SlideShare ist ein Scribd-Unternehmen logo

conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014

M
mVISEAG

conVISUAL bietet Beratung und Umsetzung von Lösungen in den Bereichen Mobility, Cloud und Security. Auf dem Fachkongress für Daten-, Informations- und IT-Sicherheit zeigte conVISUAL die erfolgreiche Umsetzung einer sicheren mobile Payment Lösung anhand der McDonald’s Quick Mac App. Peter Hofbauer ging in dem praxisnahen Vortrag auf die Fallstricke und kritischen Bereiche von Payment im mobilen Umfeld ein und führte das interessierte Fachpublikum zu konkreten Lösungen.

Technologie
1 von 29
Downloaden Sie, um offline zu lesen
SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW – 03.12.2014
conVISUAL AG BASISINFORMATIONEN Gegründet:  2000,  seit  Januar  2006  im  Entry  Standard  an  der  Frankfurter  Börse  no:ert   Standorte:  Oberhausen,  Frankfurt  und  Wien   Mitarbeiter:  ca.  65  in  Deutschland  und  Österreich   PLAN Die  conVISUAL  AG  ist  Ihr  zuverlässiger  Partner  für  interna:onale  digitale  Businessprojekte  dank   mehr  als  14  Jahren  Projekt-­‐Erfahrung  in  über  30  Ländern  weltweit.   BUILD RUN ANALYZE
LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE Lösungen und Produkte für Kunden in über 30 Ländern SecurityCloudMobility SaaS- Produkte
PROJEKTBEISPIEL MCDONALDS QUICK MAC APP (ÖSTERREICH)
NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN Virtualization/Cloud Security/PaymentMobility TLS
PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR Quick Mac Server INTERNET Quick Mac App
DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT 1.  VERTRAULICHKEIT Datenzugriff nur autorisiert 2.  INTEGRITÄT Keine unerwünschte Veränderung der Daten 3.  VERFÜGBARKEIT Datenzugriff innerhalb angemessener Zeit
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS 1.  Kunde bezahlt, bekommt aber kein Produkt 2.  Kunde bezahlt nicht (vollständig), bekommt aber das Produkt 3.  Konto des Kunden wird übermäßig hoch belastet
DIE RETTUNG IN DER NOT DER „TRUST ANCHOR“
DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER? Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle: ●  unsicherer Ablauf bei Produktübergabe ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems ●  reproduzierbares Software-Problem ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle: ●  System antwortet nicht mehr und provoziert Fehler im Ablauf ToDo: Abläufe geschickt programmieren und Entscheidungen absichern
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker Attacken
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker-Attacken: ●  [Distributed] Denial of Service Attacken (DoS/DDoS): ToDo: Vermeidung von Unsicherheiten im „Message-Flow“ ●  Man in the Middle Attacken (MitM): ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.B. Payment-Token für wiederkehrende Bezahlung ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.B. TLS 1.2 statt SSL 3.0
QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server
QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server TEST-BESTELLUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server AUTHENTIFIZIERUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server AUTORISIERUNG PIN SMS/Voice
QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server RÜCKFRAGE
BUCHUNG QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET PSP BACKEND Quick Mac Server mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG
BUCHUNG GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG PSP BACKEND Quick Mac Server McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG RÜCKFRAGE
CHECKLISTE PAYMENT SECURITY ●  „Foolproof“ Ablauf bei der Produktübergabe ●  Geeignete „Trust Anchor“ definieren ●  Durchdachter Message-Flow mit Payment-Providern ●  State-of-the-Art Verschlüsselung bei allen Datenübertragungen ●  Lasttests garantieren Systemstabilität
OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST
OWASP MOBILE SECURITY: TOP 10 RISIKEN ●  M1: Weak Server Side Controls ●  M2: Insecure Data Storage ●  M3: Insufficient Transport Layer Protection ●  M4: Unintended Data Leakage ●  M5: Poor Authorization and Authentication ●  M6: Broken Cryptography ●  M7: Client Side Injection ●  M8: Security Decisions Via Untrusted Inputs ●  M9: Improper Session Handling ●  M10: Lack of Binary Protections ●  Sensitive Information Disclosure (Top 10 list 2013)
SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt (aktuell TLS 1.2). Die Unterschiede sind: •  Socket vs Protokoll: SSL (Secure Sockets Layer) richtet den Fokus auf einen Port, wobei TLS (Transport Layer Security) beim Kommunikations- protokoll ansetzt •  Angriffe: Alle SSL Versionen gelten als unsicher. Angriffe sind u.a. BEAST, Lucky13 und Poodle. TLS wehrt diese ab Version TLS 1.1 erfolgreich ab. Das BSI rät von dem Einsatz von SSL ab. •  Perfect Forward Secrecy (PFS): TLS unterstützt Mechanismen um aus alten, gebrochene Verbindungen keine Rückschlüsse auf zukünftige Verbindungen machen zu können. •  Client Überstützung: Hersteller der populären Browser FireFox und Chrome haben als das Agenda Ziel SSL komplett zu entfernen und nur TLS zu verwenden.
WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER Peter Hofbauer, CSO peter.hofbauer@convisual.de +49 173 7285 032

Empfohlen

Executives_Agency_Final_Interaktiv
Executives_Agency_Final_InteraktivExecutives_Agency_Final_Interaktiv
Executives_Agency_Final_InteraktivUwe Conzelmann
 
Internship United Kingdom
Internship United KingdomInternship United Kingdom
Internship United KingdomKulturwerkeD
 
IJS Global Präsentation 2014
IJS Global Präsentation 2014IJS Global Präsentation 2014
IJS Global Präsentation 2014Christoph Schneider
 
LIGHTNING
LIGHTNINGLIGHTNING
LIGHTNINGTaner HAZAR
 
Edelweiss1
Edelweiss1Edelweiss1
Edelweiss1YongSul용설 Park박
 
Diplomarbeit_Christoph_Knappe
Diplomarbeit_Christoph_KnappeDiplomarbeit_Christoph_Knappe
Diplomarbeit_Christoph_KnappeChristoph Knappe
 
Konfigurationsmanagement bei Netzwerkhardware - Eine Evaluation
Konfigurationsmanagement bei Netzwerkhardware - Eine EvaluationKonfigurationsmanagement bei Netzwerkhardware - Eine Evaluation
Konfigurationsmanagement bei Netzwerkhardware - Eine EvaluationKonrad Ferdinand Heimel
 
DOC102616-10262016083738
DOC102616-10262016083738DOC102616-10262016083738
DOC102616-10262016083738Angie Pretorius
 

Empfohlen

Executives_Agency_Final_Interaktiv
Executives_Agency_Final_InteraktivExecutives_Agency_Final_Interaktiv
Executives_Agency_Final_InteraktivUwe Conzelmann
 
Internship United Kingdom
Internship United KingdomInternship United Kingdom
Internship United KingdomKulturwerkeD
 
IJS Global Präsentation 2014
IJS Global Präsentation 2014IJS Global Präsentation 2014
IJS Global Präsentation 2014Christoph Schneider
 
LIGHTNING
LIGHTNINGLIGHTNING
LIGHTNINGTaner HAZAR
 
Edelweiss1
Edelweiss1Edelweiss1
Edelweiss1YongSul용설 Park박
 
Diplomarbeit_Christoph_Knappe
Diplomarbeit_Christoph_KnappeDiplomarbeit_Christoph_Knappe
Diplomarbeit_Christoph_KnappeChristoph Knappe
 
Konfigurationsmanagement bei Netzwerkhardware - Eine Evaluation
Konfigurationsmanagement bei Netzwerkhardware - Eine EvaluationKonfigurationsmanagement bei Netzwerkhardware - Eine Evaluation
Konfigurationsmanagement bei Netzwerkhardware - Eine EvaluationKonrad Ferdinand Heimel
 
DOC102616-10262016083738
DOC102616-10262016083738DOC102616-10262016083738
DOC102616-10262016083738Angie Pretorius
 
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERINGTEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERINGTEAM__KONZEPT
 
MT
MTMT
MTLucas Facioli Milanez
 
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)Susanne Schulten
 
LEADDirect Leadmanagement
LEADDirect Leadmanagement LEADDirect Leadmanagement
LEADDirect Leadmanagement LEADDirect
 
Carta organisasi kantin
Carta organisasi kantinCarta organisasi kantin
Carta organisasi kantindynals
 
Lei PME 2015
Lei PME 2015Lei PME 2015
Lei PME 2015Opboituva
 
Verbale Summer School 2016
Verbale Summer School 2016Verbale Summer School 2016
Verbale Summer School 2016Stefano Piizzi
 
Ost 1 11020 73
Ost 1 11020 73Ost 1 11020 73
Ost 1 11020 73dingi_baachi
 
Executive Summary: Expertenbefragung zur Banken-Website der Zukunft
Executive Summary: Expertenbefragung zur Banken-Website der ZukunftExecutive Summary: Expertenbefragung zur Banken-Website der Zukunft
Executive Summary: Expertenbefragung zur Banken-Website der ZukunftSheila Moghaddam Ghazvini
 
El internet
El internetEl internet
El internetIsai Godoy
 
Ost 1 12112 75
Ost 1 12112 75Ost 1 12112 75
Ost 1 12112 75dingi_baachi
 
PRESENTACION_mexichem
PRESENTACION_mexichemPRESENTACION_mexichem
PRESENTACION_mexichemJosé Pablo López Flores
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive MaintenanceNorbert Redeker
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Praxistage
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecurityWestermo Network Technologies
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenArtikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenPeter Affolter
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSMarkus Groß
 
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia IntellisyncC3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisyncguest608dc7
 
Vodafone Cloud & Hosting Services
Vodafone Cloud & Hosting Services Vodafone Cloud & Hosting Services
Vodafone Cloud & Hosting Services Vodafone Deutschland Business
 

Weitere ähnliche Inhalte

Andere mochten auch

TEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERINGTEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERINGTEAM__KONZEPT
 
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)Susanne Schulten
 
LEADDirect Leadmanagement
LEADDirect Leadmanagement LEADDirect Leadmanagement
LEADDirect Leadmanagement LEADDirect
 
Carta organisasi kantin
Carta organisasi kantinCarta organisasi kantin
Carta organisasi kantindynals
 
Lei PME 2015
Lei PME 2015Lei PME 2015
Lei PME 2015Opboituva
 
Verbale Summer School 2016
Verbale Summer School 2016Verbale Summer School 2016
Verbale Summer School 2016Stefano Piizzi
 
Executive Summary: Expertenbefragung zur Banken-Website der Zukunft
Executive Summary: Expertenbefragung zur Banken-Website der ZukunftExecutive Summary: Expertenbefragung zur Banken-Website der Zukunft
Executive Summary: Expertenbefragung zur Banken-Website der ZukunftSheila Moghaddam Ghazvini
 

Andere mochten auch (12)

TEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERINGTEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
TEAM KONZEPT GMBH MANUFACTURE & ENGINEERING
 
MT
MTMT
MT
 
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
Workshop 360-Grad-Panoramen und virtuelle Rundgänge (Willingen)
 
LEADDirect Leadmanagement
LEADDirect Leadmanagement LEADDirect Leadmanagement
LEADDirect Leadmanagement
 
Carta organisasi kantin
Carta organisasi kantinCarta organisasi kantin
Carta organisasi kantin
 
Lei PME 2015
Lei PME 2015Lei PME 2015
Lei PME 2015
 
Verbale Summer School 2016
Verbale Summer School 2016Verbale Summer School 2016
Verbale Summer School 2016
 
Ost 1 11020 73
Ost 1 11020 73Ost 1 11020 73
Ost 1 11020 73
 
Executive Summary: Expertenbefragung zur Banken-Website der Zukunft
Executive Summary: Expertenbefragung zur Banken-Website der ZukunftExecutive Summary: Expertenbefragung zur Banken-Website der Zukunft
Executive Summary: Expertenbefragung zur Banken-Website der Zukunft
 
El internet
El internetEl internet
El internet
 
Ost 1 12112 75
Ost 1 12112 75Ost 1 12112 75
Ost 1 12112 75
 
PRESENTACION_mexichem
PRESENTACION_mexichemPRESENTACION_mexichem
PRESENTACION_mexichem
 

Ähnlich wie conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014

Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.QAware GmbH
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive MaintenanceNorbert Redeker
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Praxistage
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecurityWestermo Network Technologies
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenArtikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenPeter Affolter
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSMarkus Groß
 
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia IntellisyncC3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisyncguest608dc7
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenQAware GmbH
 
Cloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und MissbrauchspotentialeCloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und Missbrauchspotentialeadesso AG
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things ArchitectureChristian Waha
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmeNoCodeHardening
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016ICS User Group
 
Wüstenrot Webinar
Wüstenrot Webinar Wüstenrot Webinar
Wüstenrot Webinar Dynatrace
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG
 

Ähnlich wie conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014 (20)

Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
SSV Predictive Maintenance
SSV Predictive MaintenanceSSV Predictive Maintenance
SSV Predictive Maintenance
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)Ing. Martin Krejca (UPC Business)
Ing. Martin Krejca (UPC Business)
 
Sicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber SecuritySicheres Netzwerkmanagement - Industrieller Cyber Security
Sicheres Netzwerkmanagement - Industrieller Cyber Security
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte ArchitekturenArtikel Netzguide: Sicherheit für service- orientierte Architekturen
Artikel Netzguide: Sicherheit für service- orientierte Architekturen
 
Transportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPSTransportsicherheit - SSL und HTTPS
Transportsicherheit - SSL und HTTPS
 
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia IntellisyncC3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
C3 Wichterich & Partner Mobile Solutions Blackberry Nokia Intellisync
 
Vodafone Cloud & Hosting Services
Vodafone Cloud & Hosting Services Vodafone Cloud & Hosting Services
Vodafone Cloud & Hosting Services
 
Holistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice ArchitekturenHolistische Sicherheit für Microservice Architekturen
Holistische Sicherheit für Microservice Architekturen
 
Cloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und MissbrauchspotentialeCloud Computing - Technologie und Missbrauchspotentiale
Cloud Computing - Technologie und Missbrauchspotentiale
 
E Security
E SecurityE Security
E Security
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016Domino Security Present and Future ConnectED Review - ICS.UG 2016
Domino Security Present and Future ConnectED Review - ICS.UG 2016
 
Wüstenrot Webinar
Wüstenrot Webinar Wüstenrot Webinar
Wüstenrot Webinar
 
PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)PCS AG: OneTouchDemo (dt.)
PCS AG: OneTouchDemo (dt.)
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
SHD
SHDSHD
SHD
 

conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014

  • 1. SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW – 03.12.2014
  • 2. conVISUAL AG BASISINFORMATIONEN Gegründet:  2000,  seit  Januar  2006  im  Entry  Standard  an  der  Frankfurter  Börse  no:ert   Standorte:  Oberhausen,  Frankfurt  und  Wien   Mitarbeiter:  ca.  65  in  Deutschland  und  Österreich   PLAN Die  conVISUAL  AG  ist  Ihr  zuverlässiger  Partner  für  interna:onale  digitale  Businessprojekte  dank   mehr  als  14  Jahren  Projekt-­‐Erfahrung  in  über  30  Ländern  weltweit.   BUILD RUN ANALYZE
  • 3. LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE Lösungen und Produkte für Kunden in über 30 Ländern SecurityCloudMobility SaaS- Produkte
  • 5. NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN Virtualization/Cloud Security/PaymentMobility TLS
  • 6. PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR Quick Mac Server INTERNET Quick Mac App
  • 7. DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT 1.  VERTRAULICHKEIT Datenzugriff nur autorisiert 2.  INTEGRITÄT Keine unerwünschte Veränderung der Daten 3.  VERFÜGBARKEIT Datenzugriff innerhalb angemessener Zeit
  • 8. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS 1.  Kunde bezahlt, bekommt aber kein Produkt 2.  Kunde bezahlt nicht (vollständig), bekommt aber das Produkt 3.  Konto des Kunden wird übermäßig hoch belastet
  • 9. DIE RETTUNG IN DER NOT DER „TRUST ANCHOR“
  • 10. DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER? Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server
  • 11. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle
  • 12. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle: ●  unsicherer Ablauf bei Produktübergabe ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems ●  reproduzierbares Software-Problem ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates
  • 13. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle
  • 14. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle: ●  System antwortet nicht mehr und provoziert Fehler im Ablauf ToDo: Abläufe geschickt programmieren und Entscheidungen absichern
  • 15. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker Attacken
  • 16. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker-Attacken: ●  [Distributed] Denial of Service Attacken (DoS/DDoS): ToDo: Vermeidung von Unsicherheiten im „Message-Flow“ ●  Man in the Middle Attacken (MitM): ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.B. Payment-Token für wiederkehrende Bezahlung ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.B. TLS 1.2 statt SSL 3.0
  • 17. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server
  • 18. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server TEST-BESTELLUNG
  • 19. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server AUTHENTIFIZIERUNG
  • 20. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server AUTORISIERUNG PIN SMS/Voice
  • 21. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG
  • 22. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server RÜCKFRAGE
  • 23. BUCHUNG QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET PSP BACKEND Quick Mac Server mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG
  • 24. BUCHUNG GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG PSP BACKEND Quick Mac Server McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG RÜCKFRAGE
  • 25. CHECKLISTE PAYMENT SECURITY ●  „Foolproof“ Ablauf bei der Produktübergabe ●  Geeignete „Trust Anchor“ definieren ●  Durchdachter Message-Flow mit Payment-Providern ●  State-of-the-Art Verschlüsselung bei allen Datenübertragungen ●  Lasttests garantieren Systemstabilität
  • 26. OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST
  • 27. OWASP MOBILE SECURITY: TOP 10 RISIKEN ●  M1: Weak Server Side Controls ●  M2: Insecure Data Storage ●  M3: Insufficient Transport Layer Protection ●  M4: Unintended Data Leakage ●  M5: Poor Authorization and Authentication ●  M6: Broken Cryptography ●  M7: Client Side Injection ●  M8: Security Decisions Via Untrusted Inputs ●  M9: Improper Session Handling ●  M10: Lack of Binary Protections ●  Sensitive Information Disclosure (Top 10 list 2013)
  • 28. SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt (aktuell TLS 1.2). Die Unterschiede sind: •  Socket vs Protokoll: SSL (Secure Sockets Layer) richtet den Fokus auf einen Port, wobei TLS (Transport Layer Security) beim Kommunikations- protokoll ansetzt •  Angriffe: Alle SSL Versionen gelten als unsicher. Angriffe sind u.a. BEAST, Lucky13 und Poodle. TLS wehrt diese ab Version TLS 1.1 erfolgreich ab. Das BSI rät von dem Einsatz von SSL ab. •  Perfect Forward Secrecy (PFS): TLS unterstützt Mechanismen um aus alten, gebrochene Verbindungen keine Rückschlüsse auf zukünftige Verbindungen machen zu können. •  Client Überstützung: Hersteller der populären Browser FireFox und Chrome haben als das Agenda Ziel SSL komplett zu entfernen und nur TLS zu verwenden.
  • 29. WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER Peter Hofbauer, CSO peter.hofbauer@convisual.de +49 173 7285 032