Zabezpečení mobilních bankovnictví

Podobné dokumenty
Služba Rychlý výpis umožňuje on-line službám získat elektronický a snadno zpracovatelný výpis z bankovního účtu klienta.

Bezpečnost internetového bankovnictví, bankomaty

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Ondřej Caletka. 13. března 2014

Bankovní aplikace.... a jejich bezpečnost. Petr Dvořák, Partner & ios Development

Ondřej Caletka. 27. března 2014

ELEKTRONICKÉ PODÁNÍ OBČANA

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Bezpečnostní výzvy internetu věcí z pohledu praxe Marek Šottl, Karel Medek public -

Extrémně silné zabezpečení mobilního přístupu do sítě.

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Autentizační metody na mobilních platformách

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

0x5DLaBAKx5FC517D0FEA3

Bezpečnostní zásady. Příloha č. 1 k Podmínkám České národní banky pro používání služby ABO-K internetové bankovnictví

Nasazení mobilního GIS

Z internetu do nemocnice bezpečně a snadno

Google Apps. Administrace

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Ondřej Caletka. 21. října 2015

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Šifrování Autentizace Bezpečnostní slabiny. Bezpečnost. Lenka Kosková Třísková, NTI TUL. 22. března 2013

Smart Home CHYTRÁ WI-FI ZÁSUVKA

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Správa mobilních zařízení a aplikací

NÁVOD K POUŽÍVÁNÍ DIGITÁLNÍ PENĚŽENKY MASTERCARD MOBILE

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Prezentace platebního systému PAIMA

Bezpečná autentizace přístupu do firemní sítě

Programové vybavení OKsmart pro využití čipových karet

Správa přístupu PS3-2

Přidání Edookitu na plochu (v 1.0)

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Mobile application developent

Bezpečná autentizace nezaměnitelný základ ochrany

I.CA RemoteSeal. Ing. Filip Michl První certifikační autorita, a.s

GIS v montérkách. Dalkia implementuje ArcGIS for Smartphone. Mgr. Ivana Niedobová Ing. Stanislav Šplíchal 21/11/2013

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Nejzabezpečenější Android řešení

Představení Kerio Control

NÁVRH EFEKTIVNÍ STRATEGIE MOBILNÍHO BANKOVNICTVÍ: NALEZENÍ SPRÁVNÉHO OBCHODNÍHO MODELU Mobile tech 2014

Technické aspekty zákona o kybernetické bezpečnosti

Uživatelský manuál mobilní aplikace My Connected Car

McAfee EMM Jan Pergler Pre-Sales Engineer I

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

SIM karty a bezpečnost v mobilních sítích

Terminál mypos. Obecné informace o terminálu. Aktivace zařízení KASA FIK mypos

Trendy v mobilním placení

Elektronické bankovnictví IV. čtvrtek, 31. května 12

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Toshiba EasyGuard v akci:

ISSS Mgr. Pavel Hejl, CSc. T- SOFT spol. s r.o.

BUSINESS 24 Databanking

Projekt podnikové mobility

Bezpečnost mobilních multi-banking aplikací

Karel Bittner HUMUSOFT s.r.o. HUMUSOFT s.r.o.

KYBERNETICKÁ BEZPEČNOST A AUTENTIZACE MONET+

KANTOR IDEÁL Vzdělávání a podpora pedagogických pracovníků ZŠ a SŠ při integraci ICT do výuky. registrační číslo: CZ.1.07/1.3.00/51.

Mobilní informační průvodce - RegTim

PRODUKTOVÝ LIST. Zabezpečení a správa firemních mobilních zařízení

Skrytá DVR kamera se záznamem

Mobilní komunikace a bezpečnost. Edward Plch, System4u

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Skrytá Wi-Fi kamera v síťovém adaptéru HD 1080P Pro Wi-Fi AC

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Full HD Wi-Fi kamerový modul AI-M002

TECHNICKÉ PODMÍNKY. Tyto podmínky stanoví technické požadavky pro poskytování vybraných Bankovních služeb. Vaše případné dotazy rádi zodpovíme.

PŘEHLED SLUŽEB A PARAMETRŮ INTERNETOVÉHO BANKOVNICTVÍ CREDITAS

Základní informace a nastavení... 3

Tablet DFS-T88 Android Návod k použití

OBCHODNÍ PODMÍNKY PRO ELEKTRONICKÝ STYK S BANKOU SBERBANK ONLINE BANKING

INSTALACE APLIKACE ROZHRANÍ ELDES CLOUD

Kaspersky ONE. univerzální zabezpečení. Ochrana různých zařízení

Propojte vaši pečicí troubu s budoucností. Návod k instalaci

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Produktové podmínky služeb přímého bankovnictví ekonto a účtů zřízených v ebance před

Bezpečnostní rizika Smart bankovnictví

mpos mobilní aplikace Průvodce pro použití s Lenovo A2010

Digitální identita Moderní přístup k identifikaci klienta. Pavel Šiška, Štěpán Húsek, Deloitte Digital - Technology Services

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Intune a možnosti správy koncových zařízení online

Cross-Site Scripting (XSS)

Bezpečnost sítí

2. Internet. 1. Aplikace Vyhledání a stažení aplikace Založení účtu v Google Play. 3. Zabezpečení

Symantec Mobile Management for Configuration Manager 7.2

Správa přístupu PS3-1

Nová aplikace UPC Telefon pro mobilní telefony Informace, jak používat aplikaci

Mirror Dash Kamera - Manuál

Bezpapírový obchod a jeho přednosti

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Nastavení Mobilní banky 2 MojeBanka a MojeBanka Business

KLASICKÝ MAN-IN-THE-MIDDLE

Jak se chovat v cyberprostoru

Transkript:

Konference Security 2015 Zabezpečení mobilních bankovnictví Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu

Obsah Vlastnosti mobilních zařízení. Architektura mobilního bankovnictví. Popis současného stavu zabezpečení. Témata roku 2015.

Vlastnosti mobilních zařízení

Mobilní zařízení Chytré telefony a tablety. Zcela běžně dostupná. Vysoce přenosná, osobní. Vždy on-line (GSM i Wi-Fi). Vybavená senzory.

Mobilní operační systémy ios: Mac OS X, Objective-C / Cocoa. Android: Linux, Java (Dalvik). Relativně snadné zásahy v runtime. Benevolentní management paměti. Snadné napadení po úpravě jail break

Architektura mobilních bankovnictví

Celkový pohled shora XML/JSON over REST Front-endový server Integrační mezivrstva Transakční systém Autentizační systém...

Celkový pohled shora XML/JSON over REST Front-endový server Integrační mezivrstva Transakční systém Autentizační systém...

Celkový pohled shora XML/JSON over REST Front-endový server Integrační mezivrstva Transakční systém Autentizační systém... Penetrační testy vždy před většími release

Celkový pohled shora XML/JSON over REST Front-endový server Integrační mezivrstva Transakční systém Autentizační systém... Penetrační testy vždy před většími release

Mobilní bankovnictví Nativní aplikace. Různé operační systémy

Mobilní bankovnictví Objective-C

Mobilní bankovnictví Java

Mobilní bankovnictví C/C++ (sdílený kód)

Popis současného stavu zabezpečení

Současný stav zabezpečení Bezpečnost MB - vyšší než bezpečnost IB. Konsenzus: Aktivace skrze IB + jiné kanály. Kompromis UX vs. bezpečnost vyřešený. Řeší se už především vychytávky.

Staré dobré útoky Útok MITM. Podvržená aplikace. Útok po ukradení. Reverzní inženýrství.

Útok MITM ios - Snadné (Wi-Fi, e-mail). Android - Méně snadné (SD karta). Podepisování na aplikační vrstvě. Striktní validace SSL certifikátu.

Útok MITM ios - Snadné (Wi-Fi, e-mail). Android - Méně snadné (SD karta). Podepisování na aplikační vrstvě. Striktní validace SSL certifikátu.

Útok MITM ios - Snadné (Wi-Fi, e-mail). Android - Méně snadné (SD karta). Podepisování na aplikační vrstvě. Striktní validace SSL certifikátu. Problém při vypršení platnosti.

Podvržená aplikace Uživatelé vyhlíží aplikace své banky. ios - Nemožné (review). Android - Snadné (otevřenost). Manuální kontrola Google Play (a App Store). Uživatelská hodnocení.

Podvržená aplikace ios - Nemožné (review). Android - Snadné (otevřenost). Manuální kontrola Google Play (a App Store). Uživatelská hodnocení. Nejlepší obrana: vydejte aplikaci včas a komunikujte ji!

Podvržená aplikace Cross-platform útoky na desktop i smartphone. Častější aplikace, které útočí na IB. Instalace z externích zdrojů Stále sofistikovanější realizace.

Útok po ukradení Krádež či ztráta zařízení. Malý dopad reálně, velké obavy uživatelů. Typy útoků: Postranní kanály. Hádání hesla. Dolování hesla.

Postranní kanály Útok jinudy, než skrze aplikaci. Použití stejného hesla napříč aplikacemi s různým zabezpečením. Slabá úložiště hesel. Otisky prstů na displeji.

Postranní kanály

Hádání hesla Nutné efektivně omezit počet pokusů. Sdílený náhodný klíč (symetrická šifra). Sekvenčnost. Heslo odemykající klíč nemusí být složité. V případě správné implementace dílčího ověřování.

Hádání hesla Opačný požadavek než omezení počtu pokusů pro hádání. Nutné omezení možnosti blokování účtu. Rozpoznání situace, kdy útočník vlastní zařízení uživatele. Dvou-faktorová autentizace.

Dolování hesla Jailbreak + Cycript. Výpis paměti nebo útok na run-time. Nutné zajistit striktní práci s pamětí. Low-level implementace (C/C++ modul). Android NDK.

Dolování hesla Malware? Hra skončila... Spuštění Zadání Zavření Aplikace aplikace hesla aplikace ukončena Uživatel: Aplikace je vypnutá. Systém: Aplikace si chvíli podržím. Útočník zcizí zařízení, nebo jej uživatel ztratí.

Dolování hesla Přemazávání klíčů a dočasných hodnot. Složitější dekompilace algoritmů. Speciální klávesnice. Zabezpečení zadávání hesla do textových polí.

Reverzní inženýrství Přílišné odkrývání implementačních detailů láká zvědavce. Diskuze, které se nemusí vést = reputační riziko. Možnost nalezení slabších míst implementace.

Témata 2015

Silnější autorizace Současné mobilní banky směřují na retail. Chybí řešení pro SME a větší podniky. Jak z pohledu funkčnosti, tak bezpečnosti.

HW token, ARM TrustZone,... Možností je mnoho...

HW token, ARM TrustZone,... 2-10 m radius

Inovativní funkčnosti Otisky prstů - TouchID Hlasová biometrie - Nuance Kontext-aware bezpečnost - ibeacon

Petr Dvořák CEO, Lime - HighTech Solutions s.r.o. petr@lime-company.eu Děkuji.

Panelová)diskuse) Bezpečnost)mobilních)zařízení) 16.$února$2011$

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář