Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?

1. Mobilní bankovnictví
a bezpečnostní rizika
Petr Dvořák
Chief Senior Workaholics

2. Před pár lety...

3. První krůčky: GSM, JavaME

4. Dnes jsme dále...

5. Finance jsou mobilní

6. Nová zařízení, nové problémy

7. Mobilní telefon
(krásný)

8. Tablet device
(krásný)

9. Dell Streak
(divný)

10. Asus EEEPad
(nevyhraněný)

11. Internet do notebooku?
(Co bude dál? Lékař jen na zuby?)

12. Problém
• Žádné IMEI, ICCID, ...
• často není SIM karta, není API v SDK
• Žádná autorizace pomocí SMS
• opět - není SIM
• ... nebo hůř - je SIM
• Žádná USB klíčenka
• není port pro USB

13. Řešení
• Přiznat si, že zařízení je anonymní
• “ID zařízení” vs. “ID instalace”
• ... chceme přeci ověřit uživatele, boha jeho...
• Autentizace = “Jak dokážu, že já jsem já...”
• Jiná dvou-faktorová autentizace
• SecurID
• Secure Token s NFC

14. Zařízení je anonymní
• Nesmí být moc anonymní
• Blokace při ztrátě
• Obrana proti zablokování účtu
• Řeší proces aktivace / personalizace
• Sekvence kroků na zařízení a v internetovém
bankovnictví
• Internetové bankovnictví je bezpečný kanál

15. Případová studie

16. SERVIS 24
• Heslo pro Mobilní banku se nastavuje v IB
• V prostředí IB uživatel nastaví heslo a opíše si
jednorázový kód
• Heslo je v IB autorizováno běžnými prostředky
• Aktivace se dokončí v mobilním zařízení
• Na základě klientského čísla, jednorázového
kódu a hesla dojde k personalizaci instalace

17. SERVIS 24 pro iPhone

18. SERVIS 24
Z reklamy na bezpečnost:
“Při komunikaci se serverem je každý
požadavek individuálně podepsán
signaturou složenou z dat personalizace,
dat daného požadavku, hashe
uživatelského hesla, časového razítka
a dalších, velmi tajných parametrů.”

19. SERVIS 24
• ... tedy i při prolomení bezpečného
komunikačního kanálu
• Je zajištěno, že není možné kompromitovat
heslo
• Není možné opakovat requesty na server
• Není možné podvrhovat obsah requestů
• Je zajištěno, že požadavky provádí daný
uživatel z jeho aktivovaného zařízení

20. Nová zařízení, staré problémy

21. Problém
• Firmy zaměřené na mobilní vývoj jsou
stále mladé
• Nevědí, kde může být teoreticky problém
• Firmy provádějící bezpečnostní audit
stále nemají detailní znalost platforem
• Jak funguje logování? Jak se pracuje
s certifikáty? Co je to keychain? Jak fungují
cookies a HTTP cache? Jak instalovat aplikaci
ze serveru banky?

22. Řešení
• Přiznat si, že nejsem superman
• “Naše firma testuje bezpečnost již 100 let,
testovali jsme pro Bank of America.”
• “Vyvíjíme aplikace pro mobily už 4 roky,
udělali jsme Chrochtátko pro iPhone.”
• V kooperaci verifikovat bezpečnost
• Návrh bezpečnosti
• Implementace pro danou platformu

23. Autentizace stojí a padá
s heslem uživatele

24. “Nedávej všechna vejce do
jednoho košíku”

25. 2-faktorová autentizace
• Obejdeme se bez ní?
• Klid - teď ano...
• ... pak ne...
• Mobilní bankovnictví není moc rozšířené
• Nevyplatí se útočit skrze něj
• Neexistují hrozby, které by vynutily silnější
autorizaci
• Ne zcela platí pro Android, naštěstí je tu Avast antivirus
• Čeká se na první skandál☺

26. Shrnutí
• Nová zařízení přinesla nové hrozby
• Je potřeba je vyřešit do doby, než bude
z mobilního bankovnictví zajímavý cíl
• Je nutno přijímat nové postupy, nelpět na
přežitých schématech
• Dlouhodobě nebude stačit jedno-faktorová
autentizace
• Více-faktorová autentizace nemusí uživatele
bolet

27. Děkuji
@inmite
@joshis_tweets