Post on 12-May-2015
description
Problém• Žádné IMEI, ICCID, ...
• často není SIM karta, není API v SDK
• Žádná autorizace pomocí SMS
• opět - není SIM
• ... nebo hůř - je SIM
• Žádná USB klíčenka
• není port pro USB
Řešení
• Přiznat si, že zařízení je anonymní
• “ID zařízení” vs. “ID instalace”
• ... chceme přeci ověřit uživatele, boha jeho...
• Autentizace = “Jak dokážu, že já jsem já...”
• Jiná dvou-faktorová autentizace
• SecurID
• Secure Token s NFC
Zařízení je anonymní
• Nesmí být moc anonymní
• Blokace při ztrátě
• Obrana proti zablokování účtu
• Řeší proces aktivace / personalizace
• Sekvence kroků na zařízení a v internetovém bankovnictví
• Internetové bankovnictví je bezpečný kanál
SERVIS 24
• Heslo pro Mobilní banku se nastavuje v IB
• V prostředí IB uživatel nastaví heslo a opíše si jednorázový kód
• Heslo je v IB autorizováno běžnými prostředky
• Aktivace se dokončí v mobilním zařízení
• Na základě klientského čísla, jednorázového kódu a hesla dojde k personalizaci instalace
SERVIS 24Z reklamy na bezpečnost:
“Při komunikaci se serverem je každý požadavek individuálně podepsán signaturou složenou z dat personalizace, dat daného požadavku, hashe uživatelského hesla, časového razítka a dalších, velmi tajných parametrů.”
SERVIS 24• ... tedy i při prolomení bezpečného
komunikačního kanálu
• Je zajištěno, že není možné kompromitovat heslo
• Není možné opakovat requesty na server
• Není možné podvrhovat obsah requestů
• Je zajištěno, že požadavky provádí daný uživatel z jeho aktivovaného zařízení
Problém• Firmy zaměřené na mobilní vývoj jsou
stále mladé
• Nevědí, kde může být teoreticky problém
• Firmy provádějící bezpečnostní audit stále nemají detailní znalost platforem
• Jak funguje logování? Jak se pracuje s certi+káty? Co je to keychain? Jak fungují cookies a HTTP cache? Jak instalovat aplikaci ze serveru banky?
Řešení• Přiznat si, že nejsem superman
• “Naše +rma testuje bezpečnost již 100 let, testovali jsme pro Bank of America.”
• “Vyvíjíme aplikace pro mobily už 4 roky, udělali jsme Chrochtátko pro iPhone.”
• V kooperaci veri+kovat bezpečnost
• Návrh bezpečnosti
• Implementace pro danou platformu
2-faktorová autentizace• Obejdeme se bez ní?
• Klid - teď ano...
• ... pak ne...
• Mobilní bankovnictví není moc rozšířené
• Nevyplatí se útočit skrze něj
• Neexistují hrozby, které by vynutily silnější autorizaci• Ne zcela platí pro Android, naštěstí je tu Avast antivirus
• Čeká se na první skandál☺
Shrnutí• Nová zařízení přinesla nové hrozby
• Je potřeba je vyřešit do doby, než bude z mobilního bankovnictví zajímavý cíl
• Je nutno přijímat nové postupy, nelpět na přežitých schématech
• Dlouhodobě nebude stačit jedno-faktorová autentizace
• Více-faktorová autentizace nemusí uživatele bolet