla• Výpis paměti nebo útok na run-time.• Nutné zajistit striktní práci s pamětí.• Low-level implementace (C/C++ modul).• Android NDK.Jailbreak + Cycript.Útok po ukradení
  32. 32. Dolování heslaSpuštěníaplikaceZavřeníaplikaceAplikaceukončenaUživatel: Aplikace je vypnutá. Útočník zcizí zařízení, nebo jejuživatel ztratí.Malware?Hra skončila...ZadáníheslaSystém: Aplikace si chvíli podržím.Útok po ukradení
  33. 33. Dolování hesla• Přemazávání klíčůa dočasných hodnot.• Složitější dekompilacealgoritmů.• Speciální klávesnice.• Zabezpečení zadávání heslado textových polí.Útok po ukradení
  34. 34. Reverzní inženýrství• Přílišné odkrývání implementačníchdetailů láká zvědavce.• Diskuze, které se nemusí vést= reputační riziko.• Možnost nalezení slabších místimplementace.• Ukradení privátního klíče? Do každé iOS / Androidaplikace někdo začnenemístně šťourat. ☺
  35. 35. Méně drsné útoky.http://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked.html
  36. 36. Méně drsné útoky• Odpozorování hesla.• Krádež desktopového heslaskrze mobilní telefon.• Sociální inženýrství.Kontrast klávesnice,shuffle, ...
  37. 37. Témata 2013
  38. 38. Témata pro iOS 6 / 7• Protokol NSSecureCoding.• Přijde Apple s Remote View Controllery?
  39. 39. Mobilní malware• Problém především na OS Android.• S rostoucí penetrací poroste intenzita.• Kradení autorizačních SMS (Eurograbber).• Podvržení URL schémat a intentů.• Mobilní antiviry nejsou samospásné.Žádná zvláštnínáročnost.
  40. 40. Silnější autorizace• Současné mobilní banky směřují na“retail”.• Chybí řešení pro SME a větší podniky.• Jak z pohledu funkčnosti, tak bezpečnosti.
  41. 41. HW token, ARM TrustZone, ...Možností je mnoho ...
  42. 42. Specializovaný hardware• Různé typy tokenů.• Různé komunikační rozhraní.• Výrobce tokenu dodává SDK.• Typicky Android, občas iOS.
  43. 43. Přijdou dva světy?• ARM TrustZone• Intel Trusted Execution Technology
  44. 44. Hlavní výzva?Včasné vzdělávání uživatelů ...Včasné vzdělávání programátorů ...
  45. 45. Děkuji.Petr DvořákPartner & Mobile Strategy Consultantpetr@inmite.eu

×