Co je mobilní bankovnictví, jaké jsou jeho nejčastější způsoby (SIM Toolkit, aplikace pro operační systémy iOS, Android, Symbian apod.). V čem jsou jeho výhody a v čem spočívá jeho nebezpečí a riziko? Je možné dlouhodobě spoléhat na jednofaktorovou bezpečnost řešení mobilních bankovnictví?
12. Problém
• Žádné IMEI, ICCID, ...
• často není SIM karta, není API v SDK
• Žádná autorizace pomocí SMS
• opět - není SIM
• ... nebo hůř - je SIM
• Žádná USB klíčenka
• není port pro USB
13. Řešení
• Přiznat si, že zařízení je anonymní
• “ID zařízení” vs. “ID instalace”
• ... chceme přeci ověřit uživatele, boha jeho...
• Autentizace = “Jak dokážu, že já jsem já...”
• Jiná dvou-faktorová autentizace
• SecurID
• Secure Token s NFC
14. Zařízení je anonymní
• Nesmí být moc anonymní
• Blokace při ztrátě
• Obrana proti zablokování účtu
• Řeší proces aktivace / personalizace
• Sekvence kroků na zařízení a v internetovém
bankovnictví
• Internetové bankovnictví je bezpečný kanál
16. SERVIS 24
• Heslo pro Mobilní banku se nastavuje v IB
• V prostředí IB uživatel nastaví heslo a opíše si
jednorázový kód
• Heslo je v IB autorizováno běžnými prostředky
• Aktivace se dokončí v mobilním zařízení
• Na základě klientského čísla, jednorázového
kódu a hesla dojde k personalizaci instalace
18. SERVIS 24
Z reklamy na bezpečnost:
“Při komunikaci se serverem je každý
požadavek individuálně podepsán
signaturou složenou z dat personalizace,
dat daného požadavku, hashe
uživatelského hesla, časového razítka
a dalších, velmi tajných parametrů.”
19. SERVIS 24
• ... tedy i při prolomení bezpečného
komunikačního kanálu
• Je zajištěno, že není možné kompromitovat
heslo
• Není možné opakovat requesty na server
• Není možné podvrhovat obsah requestů
• Je zajištěno, že požadavky provádí daný
uživatel z jeho aktivovaného zařízení
21. Problém
• Firmy zaměřené na mobilní vývoj jsou
stále mladé
• Nevědí, kde může být teoreticky problém
• Firmy provádějící bezpečnostní audit
stále nemají detailní znalost platforem
• Jak funguje logování? Jak se pracuje
s certifikáty? Co je to keychain? Jak fungují
cookies a HTTP cache? Jak instalovat aplikaci
ze serveru banky?
22. Řešení
• Přiznat si, že nejsem superman
• “Naše firma testuje bezpečnost již 100 let,
testovali jsme pro Bank of America.”
• “Vyvíjíme aplikace pro mobily už 4 roky,
udělali jsme Chrochtátko pro iPhone.”
• V kooperaci verifikovat bezpečnost
• Návrh bezpečnosti
• Implementace pro danou platformu
25. 2-faktorová autentizace
• Obejdeme se bez ní?
• Klid - teď ano...
• ... pak ne...
• Mobilní bankovnictví není moc rozšířené
• Nevyplatí se útočit skrze něj
• Neexistují hrozby, které by vynutily silnější
autorizaci
• Ne zcela platí pro Android, naštěstí je tu Avast antivirus
• Čeká se na první skandál☺
26. Shrnutí
• Nová zařízení přinesla nové hrozby
• Je potřeba je vyřešit do doby, než bude
z mobilního bankovnictví zajímavý cíl
• Je nutno přijímat nové postupy, nelpět na
přežitých schématech
• Dlouhodobě nebude stačit jedno-faktorová
autentizace
• Více-faktorová autentizace nemusí uživatele
bolet