Ondřej Caletka. 13. března 2014

Podobné dokumenty

Ondřej Caletka. 27. března 2014

Ondřej Caletka. 21. října 2015

Bezpečné placení na Internetu

Nastavení Mobilní banky 2 MojeBanka a MojeBanka Business

Hesla včera, dnes a zítra

Co musíte vědět o šifrování

Zabezpečení mobilních bankovnictví

Co musíte vědět o šifrování

SIM karty a bezpečnost v mobilních sítích

Stránka, doména, URL, adresa

Mobilní aplikace BABEL Šifrované SMS

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Nejčastější podvody a útoky na Internetu. Pavel Bašta

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

OBCHODNÍ PODMÍNKY PRO ELEKTRONICKÝ STYK S BANKOU SBERBANK ONLINE BANKING

Dual-stack jako řešení přechodu?

Nastavení telefonu Sony Ericsson XPERIA X8

Ondřej Caletka. 23. května 2014

Nastavení telefonu T-Mobile move

Nastavení zařízení Samsung P1000 Galaxy Tab

VÝZNAM BEZPEČNOSTI MOBILNÍCH PLATFOREM JDE RUKU V RUCE S ROSTOUCÍ POPULARITOU SMARTPHONŮ

Nastavení telefonu Sony Xperia E

Nastavení telefonu Sony Xperia L

První seznámení s mobilní aplikací PATRIOT GPS

Práce s ovými schránkami v síti Selfnet

Nastavení telefonu Samsung S5570 Galaxy Mini

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

eidas odstartuje Německo Jaromír Talíř

CASE MOBILE MOBIL JAKO AUTENTIZAČNÍ TOKEN

Mobilita a roaming Možnosti připojení

Produktové podmínky služeb přímého bankovnictví ekonto a účtů zřízených v ebance před

Falšování DNS s RPZ i bez

Ochrana soukromí v DNS

Nastavení telefonu HTC One S

Nastavení telefonu Nokia N9

Nastavení telefonu Sony Ericsson XPERIA X10

Nastavení tabletu Samsung P5100 Galaxy Tab

Nastavení telefonu Samsung I9300 Galaxy S III

Nastavení tabletu Samsung P605 Galaxy Note 10.1 (2014 edition)

Nastavení telefonu HTC Sensation

Nastavení telefonu Samsung N9005 Galaxy Note 3

ALEŠ LICHTENBERG KAISER DATA

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

Jak se měří Internet

2. Kontakty. 1. Základní nastavení telefonu Vložení SIM a paměťové karty Zapnutí telefonu a PIN. 3. Volání

Nastavení telefonu LG P880 Optimus 4X HD

MOBILNÍ ZAŘÍZENÍ JAKO AUTENTIZAČNÍ NÁSTROJ A JEHO INTEGRACE DO SYSTÉMŮ MILAN HRDLIČKA MONET+ BŘEZEN 2015

Nastavení telefonu Alcatel OT-991

2. Kontakty. 1. Základní nastavení telefonu Vložení SIM karty Vložení paměťové karty Zapnutí telefonu a PIN. 3. Volání

Moderní telefonní ústředna

ové služby a IPv6

Nastavení telefonu Nokia 113

PROFESIONÁLNÍ ODPOSLECH MOBILNÍHO TELEFONU SPYTEL

Vzdálené připojení do sítě ČEZ VPN Cisco AnyConnect

Bezpečnější pošta aneb DANE for SMTP

Nastavení telefonu LG E460 Optimus L5 II

Ceník pro Firemní zákazníky

ATEUS - OMEGA Komunikační řešení pro malé a střední firmy

Aktuální informace o elektronické bezpečnosti

Základní informace a nastavení... 3

Nastavení telefonu Sony Ericsson Xperia Arc S

Jindřichův Hradec SEJF parkování texty WEB

McAfee EMM Jan Pergler Pre-Sales Engineer I

INSTALACE APLIKACE ROZHRANÍ ELDES CLOUD

Postačí z hlediska bezpečnosti ochrana heslem?

Nastavení telefonu LG G2 D802

Jak se chovat v cyberprostoru

O2 ENTERPRISE SECURITY. Vít Jergl, Vladimír Kajš

Nastavení telefonu LG D605 Optimus L9 II

Nastavení telefonu Nokia Asha 311

PRODUKTOVÝ LIST. Dvoufaktorová autentizace přístupu do sítě a k jejímu obsahu

Bezpečnost internetového bankovnictví, bankomaty

1. Základní nastavení telefonu Vložení SIM karty První zapnutí telefonu. 2. Kontakty. 3. Volání

Nastavení telefonu HTC Desire HD

Nastavení telefonu Samsung S5610

Jednorázová hesla pro zvýšení bezpečnosti vzdáleného přístupu mobilních uživatelů

Nastavení telefonu Nokia Lumia 925

PRODUKTOVÉ PODMÍNKY SLUŽEB PŘÍMÉHO BANKOVNICTVÍ

Nastavení telefonu Samsung S7710 Galaxy Xcover 2

Metody autentizace Hesla a Biometriky. Vlasta Šťavová

Nastavení telefonu Nokia C2-01

PŘÍRUČKA UŽIVATELE. Vážený zákazníku,

Nastavení telefonu Huawei Ascend Y300

2. Kontakty. 1. Základní nastavení telefonu Vložení SIM karty První zapnutí telefonu. 3. Volání

Nastavení telefonu HTC Explorer

Nastavení telefonu Nokia 3220

Nastavení telefonu LG E400 Optimus L3

Nastavení telefonu Sony Ericsson T300

Nastavení pro Windows,Linux a Mac

ELEKTRONICKÉ PODÁNÍ OBČANA

Nastavení telefonu Samsung N7100 Galaxy Note II

AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Nastavení telefonu Motorola Motoluxe

Jak zjistit, jestli nejsme obětí

Xiaomi Smart home Gateway. uživatelská příručka

Nastavení telefonu Nokia 206

Z internetu do nemocnice bezpečně a snadno

Elektronické bankovnictví. Přednáška v kurzu KBaA2 ZS 2009

Nastavení telefonu LG P970 Optimus Black

Transkript:

Mobilní zranitelnosti Ondřej Caletka 13 března 2014 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 30 Česko Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 1 / 18

Geolokace mobilních zařízení Zdroj: gsmwebcz Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 2 / 18

Kijev, leden 2014 Vážený zákazníku, zaregistrovali jsme vás jako účastníka nepovolené demonstrace Váš operátor Zdroj: nytimescom Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 3 / 18

SMS zprávy původně jen servisní zprávy sítě nenesou jen text lidé jim mají tendenci důveřovat Zdroj: idgse Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 4 / 18

CLIP (Identifikace volajícího) doplňková služba inteligentní sítě za validitu dat odpovídá originující operátor v rámci mezinárodního styku dobrovolné Prozváněcí podvody Útočník provede krátký hovor z čísla například +2431230292 Oběť volá zpět v domění, že jde o místní hovor Útočník (spolu s místním operátorem) profituje z astronomické ceny mezinárodního hovoru Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 5 / 18

Sociální inženýrství příchozí hovor Dobrý den, nabízím vám speciální tarif pouze pro vás, Nejprve mi ale prosím sdělte heslo pro komunikaci s operátorem identifikaci volajícího lze poměrně snadno podvrhnout autentizace by měla být vzájemná autentizace by neměla umožnit převzetí identity protistrany (nesdělovat celé heslo, jen vybrané znaky) Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 6 / 18

Příliš děravé GSM Zdroj: brmlabcz Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 7 / 18

Příliš děravé GSM odposlech SMS zpráv k uživateli je realizovatelný v amatérských podmínkách ceny profesionálních zařízení stále klesají lze postavit falešnou BTS s vypnutým šifrováním moderní telefony nešifrovaný provoz nedokáží signalizovat částečným řešením je přechod na UMTS Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 8 / 18

Dvoufaktorová autorizace s mobilním telefonem Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 9 / 18

Problém roku ~2004 lidé začali ve velké míře využivat e-banking jejich počítače byly prolezlé malwarem ukradení jména a hesla (případně X509 souboru z disku) bylo příliš lákavé Přidání jednorázového SMS hesla kompromitace počítače nestačí kompromitace mobilního telefonu těžko realizovatelná obtížné propojení dat z kompromitovaných zařízení Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 10 / 18

Autentizační kalkulátor v mobilu Aplikace drží sdílené tajemství se serverem Z tajného klíče jsou podle aktuálního času odvozovány jednorázová hesla Standardizováno v RFC 6238, široká podpora v aplikacích: Google GitHub MojeID Datové schránky Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 11 / 18

Post-PC era ~2012 lidé přestávají konzumovat obsah z PC banky se předhánějí, která nabídne lepší aplikaci pro smartphone lidé zadávají přihlašovací údaje do téhož zařízení, do kterého následně přichází ověřovací zpráva kompromitace mobilního zařízení nás vrací k problémům z roku 2004 ale útočník musí být schopen zneužití v reálném čase Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 12 / 18

Rizika mobilních aplikací Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 13 / 18

Mobilní aplikace iphone licence pro vývojáře přísné podmínky nabízení aplikací v App Store možnost nastavení oprávnění aplikací uživatelem Android vývojář může být každý velmi otevřený Google Play Store oprávnění aplikací určuje vývojář Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 14 / 18

Pozor na oprávnění Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 15 / 18

Pozor na oprávnění odebírání oprávnění aplikaci uživatelem není na Androidu podporováno lze spoléhat jen na dobrou reputaci autora aplikace klíče k podepisování aplikace mohou být autorovi ukradeny Root oprávnění aplikace s root oprávnění mohou úplně všechno vstupovat do šifrovaných spojení krást privátní klíče a hesla maskovat se ani zařízení bez root nejsou v bezpečí Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 16 / 18

Rady na závěr nezkoušet všechny aplikace za každou cenu používat dvoufaktorovou autentizaci, kde je to možné, využívat hesla pro konkrétní zařízení omezit používání e-bankingu na mobilních zařízeních nastavit zamykání obrazovky Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 17 / 18

Závěr Děkuji za pozornost Ondřej Caletka OndrejCaletka@cesnetcz http://ondřejcaletkacz Ondřej Caletka (CESNET, z s p o) Mobilní zranitelnosti 13 března 2014 18 / 18