Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach.
Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł.
W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń.
Agenda (draft):
- Krótka prezentacja metod autoryzacji transakcji.
- Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach).
- Jak wybrać skuteczną metodę autoryzacji transakcji?
- Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”Pawel Wawrzyniak
Report "Electronic Banking Customer Security Environment" (in Polish original: „Środowisko bezpieczeństwa klientów bankowości elektronicznej”) was developed at the request of the Analytical and Research Program of the Warsaw Banking Institute Foundation by the team of the Maritime Cybersecurity Center of the Naval Academy in Gdynia (MCC AMW) under the leadership of dr hab. Jerzy Kosiński. Authors of the report: dr hab. Jerzy Kosiński, dr hab. Grzegorz Krasnodębski, dr Paweł Ciszek and Paweł Wawrzyniak.
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych.
Omawiane problemy:
- Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej?
- Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo.
- Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych?
- Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady.
- Dane przechowywane na urządzeniu.
- Autoryzacja transakcji.
- Wrogie oprogramowanie (malware).
- Bezpieczna aplikacja mobilna – Jak to osiągnąć?
- Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej
- Ocena projektu
- Testy bezpieczeństwa
Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach.
Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł.
W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń.
Agenda (draft):
- Krótka prezentacja metod autoryzacji transakcji.
- Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach).
- Jak wybrać skuteczną metodę autoryzacji transakcji?
- Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
Wnioski z technicznego badania kilkudziesięciu polskich aplikacji bankowych przeznaczonych na platformy Android oraz iOS pod kątem występowania w nich podatności z OWASP Mobile TOP 10. Prezentacja rzeczywistych błędów w oprogramowaniu mobilnym, praktycznych porad jak zabezpieczyć aplikacje oraz odniesienie uzyskanych rezultatów do badań przeprowadzonych w innych krajach.
Raport „Środowisko bezpieczeństwa klientów bankowości elektronicznej”Pawel Wawrzyniak
Report "Electronic Banking Customer Security Environment" (in Polish original: „Środowisko bezpieczeństwa klientów bankowości elektronicznej”) was developed at the request of the Analytical and Research Program of the Warsaw Banking Institute Foundation by the team of the Maritime Cybersecurity Center of the Naval Academy in Gdynia (MCC AMW) under the leadership of dr hab. Jerzy Kosiński. Authors of the report: dr hab. Jerzy Kosiński, dr hab. Grzegorz Krasnodębski, dr Paweł Ciszek and Paweł Wawrzyniak.
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych.
Omawiane problemy:
- Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej?
- Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo.
- Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych?
- Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady.
- Dane przechowywane na urządzeniu.
- Autoryzacja transakcji.
- Wrogie oprogramowanie (malware).
- Bezpieczna aplikacja mobilna – Jak to osiągnąć?
- Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej
- Ocena projektu
- Testy bezpieczeństwa
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
Smartfon z aplikacja, która zmienia go w doskonale narzędzie płatnicze oraz lojalnościowe:
- Interakcje Peer to peer oraz transfer pieniędzy;
- Płatności oparte o kody QR oraz metodę one-click;
- Tworzenie oraz zarządzanie kodami QR;
- Doładowania telefonów oraz rozliczenia ze sklepami oraz partnerami;
- Prosta i bezpieczna autoryzacja.
mWallet na połączenie oraz zarządzanie różnymi serwisami w jednej funkcjonalnej aplikacji, począwszy od płatności i programów lojalnościowych a kończąc na serwisach specjalistycznych.
www.walletfactory.eu
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport:
https://www.cybsecurity.org/wp-content/uploads/2016/02/Raport_FBC_Raport-Cyberzagrozenia_2016.pdf
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport: https://www.cybsecurity.org/wp-content/uploads/2016/02/RaportFBC_Cyberzagrozenia_2016.pdf
Similar to Bezpieczenstwo platnosci elektronicznych (20)
4. E-commerce to około 26 mld PLN
Prognozy na rok 2020 to 90 mld PLN (co 2 złotówka wydawana)
Gwałtowny rozwój aplikacji mobilnych oraz płatności.
SMS / BLIK / PeoPay / HCE
Rynek m-płatności na świecie do roku 2017 osiągnie wartość 1
tryliona USD [Forrester]
4
Cyberbezpieczeństwo płatności
7. 7
Bankowość mobilna a internetowa
Porównanie zabezpieczeń w bankowości mobilnej i
internetowej:
• bezpieczeństwo aplikacji natywnych vs aplikacje i
przeglądarki na PC
• bezpieczeństwo WebView oraz aplikacji webowych
• silne uwierzytelnianie
• uwierzytelnianie urządzeń
• biometria jako dodatkowy czynnik
Wytyczne rekomendacji KNF w zakresie bezpieczeństwa
płatności elektronicznych (z wyłączeniem mobile)
8. 8
Bankowość mobilna a internetowa
Podobne problemy: uprawnienia administratora, szyfrowanie,
uwierzytelnianie, autoryzacja, mobile to kanał, który przechodzi
przez te same problemy co desktop.
Bezpieczeństwo WebView oraz aplikacji webowych (OWASP
Top 10): Dużo problemów typu XSS, XSA, dużo zmian w 2014
roku
Silne uwierzytelnianie : w internecie głównie kanał SMS, na
mobile traci sens jeśli używamy na tym samym urządzeniu, plus
malware przechwytujący
9. 9
Rekomendacja KNF
Obowiązuje od 1 lutego 2015
Wybrane elementy z rekomendacji:
• Polityka bezpieczeństwa płatności internetowych
• Dobre praktyki dla dostawców
• Spójne i zintegrowane podejście do monitorowania, obsługi i działań
następczych w stosunku do incydentów
• Procedurę niezwłocznego informowania właściwych organów (tj. organów
nadzoru oraz organów ds. ochrony danych)
• Procedurę współpracy z właściwymi organami ścigania w zakresie incydentów
bezpieczeństwa
• Dzienniki zdarzeń pozwalające na śledzenie wprowadzania nowych oraz
modyfikowania i usuwania istniejących danych transakcji i poleceń zapłaty
• Dostawcy usług płatniczych powinni analizować dane transakcji i poleceń
zapłaty oraz posiadać narzędzia do oceny dzienników zdarzeń.
12. 12
Bieżąca sytuacja
W 2014, malware na platformę Android poza oficjalnym sklepem.
Liczba złośliwego oprogramowania mobilnego tylko w IV
kwartale 2014 r. wzrosła o 14%. [źródło: Intel]
Wykryte oprogramowanie typu malware w oficjalnym sklepie
Android, głównie naruszenie prywatności.
Potwierdzone przypadki podmiany ruchu z użyciem ataków na
rutery domowe.
13. 13
Bieżąca sytuacja
W 2014 pierwsze przypadki
ataków typu ransomware na
platformie OS (szacunkowo
30% płaci)
35 mln PLN w 2014
wykradzione przez
cyberprzestępców z użyciem
malware, źródło TVP2
14. 14
Bieżąca sytuacja
70% brak wsparcia 2FA
40% akceptuje dowolny certyfikat SSL
wg badania IOActive 40 bankowych aplikacji
2014
16. 16
Trendy w zagrożeniach (FireEye 2014)
Android luki wzrost o 188% od 2011
iOS luki wzrost o 262% od 2011
31% aplikacji z Google Play ściąganych co najmniej 50,000
zawiera luki umożlwiające zdalny dostęp
BYOD
17. 17
PODSUMOWANIE
• Cybergospodarka (mobile centric) a cyberprzestępcy
• Warto analizować ryzyka cyklicznie (Agile) by być gotowym
na nadchodzące zagrożenia
• Bezpieczeństwo płatności mobilnych to proces podobny do
tego jaki przechodziła bankowość elektroniczna
18. Dziękuję i proszę o pytania ;)
Michał Olczak
michal.olczak@bzwbk.pl
@michalolczak
pl.linkedin.com/in/michal0lczak
20