konference security 2015 zabezpečení mobilních bankovnictvízabezpečení mobilních...
TRANSCRIPT
![Page 1: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/1.jpg)
Zabezpečení mobilních bankovnictví
Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. [email protected]
Konference Security 2015
![Page 2: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/2.jpg)
Obsah
• Vlastnosti mobilních zařízení.
• Architektura mobilního bankovnictví.
• Popis současného stavu zabezpečení.
• Témata roku 2015.
![Page 3: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/3.jpg)
Vlastnosti mobilních zařízení
![Page 4: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/4.jpg)
Mobilní zařízení
• Chytré telefony a tablety.
• Zcela běžně dostupná.
• Vysoce přenosná, osobní.
• Vždy on-line (GSM i Wi-Fi).
• Vybavená senzory.
![Page 5: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/5.jpg)
Mobilní operační systémy
• iOS: Mac OS X, Objective-C / Cocoa.
• Android: Linux, Java (Dalvik).
• Relativně snadné zásahy v runtime.
• Benevolentní management paměti.
Snadné napadení po úpravě “jail break”
![Page 6: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/6.jpg)
Architektura mobilních bankovnictví
![Page 7: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/7.jpg)
Celkový pohled shora
Front-endovýserver
Inte
grač
ní m
eziv
rstv
a
Transakčnísystém
Autentizačnísystém
. . .
XML/JSON over REST
![Page 8: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/8.jpg)
Celkový pohled shora
Front-endovýserver
Inte
grač
ní m
eziv
rstv
a
Transakčnísystém
Autentizačnísystém
. . .
XML/JSON over REST
![Page 9: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/9.jpg)
Celkový pohled shora
Front-endovýserver
Inte
grač
ní m
eziv
rstv
a
Transakčnísystém
Autentizačnísystém
. . .
XML/JSON over REST
Penetrační testy vždy před
“většími” release
![Page 10: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/10.jpg)
Celkový pohled shora
Front-endovýserver
Inte
grač
ní m
eziv
rstv
a
Transakčnísystém
Autentizačnísystém
. . .
XML/JSON over REST
Penetrační testy vždy před
“většími” release
![Page 11: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/11.jpg)
Mobilní bankovnictví
Nativní aplikace.
Různé operační systémy
![Page 12: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/12.jpg)
Mobilní bankovnictví
Objective-C
![Page 13: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/13.jpg)
Mobilní bankovnictví
Java
![Page 14: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/14.jpg)
Mobilní bankovnictví
C/C++ (sdílený kód)
![Page 15: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/15.jpg)
Popis současného stavu zabezpečení
![Page 16: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/16.jpg)
Současný stav zabezpečení
• Bezpečnost MB - vyšší než bezpečnost IB.
• Konsenzus: Aktivace skrze IB + jiné kanály.
• Kompromis UX vs. bezpečnost “vyřešený”.
• Řeší se už především “vychytávky”.
![Page 17: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/17.jpg)
Staré dobré útoky
• Útok MITM.
• Podvržená aplikace.
• Útok po ukradení.
• Reverzní inženýrství.
![Page 18: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/18.jpg)
Útok MITM
• iOS - Snadné (Wi-Fi, e-mail).
• Android - Méně snadné(SD karta).
• Podepisování na aplikační vrstvě.
• Striktní validace SSL certifikátu.
![Page 19: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/19.jpg)
Útok MITM
• iOS - Snadné (Wi-Fi, e-mail).
• Android - Méně snadné(SD karta).
• Podepisování na aplikační vrstvě.
• Striktní validace SSL certifikátu.
![Page 20: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/20.jpg)
Útok MITM
• iOS - Snadné (Wi-Fi, e-mail).
• Android - Méně snadné(SD karta).
• Podepisování na aplikační vrstvě.
• Striktní validace SSL certifikátu.
Problém při vypršení platnosti.
![Page 21: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/21.jpg)
Podvržená aplikace
• iOS - “Nemožné” (review).
• Android - Snadné (otevřenost).
• Manuální kontrola Google Play (a App Store).
• Uživatelská hodnocení.
Uživatelé vyhlíží aplikace své banky.
![Page 22: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/22.jpg)
Podvržená aplikace
• iOS - “Nemožné” (review).
• Android - Snadné (otevřenost).
• Manuální kontrola Google Play (a App Store).
• Uživatelská hodnocení.
Nejlepší obrana: vydejte aplikaci včas a komunikujte ji! ☺
![Page 23: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/23.jpg)
Podvržená aplikace
• Cross-platform útoky na desktop i smartphone.
• Častější aplikace, kteréútočí na IB.
• Instalace z externíchzdrojů
• Stále sofistikovanější realizace.
![Page 24: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/24.jpg)
Útok po ukradení
• Krádež či ztráta zařízení.
• Malý dopad reálně, velké obavy uživatelů.
• Typy útoků:
• Postranní kanály.
• Hádání hesla.
• Dolování hesla.
![Page 25: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/25.jpg)
Postranní kanály
• Použití stejného hesla napříč aplikacemi s různým zabezpečením.
• Slabá úložiště hesel.
• Otisky prstů na displeji.
Útok jinudy, než skrze aplikaci.
![Page 26: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/26.jpg)
Postranní kanály
![Page 27: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/27.jpg)
Hádání hesla
• Nutné efektivně omezit počet pokusů.
• Sdílený náhodný klíč (symetrická šifra).
• Sekvenčnost.
• Heslo odemykající klíč nemusí být složité.
V případě správné implementace dílčího ověřování.
![Page 28: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/28.jpg)
Hádání hesla
• Nutné omezení možnosti blokování účtu.
• Rozpoznání situace, kdy útočník vlastní zařízení uživatele.
• Dvou-faktorová autentizace.
Opačný požadavek než omezení počtu pokusů pro hádání.
![Page 29: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/29.jpg)
Dolování hesla
• Výpis paměti nebo útok na run-time.
• Nutné zajistit striktní práci s pamětí.
• Low-level implementace (C/C++ modul).
• Android NDK.
Jailbreak + Cycript.
![Page 30: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/30.jpg)
Dolování hesla
Spuštění aplikace
Zavření aplikace
Aplikace ukončena
Uživatel: Aplikace je vypnutá. Útočník zcizí zařízení, nebo jej uživatel ztratí.
Malware? Hra skončila...
Zadání hesla
Systém: Aplikace si chvíli podržím.
![Page 31: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/31.jpg)
Dolování hesla
• Přemazávání klíčů a dočasných hodnot.
• Složitější dekompilace algoritmů.
• Speciální klávesnice.
• Zabezpečení zadávání hesla do textových polí.
![Page 32: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/32.jpg)
Reverzní inženýrství
• Přílišné odkrývání implementačních detailů láká zvědavce.
• Diskuze, které se nemusí vést = reputační riziko.
• Možnost nalezení slabších míst implementace.
![Page 33: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/33.jpg)
Témata 2015
![Page 34: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/34.jpg)
Silnější autorizace
• Současné mobilní banky směřují na “retail”.
• Chybí řešení pro SME a větší podniky.
• Jak z pohledu funkčnosti, tak bezpečnosti.
![Page 35: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/35.jpg)
HW token, ARM TrustZone, ...
Možností je mnoho ...
![Page 36: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/36.jpg)
2 - 10 m radius
HW token, ARM TrustZone, ...
![Page 37: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/37.jpg)
Inovativní funkčnosti
• Otisky prstů - TouchID
• Hlasová biometrie - Nuance
• Kontext-aware bezpečnost - iBeacon
![Page 39: Konference Security 2015 Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Konference](https://reader034.vdocuments.net/reader034/viewer/2022052013/60299e6a04731170612e398b/html5/thumbnails/39.jpg)
16.$února$2011$
Panelová)diskuse)
Bezpečnost)mobilních)zařízení)