Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych. Omawiane problemy: - Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej? - Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo. - Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych? - Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady. - Dane przechowywane na urządzeniu. - Autoryzacja transakcji. - Wrogie oprogramowanie (malware). - Bezpieczna aplikacja mobilna – Jak to osiągnąć? - Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej - Ocena projektu - Testy bezpieczeństwa

1. Wojciech
Dworakowski
Bankowość i płatności
mobilne
Jak zrobić to bezpiecznie ?

2. 22
login: Wojciech Dworakowski
 Testowanie i doradztwo dotyczące
bezpieczeństwa aplikacji i systemów IT
 Działamy od 2003 roku
 Zbadaliśmy bezpieczeństwo ponad 200
systemów i aplikacji
Od 2011 – OWASP Poland Chapter
Leader

3. 33
Agenda
Profil ryzyka dla mobilnych aplikacji
finansowych
 Specyfika aplikacji mobilnych
 Dane przechowywane na urządzeniu
 Bezpieczeństwo połączenia
 Malware
Jak to zrobić bezpiecznie?

4. 44

5. 55
Bankowość / płatności mobilne
Dawniej Teraz

6. 66
Zmienia się również
profil ryzyka
Urządzenie użytkownika
 Kradzież, zgubienie, chwilowy dostęp
Aplikacja pod kontrolą użytkownika
 Może być analizowana i dowolnie
modyfikowana

7. 77
Profil ryzyka
Inne aplikacje na urządzeniu
 Mogą stanowić zagrożenie
Uaktualnienia
 ze znacznym opóźnieniem
API po stronie serwera
 Osiągalne bezpośrednio, bez aplikacji
użytkownika

8. 88
Profil ryzyka
Aplikacji mobilnych nie można
traktować jak „prawie WWW”
 To nie jest tylko inny sposób
prezentacji

9. 99
Dane przechowywane na
urządzeniu
Co w przypadku utraty urządzenia?
 Dane wrażliwe (dane uwierzytelniające
i autoryzujące transakcje, tajemnica
bankowa, dane osobowe, …)
Czy dane są szyfrowane?
Czy klucz szyfrowania nie da się
odzyskać?

10. 1010
Dane przechowywane na
urządzeniu (c.d.)
Co jest zapisywane do logów w trakcie
pracy aplikacji?
Dane uwierzytelniające
 Jaka jest przestrzeń poszukiwań?
 Ile prób odgadnięcia ma atakujący?
 Czy można je „odgadnąć” bez kontaktu
z serwerem?

11. 1111
Przykład
Aplikacja mobilna
Sekret używany do uwierzytelnienia,
zaszyfrowany kluczem generowanym
na podstawie PIN
Dodatkowo - na urządzeniu dane
zaszyfrowane tym kluczem
Efekt
 Klucz można łamać off-line
 4 cyfry = 10 tys. prób = chwila
Koszt usunięcia: Zmiana algorytmu
(po wdrożeniu)
Grafika:technabob.com

12. 1212
Bezpieczeństwo połączenia
SSL (szyfrowanie, autentyczność)
Co weryfikuje autentyczność serwera?
 Aplikacje przeglądarkowe:
Przeglądarka
 Aplikacje mobilne: Aplikacja
Czy na pewno?

13. 1313
Autoryzacja transakcji
Mechanizm powinien
umożliwiać zweryfikowanie
danych transakcji
Użycie innego kanału –
niekontrolowanego przez
intruza
 SMS
 Token (osobna aplikacja)
Na pewno?
Jak to zrobić wygodnie?

14. 1414
Wrogie oprogramowanie
(malware)
Telefon/tablet… tak jak komputer, ale:
 ryzyka są mniej rozpoznane
 brak kontroli AV (standardowo)
 brak unifikacji systemu
 rzadsze uaktualnienia
 inny interfejs (mały ekran, dotyk,
kamera, NFC, …)
 użytkownik może instalować dowolne
oprogramowanie

15. 1515
Najgroźniejsza „podatność”

16. 1616
Jak to zrobić bezpiecznie?
Definiowanie
• Analiza ryzyka (7.4)
• Zdefiniowanie
wymagao (7.2)
Projektowanie
• Wymagania są
weryfikowane w
projekcie
Wykonanie
• Testy jednostkowe
(według przyjętych
wymagao)
Wdrażanie
• Testy przed
wdrożeniem (7.5-6)
• Weryfikacja spełnienia
wymagao (7.7)
Wymagania

17. 1717
Analiza ryzyka
(model uproszczony)
Identyfikacja ryzyka
 Zagrożenia (Kto?)
 Potencjalne skutki (Po co?)
Ranking ryzyk (ekspozycja, motywacja,
skutki, …)
Definiowanie Projektowanie
WykonanieWdrażanie

18. 1818
Zdefiniowanie wymagań
Scenariusze ataku
 Jak zagrożenia mogą osiągnąć cele?
 Z uwzględnieniem specyfiki środowisk
mobilnych
 Wymaga doświadczenia i wiedzy
eksperckiej
Definiowanie Projektowanie
WykonanieWdrażanie
Zagrożenia Skutki
Scenariusze
ataku
Kto? Jak? Co?

19. 1919
Zdefiniowanie wymagań (c.d.)
Dobranie zabezpieczeń
 Jak bronić się przed atakami?
 WYMAGANIA
–funkcjonalne i niefunkcjonalne
 Częściowo można wykorzystać
istniejące standardy
Definiowanie Projektowanie
WykonanieWdrażanie

20. 2020
Materiały pomocnicze
OWASP Mobile Top 10
ENISA Top 10 Smartphone Risks
OWASP Mobile Security Project
10 Immutable Laws of Security

21. 2121
Projektowanie i wytwarzanie
Projektowanie
 Weryfikacja wymagań w projekcie
Wytwarzanie
 Weryfikacja poprawności kodu
 Testy jednostkowe zabezpieczeń
Definiowanie Projektowanie
WykonanieWdrażanie

22. 2222
Testy przed wdrożeniem
Zakres testów
 Weryfikacja wymagań
Scenariusze testowe
 Scenariusze ataków
(z etapu definiowania)
Definiowanie Projektowanie
WykonanieWdrażanie

23. 2323
Testowanie bezpieczeństwa
Na podstawie zidentyfikowanych zagrożeń i
priorytetów
NIE black-box !
Uwzględnienie całego środowiska
 Atakowany jest cały system
a nie jeden element
 Wszystkie platformy
 Połączenia z innymi systemami, biblioteki,
framework
Kluczowe – doświadczenie testujących

24. 2424
Zalety
Jasno zdefiniowane wymagania
 dla wykonawcy i do testów bezp.
Optymalizacja kosztów
 Zabezpieczenia adekwatne do ryzyka
 Możliwość wczesnej eliminacji
podatności
Znacznie łatwiejsza analiza wpływu
zmian na bezpieczeństwo

25. 2525
Podsumowanie
Zaplanuj bezpieczeństwo
 Identyfikacja zagrożeń
 Projektowanie zabezpieczeń
Weryfikuj bezpieczeństwo
 Przed: Modelowanie zagrożeń
 Po: Testy penetracyjne, przeglądy kodu
i konfiguracji

26. 2626
Pytania
http://www.securing.pl
e-mail: info@securing.pl
Jontkowa Górka 14a
30-224 Kraków
tel. (12) 4252575
fax. (12) 4252593
Wojciech Dworakowski
wojciech.dworakowski@securing.pl
tel. 506 184 550