Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
Seminář se zaměřil na tři dílčí témata, která by pro vás mohla být zajímavá ve studiu i dalším životě a současně se o nich (stále) aktuálně živě mluví.
Nejdříve se zaměřil na postupy ověřování totožnosti v elektronickém prostředí, bez kterých byste se nedostali ani ke své studijní agendě v IS, řeč byla hlavně o bezpečné práci s hesly, ale stručně jsme se dotkli i šifrování nebo elektornického podpisu.
Na to navázala bezpečnost mobilních technologií, protože u nich se často využívají jiné typy hesel (grafické), dotkli se ale také bezpečnostních rozdílů Androidu a iOS a potřeby bezpečnostních aplikací jako je antivir.
Protože dnes se často využívá také tzv. smartbankingu, tj. ovládání bankovního účtu pomocí mobilního zařízení, přešli jsme skrz to ještě stručně k pravidlům bezpečného nakupování a prodávání přes internet.
Přehledový seminář nepůjde nikde zcela do hloubky, bude sloužit spíše k získání orientace ve jmenovaných směrech a osvojení základních bezpečných postupů při používání informačních technologií.
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
What problems do you need to deal with when designing an app for multiple banks? How do you solve a security of such apps? And how about a user interface design and application structure? What technologies are under the hood? And what does Zingly bring to you?
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
Seminář se zaměřil na tři dílčí témata, která by pro vás mohla být zajímavá ve studiu i dalším životě a současně se o nich (stále) aktuálně živě mluví.
Nejdříve se zaměřil na postupy ověřování totožnosti v elektronickém prostředí, bez kterých byste se nedostali ani ke své studijní agendě v IS, řeč byla hlavně o bezpečné práci s hesly, ale stručně jsme se dotkli i šifrování nebo elektornického podpisu.
Na to navázala bezpečnost mobilních technologií, protože u nich se často využívají jiné typy hesel (grafické), dotkli se ale také bezpečnostních rozdílů Androidu a iOS a potřeby bezpečnostních aplikací jako je antivir.
Protože dnes se často využívá také tzv. smartbankingu, tj. ovládání bankovního účtu pomocí mobilního zařízení, přešli jsme skrz to ještě stručně k pravidlům bezpečného nakupování a prodávání přes internet.
Přehledový seminář nepůjde nikde zcela do hloubky, bude sloužit spíše k získání orientace ve jmenovaných směrech a osvojení základních bezpečných postupů při používání informačních technologií.
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
What problems do you need to deal with when designing an app for multiple banks? How do you solve a security of such apps? And how about a user interface design and application structure? What technologies are under the hood? And what does Zingly bring to you?
Představení Zingly API Serveru a popis integracePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=u6c-fYGAMQc
PSD2 a veřejné bankovní API? Banka této legislativě může vyhovět během pár dní s téměř nulovými náklady pomocí open-source Zingly API Serveru. Jak Zingly API Server funguje a jak složité je ho nasadit? Dozvíte se v tomto webináři.
Záznam webináře: https://www.youtube.com/watch?v=Fh-cOjgpT3Q
U nás je otevřené bankovní API novinkou. Ale jak je to ve světě? Kde už otevřená bankovní API dávno fungují a jak vypadají? Dozvíte se v dalším bleskovém webináři...
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=RKgbUgIl6kE
PSD2 a otevřená bankovní API začala být žhavým tématem. Jaké jsou nejčastější informační šumy a které nesprávné interpretace toho, co se děje, ještě uslyšíte? Dozvíte se v tomto bleskovém webináři.
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
Lime - PowerAuth 2.0 and mobile QRToken introductionPetr Dvorak
PowerAuth 2.0 is an open-source solution for authentication, end-to-end encryption and secure storage for mobile banking. QRToken is a mobile token built on top of the PowerAuth 2.0 cryptography protocol.
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Petr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=dwkjgkJBz6I
Proč je Zingly bezpečnější, než klasické mobilní či internetové bankovnictví? Co je to PowerAuth 2.0 a jak funguje pod pokličkou? Dozvíte se, včetně kryptografických detailů, které jste snad ani vědět nechtěli...
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Bitcoin Trezor – hardware bitcoin peňaženka (Marek Palatinus, Pavol Rusnák) - Masové rozširovanie kryptografickej meny Bitcoin so sebou prináša aj množstvo problémov. Pokúsime sa tieto problémy identifikovať a na množstvo z nich navrhnúť riešenie v podobe Trezoru – hw bitcoinovej peňaženky.
www.security-session.cz
Představení Zingly API Serveru a popis integracePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=u6c-fYGAMQc
PSD2 a veřejné bankovní API? Banka této legislativě může vyhovět během pár dní s téměř nulovými náklady pomocí open-source Zingly API Serveru. Jak Zingly API Server funguje a jak složité je ho nasadit? Dozvíte se v tomto webináři.
Záznam webináře: https://www.youtube.com/watch?v=Fh-cOjgpT3Q
U nás je otevřené bankovní API novinkou. Ale jak je to ve světě? Kde už otevřená bankovní API dávno fungují a jak vypadají? Dozvíte se v dalším bleskovém webináři...
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=RKgbUgIl6kE
PSD2 a otevřená bankovní API začala být žhavým tématem. Jaké jsou nejčastější informační šumy a které nesprávné interpretace toho, co se děje, ještě uslyšíte? Dozvíte se v tomto bleskovém webináři.
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
O bezpečnosti mobilního bankovnictví se toho již řeklo mnoho. Je ale možné tyto poznatky přenést na multi-banking aplikace (aplikace, které umí spravovat více bank současně)? Na přednášce ukážu, jaké nové a dosud neřešené problémy multi-banking aplikace (a otevřená bankovní API) přináší například v oblasti autentizace či ochrany osobních dat, ale hlavně to, jak takové aplikace udělat bezpečně a současně pohodlně z pohledu koncového uživatele.
Lime - PowerAuth 2.0 and mobile QRToken introductionPetr Dvorak
PowerAuth 2.0 is an open-source solution for authentication, end-to-end encryption and secure storage for mobile banking. QRToken is a mobile token built on top of the PowerAuth 2.0 cryptography protocol.
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Petr Dvorak
Záznam webináře: https://www.youtube.com/watch?v=dwkjgkJBz6I
Proč je Zingly bezpečnější, než klasické mobilní či internetové bankovnictví? Co je to PowerAuth 2.0 a jak funguje pod pokličkou? Dozvíte se, včetně kryptografických detailů, které jste snad ani vědět nechtěli...
Webinář je k dispozici ke shlédnutí zde: https://www.youtube.com/watch?v=M4e34Zs6AKM
Jak by mělo vypadat ideální bankovní API? Zeptali jsme se vývojářů na základě zadání z bank a výsledky dotazníku pro vás zpracovali.
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
Security by obscurity nemůže fungovat. Nebo ano? Softwarové protektory prošly během 16 let prudkým vývojem. Zhodnotíme, jaká je situace v roce 2016. Podíváme se, jak fungují dnešní protektory pro Windows a Android, ukážeme, co se snaží řešit a současně jaké problémy jejich nasazení přináší. Přednáška bude zajímavá i pro ty, které zajímá problematika malware.
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
Nelze chránit to, co není vidět. Díky technologii datových toků (NetFlow/IPFIX) lze dosáhnout hluboké viditelnosti do síťového provozu. Analýza chování sítě na základě statistik o datových tocích odhalí anomálie v provozu včetně dosud neznámých kybernetických hrozeb, které tradiční zabezpečení nezastaví. IT profesionálové po celém světě řeší způsoby, jak získat kontrolu nad síťovým provozem, aby mohli chránit své systémy před pokročilými kybernetickými hrozbami. Tato prezentace přiblíží různé přístupy monitorování počítačových sítí, vysvětlí principy a technologie datových toků a na praktických příkladech ukáže jejích sílu pro získání viditelnosti do provozu a detekci anomálií.
Bitcoin Trezor – hardware bitcoin peňaženka (Marek Palatinus, Pavol Rusnák) - Masové rozširovanie kryptografickej meny Bitcoin so sebou prináša aj množstvo problémov. Pokúsime sa tieto problémy identifikovať a na množstvo z nich navrhnúť riešenie v podobe Trezoru – hw bitcoinovej peňaženky.
www.security-session.cz
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
“Internet věcí” přináší mimo celé řady příležitostí i novou a relativně pestrou paletu potenciálních problémů. Fakt, že jeden uživatel bude mít u sebe kromě chytrého telefonu i tablet, chytré brýle a chytré hodinky, představuje výzvu pro návrh autentizace uživatele do různých typů aplikací v rámci komplexu osobních přenosných zařízení. Tato výzva nespočívá jen v návrhu samotné bezpečnosti, ale také v zachování přívětivé user-experience.
Czech Banks are Under Attack, Clients Lose Money.Petr Dvorak
On September 24, 2018, the clients of three major Czech banks received a major hit by a mobile malware and have money from their bank accounts stolen. What happened with the QRecorder malware? (updated version)
Innovations on Banking - Digital Banking Security in the Age of Open BankingPetr Dvorak
With PSD2, 3rd party providers are given an access to bank accounts and even have an ability to initiate payments. As a result, banks need to revise their approach to digital channel security and invest in new categories of security solutions. During the talk, we will present an overview of existing security components for digital banking that will help you harden your system security and comply with SCA under PSD2.
Lime - Push notifications. The big way.Petr Dvorak
How to properly implement mobile push notifications and how to scale them big? What technologies and infrastructure is needed? Check out these slides from #mDevTalk by Avast, Etnetera and Ackee to find out.
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...Petr Dvorak
Videozáznam webináře je dostupný zde: https://www.youtube.com/watch?v=ASQl8fMYAP8
Proč banky nezkrachují poté, co vystaví otevřená bankovní API? Jaký bude mít dopad legislativa PSD2 na fungování současných bankovních kanálů? Jaký je obchodní model a kdo je cílová skupina aplikace Zingly? Proč by si měl uživatel instalovat multi-banking aplikaci?
Co musí banka udělat pro zapojení do Zingly?Petr Dvorak
Záznam webináře je k dispozici zde: https://www.youtube.com/watch?v=3v02Zd_W0PM
Co musí banka udělat pro to, aby se mohla zapojit do multi-bankingu Zingly? Ukážeme, že to není tak složité, a že náklady na nasazení potřebné infrastruktury nepřesahují několik jednotek dní práce.
Zingly is a multi-banking app for European banking - think of it as a Venmo for the Europe. An easy to use mobile app makes payments simpler than ever before, regardless of a bank you have.
Zingly uses a super secure open-source PowerAuth 2.0 protocol for authentication and transaction signing, so that user money is extra safe.
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?Petr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro chytrá zařízení. Umožňuje totiž, aby tyto aplikace lépe porozumněly situaci, ve které se nachází jejich uživatel, a podle toho jednaly. Aplikace tak mohou zobrazovat kontextově relevantní obsah a aktivně na něj uživatele upozornit jakmile se ocitne v místě, kde to dává největší smysl. Přímočaré využití tak iBeacon nachází například v “proximity marketingu” nebo při sběru cenných dat o pohybu zákazníků v rámci prodejny, či třeba jen v automatizaci a zrychlení činností, které si aplikace může dovodit z okolního kontextu.
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?Petr Dvorak
Ukážu vám, co je to iBeacon a jak jej vaše společnost může využít pro různé účely, ať se jedná o propagaci značky nebo o zjednodušení života vašich klientů.
Dozvíte se například:
- Co je to iBeacon a jak funguje
- Jak je iBeacon podporován na straně mobilních zařízení
- Jaké existují alternativy k iBeacon
- Případové studie použití iBeacon ze zahraničí
- Jak můžete s iBeacon bez nutnosti vysokých nákladů začít vy
Podíl chytrých mobilních telefonů v ČR v první polovině roku 2015 byl necelých 45%, rozdělení platforem pro jednotlivé operátory vyznívá jasně - Android vede s drtivými 81,6% následovaný iOS s 11,2% a Windows Phone s 5,5%.
Virtual beacons are a budget friendly alternative to physical beacons, such as iBeacon or Eddystone beacons. They work using the location services on mobile or wearable devices - virtual beacon is tied to a GPS coordinate with given range, which is less accurate than with physical beacons (approx. 200m).
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro iOS. Umožňuje totiž to, aby mobilní aplikace lépe rozumněly kontextu, ve kterém se nachází jejich uživatel. Aplikace tak mohou zobrazovat více relevantní obsah nebo urychlit akce, které v dané situaci dávají největší smysl. Na přednášce si ukážeme, jak se s technologií iBeacon programuje na platformě iOS, podíváme se na vychytávky v Estimote SDK pro iOS, a představíme si platformu Lime pro rychlou tvorbu context-aware aplikací.
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
Technologie iBeacon přináší zcela nové příležitosti tvůrcům aplikací pro iOS. Umožňuje totiž to, aby mobilní aplikace lépe rozumněly kontextu, ve kterém se nachází jejich uživatel.
Aplikace tak mohou zobrazovat kontextově relevantní obsah nebo urychlit akce, které v dané situaci dávají největší smysl. Na přednášce si ukážeme, jak se s technologií iBeacon programuje na platformě iOS, podíváme se na vychytávky v Estimote SDK pro iOS, a představíme si platformu Lime pro rychlou tvorbu context-aware aplikací.
Internet of Things as a Leading Trend for 2015 - Examples for Personal UsePetr Dvorak
Couple useful examples of the Internet of Things devices for a personal use. The brief introduction to the subject is followed by over 20 real world and already purchasable examples, from wearables to personal EEGs and DIY kits.
New Media Inspiration 2015 - Invisible technologies and context inside and ar...Petr Dvorak
Context-aware applications will change the way people interact with mobile devices. Technologies such as iBeacon or wearable devices will help mobile to improve user experience by delivering relevant content and actions in the best moment.
Internet už dávno není „to na stole“ a dokonce ani „to v kapse“, opravdu už je tady doba, kdy je internet všude kolem nás i na nás samotných. Co se událo v poslední době ve světě Internetu Věcí, jaké jsou trendy a co nás možná brzo čeká?
AIR BOND - Jednoduše lepší bezpečnost mobilního bankovnictví pro normální lidi.Petr Dvorak
Přívěšek na klíče AIR BOND je navržený tak, aby uživatelé mobilního bankovnictví téměř nevěděli, že jej mají u sebe. Komunikuje bezdrátově, je maličký v rozměrech, "ultra-lehký" a na baterii vydrží fungovat přibližně jeden rok. Díky moderní technologii pro bezdrátovou komunikaci navíc nevyčerpá ani baterii Vašeho telefonu.
As most people are aware, there has been an expansion in mobile banking applications in recent years. The Czech Republic is no exception to this, as nearly all banks have developed a mobile application for their modern mobile operating systems. Although different banks solve their security concepts in different ways, it is possible to discuss typical situations and problems that inevitably appear while designing mobile banking applications.
4. Mobilní zařízení
• Chytré telefony a tablety.
• Zcela běžně dostupná.
• Vysoce přenosná, osobní.
• Vždy on-line (GSM i Wi-Fi).
• Vybavená senzory.
5. Mobilní operační systémy
• iOS: Mac OS X, Objective-C / Cocoa.
• Android: Linux, Java (Dalvik).
• Relativně snadné zásahy v runtime.
• Benevolentní management paměti.
Snadné napadení po
úpravě “jail break”
16. Současný stav zabezpečení
• Bezpečnost MB - typicky“rozumná”úroveň.
• Neexistuje obecný konsenzus jako u IB.
• Kompromis UX vs. bezpečnost.
• Řeší se stará i nová témata.
• Ví se zhruba o problémech, které přijdou.
17. Staré dobré útoky
• Útok MITM.
• Podvržená aplikace.
• Útok po ukradení.
• Reverzní inženýrství.
18. Útok MITM
• iOS - Snadné (Wi-Fi, e-mail).
• Android - Méně snadné
(SD karta).
• Podepisování na aplikační
vrstvě.
• Striktní validace SSL
certifikátu.
19. Útok MITM
• iOS - Snadné (Wi-Fi, e-mail).
• Android - Méně snadné
(SD karta).
• Podepisování na aplikační
vrstvě.
• Striktní validace SSL
certifikátu.
20. Útok MITM
• iOS - Snadné (Wi-Fi, e-mail).
• Android - Méně snadné
(SD karta).
• Podepisování na aplikační
vrstvě.
• Striktní validace SSL
certifikátu.
Problém při
vypršení platnosti.
21. Podvržená aplikace
• iOS -“Nemožné”(review).
• Android - Snadné
(otevřenost).
• Manuální kontrola Google
Play (a App Store).
• Uživatelská hodnocení.
Uživatelé vyhlíží
aplikace své banky.
22. Podvržená aplikace
• iOS -“Nemožné”(review).
• Android - Snadné
(otevřenost).
• Manuální kontrola Google
Play (a App Store).
• Uživatelská hodnocení.
Nejlepší obrana: vydejte aplikaci
včas a komunikujte ji! ☺
23. Útok po ukradení
• Krádež či ztráta zařízení.
• Malý dopad reálně, velké obavy uživatelů.
• Typy útoků:
• Postranní kanály.
• Hádání hesla.
• Dolování hesla.
24. Postranní kanály
• Použití stejného hesla napříč aplikacemi
s různým zabezpečením.
• Slabá úložiště hesel.
• Otisky prstů na displeji.
Útok jinudy, než skrze aplikaci.
26. Hádání hesla
• Nutné efektivně omezit počet pokusů.
• Sdílený náhodný klíč (symetrická šifra).
• Sekvenčnost.
• Heslo odemykající klíč nemusí být složité.
V případě správné implementace
dílčího ověřování.
27. Hádání hesla
• Nutné omezení možnosti blokování účtu.
• Rozpoznání situace, kdy útočník vlastní
zařízení uživatele.
• Dvou-faktorová autentizace.
Opačný požadavek než omezení
počtu pokusů pro hádání.
28. Dolování hesla
• Výpis paměti nebo útok na run-time.
• Nutné zajistit striktní práci s pamětí.
• Low-level implementace (C/C++ modul).
• Android NDK.
Jailbreak + Cycript.
30. Dolování hesla
• Přemazávání klíčů
a dočasných hodnot.
• Složitější dekompilace
algoritmů.
• Speciální klávesnice.
• Zabezpečení zadávání hesla
do textových polí.
31. Reverzní inženýrství
• Přílišné odkrývání implementačních
detailů láká zvědavce.
• Diskuze, které se nemusí vést
= reputační riziko.
• Možnost nalezení slabších míst
implementace.
33. Mobilní malware
• Problém především na OS Android.
• S rostoucí penetrací poroste intenzita.
• Kradení autorizačních SMS (Eurograbber).
• Podvržení URL schémat a intentů.
• Mobilní antiviry nejsou samospásné.
Žádná zvláštní
náročnost.
34. Silnější autorizace
• Současné mobilní banky směřují na“retail”.
• Chybí řešení pro SME a větší podniky.
• Jak z pohledu funkčnosti, tak bezpečnosti.