SICHERHEIT BEI MOBILE PAYMENT
IT SICHERHEITSTAG NRW – 03.12.2014
conVISUAL AG
BASISINFORMATIONEN
Gegründet: 	
  2000,	
  seit	
  Januar	
  2006	
  im	
  Entry	
  Standard	
  an	
  der	
  ...
LEISTUNGSSPEKTRUM UND KUNDEN
MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE
Lösungen und Produkte für Kunden in über 30 Lände...
PROJEKTBEISPIEL
MCDONALDS QUICK MAC APP (ÖSTERREICH)
NICHT NUR EINE APP
EIN BLICK HINTER DIE KULISSEN
Virtualization/Cloud Security/PaymentMobility
TLS
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Se...
DIE GRUNDSÄTZE
INFORMATIONSSICHERHEIT
1.  VERTRAULICHKEIT
Datenzugriff nur autorisiert
2.  INTEGRITÄT
Keine unerwünschte V...
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
1.  Kunde bezahlt, bekommt aber
kein Produkt
2.  Kunde bezahl...
DIE RETTUNG IN DER NOT
DER „TRUST ANCHOR“
DIE RETTUNG IN DER NOT
WO LIEGEN UNSERE ANKER?
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native ...
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Kreative Kunden entdecken eine Schwachstelle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Kreative Kunden entdecken eine Schwachstelle:
●  unsicherer A...
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Technische Probleme und Teilausfälle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Technische Probleme und Teilausfälle:
●  System antwortet nic...
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Hacker Attacken
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Hacker-Attacken:
●  [Distributed] Denial of Service Attacken ...
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUni...
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUni...
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUni...
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUni...
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUni...
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUni...
BUCHUNG
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
INTERNET
PSP BACKEND
Quick Mac Server
mWeb
PayPal
native SDK
PayBox
native SD...
BUCHUNG
GELD GEGEN BURGER: WER ENTSCHEIDET?
ABLAUF DER ZAHLUNG
PSP BACKEND
Quick Mac Server
McDonald‘s Gateway
Bild/Produk...
CHECKLISTE
PAYMENT SECURITY
●  „Foolproof“ Ablauf bei der Produktübergabe
●  Geeignete „Trust Anchor“ definieren
●  Durchd...
OWASP MOBILE SECURITY GUIDELINES
REFERENZ FÜR ENTWICKLUNG UND TEST
OWASP MOBILE SECURITY: TOP 10 RISIKEN
●  M1: Weak Server Side Controls
●  M2: Insecure Data Storage
●  M3: Insufficient Tr...
SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH
SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt
(aktu...
WIR BERATEN. PRODUKTE.
IN DIE CLOUD, UND ZWAR SICHER
Peter Hofbauer, CSO
peter.hofbauer@convisual.de
+49 173 7285 032
Nächste SlideShare
Wird geladen in …5
×

conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014

966 Aufrufe

Veröffentlicht am

conVISUAL bietet Beratung und Umsetzung von Lösungen in den Bereichen Mobility, Cloud und Security.
Auf dem Fachkongress für Daten-, Informations- und IT-Sicherheit zeigte conVISUAL die erfolgreiche Umsetzung einer sicheren mobile Payment Lösung anhand der McDonald’s Quick Mac App. Peter Hofbauer ging in dem praxisnahen Vortrag auf die Fallstricke und kritischen Bereiche von Payment im mobilen Umfeld ein und führte das interessierte Fachpublikum zu konkreten Lösungen.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
966
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
278
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

conVISUAL Vortrag "Mobile Payment Security" am IT Sicherheitstag NRW, Dez. 2014

  1. 1. SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW – 03.12.2014
  2. 2. conVISUAL AG BASISINFORMATIONEN Gegründet:  2000,  seit  Januar  2006  im  Entry  Standard  an  der  Frankfurter  Börse  no:ert   Standorte:  Oberhausen,  Frankfurt  und  Wien   Mitarbeiter:  ca.  65  in  Deutschland  und  Österreich   PLAN Die  conVISUAL  AG  ist  Ihr  zuverlässiger  Partner  für  interna:onale  digitale  Businessprojekte  dank   mehr  als  14  Jahren  Projekt-­‐Erfahrung  in  über  30  Ländern  weltweit.   BUILD RUN ANALYZE
  3. 3. LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE Lösungen und Produkte für Kunden in über 30 Ländern SecurityCloudMobility SaaS- Produkte
  4. 4. PROJEKTBEISPIEL MCDONALDS QUICK MAC APP (ÖSTERREICH)
  5. 5. NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN Virtualization/Cloud Security/PaymentMobility TLS
  6. 6. PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR Quick Mac Server INTERNET Quick Mac App
  7. 7. DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT 1.  VERTRAULICHKEIT Datenzugriff nur autorisiert 2.  INTEGRITÄT Keine unerwünschte Veränderung der Daten 3.  VERFÜGBARKEIT Datenzugriff innerhalb angemessener Zeit
  8. 8. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS 1.  Kunde bezahlt, bekommt aber kein Produkt 2.  Kunde bezahlt nicht (vollständig), bekommt aber das Produkt 3.  Konto des Kunden wird übermäßig hoch belastet
  9. 9. DIE RETTUNG IN DER NOT DER „TRUST ANCHOR“
  10. 10. DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER? Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server
  11. 11. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle
  12. 12. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Kreative Kunden entdecken eine Schwachstelle: ●  unsicherer Ablauf bei Produktübergabe ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems ●  reproduzierbares Software-Problem ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates
  13. 13. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle
  14. 14. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Technische Probleme und Teilausfälle: ●  System antwortet nicht mehr und provoziert Fehler im Ablauf ToDo: Abläufe geschickt programmieren und Entscheidungen absichern
  15. 15. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker Attacken
  16. 16. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS Hacker-Attacken: ●  [Distributed] Denial of Service Attacken (DoS/DDoS): ToDo: Vermeidung von Unsicherheiten im „Message-Flow“ ●  Man in the Middle Attacken (MitM): ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.B. Payment-Token für wiederkehrende Bezahlung ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.B. TLS 1.2 statt SSL 3.0
  17. 17. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server
  18. 18. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server TEST-BESTELLUNG
  19. 19. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server AUTHENTIFIZIERUNG
  20. 20. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server AUTORISIERUNG PIN SMS/Voice
  21. 21. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG
  22. 22. QUICK MAC DETAILS ABLAUF DER ZAHLUNG Quick Mac Server INTERNET PSP BACKEND mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server RÜCKFRAGE
  23. 23. BUCHUNG QUICK MAC DETAILS ABLAUF DER ZAHLUNG INTERNET PSP BACKEND Quick Mac Server mWeb PayPal native SDK PayBox native SDK PayUnity Quick Mac App McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG
  24. 24. BUCHUNG GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG PSP BACKEND Quick Mac Server McDonald‘s Gateway Bild/Produkt- Datenbank 200 Restaurant-Server BESTELLUNG RÜCKFRAGE
  25. 25. CHECKLISTE PAYMENT SECURITY ●  „Foolproof“ Ablauf bei der Produktübergabe ●  Geeignete „Trust Anchor“ definieren ●  Durchdachter Message-Flow mit Payment-Providern ●  State-of-the-Art Verschlüsselung bei allen Datenübertragungen ●  Lasttests garantieren Systemstabilität
  26. 26. OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST
  27. 27. OWASP MOBILE SECURITY: TOP 10 RISIKEN ●  M1: Weak Server Side Controls ●  M2: Insecure Data Storage ●  M3: Insufficient Transport Layer Protection ●  M4: Unintended Data Leakage ●  M5: Poor Authorization and Authentication ●  M6: Broken Cryptography ●  M7: Client Side Injection ●  M8: Security Decisions Via Untrusted Inputs ●  M9: Improper Session Handling ●  M10: Lack of Binary Protections ●  Sensitive Information Disclosure (Top 10 list 2013)
  28. 28. SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt (aktuell TLS 1.2). Die Unterschiede sind: •  Socket vs Protokoll: SSL (Secure Sockets Layer) richtet den Fokus auf einen Port, wobei TLS (Transport Layer Security) beim Kommunikations- protokoll ansetzt •  Angriffe: Alle SSL Versionen gelten als unsicher. Angriffe sind u.a. BEAST, Lucky13 und Poodle. TLS wehrt diese ab Version TLS 1.1 erfolgreich ab. Das BSI rät von dem Einsatz von SSL ab. •  Perfect Forward Secrecy (PFS): TLS unterstützt Mechanismen um aus alten, gebrochene Verbindungen keine Rückschlüsse auf zukünftige Verbindungen machen zu können. •  Client Überstützung: Hersteller der populären Browser FireFox und Chrome haben als das Agenda Ziel SSL komplett zu entfernen und nur TLS zu verwenden.
  29. 29. WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER Peter Hofbauer, CSO peter.hofbauer@convisual.de +49 173 7285 032

×