Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

Transkrypt

1 Urządzenia mobilne w transakcjach elektronicznych - szanse i zagrożenia Artur Maj, Prevenity Agenda Przegląd rynku urządzeń mobilnych Urządzenia mobilne w transakcjach elektronicznych Bezpieczeństwo urządzeń mobilnych w kontekście transakcji elektronicznych Podsumowanie i rekomendacje 1

2 Przegląd rynku urządzeń mobilnych Rys historyczny

3 Perspektywy rozwoju Rynek urządzeń mobilnych Mobile Devices Smartphones mln 172 mln mln 296 mln Źródło: Gartner, Worldwide Smartphone Sales in

4 Rynek urządzeń mobilnych (cd.) 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Nokia Samsung LG RIM Apple Inne ,4% 19,5% 10,1% 2,8% 2,1% 29,0% ,9% 17,6% 7,1% 3,0% 2,9% 40,3% Źródło: Gartner, Worldwide Mobile Devices Sales in 2010 Rynek urządzeń smartphone 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Symbian Android RIM ios Microsoft Inne ,9% 3,9% 19,9% 14,4% 8,7% 6,1% ,6% 22,7% 16,0% 15,7% 4,2% 3,8% Źródło: Gartner, Worldwide Smartphone Sales in

5 Urządzenia mobilne w transakcjach elektronicznych Urządzenia mobilne w transakcjach elektronicznych Popularne sposoby wykorzystania urządzeń mobilnych w transakcjach elektronicznych: Możliwość zlecania i realizacji transakcji Aplikacje WWW (wielokanałowe) Aplikacje natywne (Symbian, ios, RIM, Windows Mobile itp.) Uwierzytelnianie użytkowników Autoryzacja transakcji bankowych SMS TANs, Software Tokens Alarmy i powiadomienia (SMS) Mikropłatności (SMS, USSD) 5

6 Bezpieczeństwo urządzeń mobilnych w kontekście transakcji elektronicznych Bezpieczeństwo urządzeń mobilnych Poziomy uprzywilejowania Kontrola dostępu (ACLs) Oprogramowanie antywirusowe, antyspamowe, personal firewall de facto standard Uproszczone poziomy uprzywilejowania* Ograniczone możliwości kontroli dostępu* Oprogramowanie bezpieczeństwa rzadko stosowane 6

7 Słabości bezpieczeństwa urządzeń mobilnych Bezpieczeństwo fizyczne (narażenie na kradzież itp.) Słabości technologii (GSM, Bluetooth itp.) Luki bezpieczeństwa w systemie operacyjnym Luki bezpieczeństwa w aplikacjach Luki w oprogramowaniu mobilnych systemów operacyjnych, źródło: OSVDB Słabości bezpieczeństwa urządzeń mobilnych (cd.) Dodatkowo: Szyfrowanie kart pamięci nie jest panaceum Problem z wymuszeniem silnych haseł Większa podatność na socjotechniki, np.: Skrócone adresy URL Phishing / Vishing / Smishing Cross Site Forgery Requests (CSFR) Brak oprogramowania bezpieczeństwa Systemy antywirusowe, antyphishingowe itp. Aktualizacja systemu w wielu przypadkach utrudniona 7

8 Mobile malware Przyszłość czy rzeczywistość? Mobile malware (c.d.) 8

9 Mobile malware (c.d.) Rozwój mobile malware Mobile malware (c.d.) Przykłady Konie trojańskie SymbOS/AppDisabler SymbOS/Cabir SymbOS/Skulls Wirusy i robaki SymbOS/Beselo SymbOS/Commwarrior SymbOS/Mabir iphoneos/ikee WinCE.InfoJack Spyware SymbOS/Flexispy SymbOS/Mopofeli 9

10 Zagrożenia dla bezpieczeństwa transakcji elektronicznych Wiele wektorów i scenariuszy ataków Przykłady ataków: Przekierowanie wiadomości tekstowych Zdalny, nieautoryzowany dostęp do GUI telefonu Przykładowy scenariusz ataku Infekcja złośliwym oprogramowaniem Przekierowanie wiadomości tekstowych Nieświadomy użytkownik Operator telekomunikacyjny Atakujący 10

11 Przykładowy scenariusz ataku (cd.) Infekcja złośliwym oprogramowaniem (cd.) Zdalny dostęp do GUI telefonu Przykładowy scenariusz ataku (cd.) Użycie socjotechnik Prośba o instalację lub aktualizację oprogramowania Wysyłanie oprogramowania na telefon (WAP Push) Pozostałe przykładowe scenariusze: Zgubienie lub kradzież urządzenia Phishing w różnej formie SMS Kanał głosowy 11

12 Przykładowy scenariusz ataku Wersja 1: PC + Smartphone Krok 1 Infekcja komputera PC oprogramowaniem złośliwym Zero-day exploit Zainfekowany dokument PDF Dziurawa przeglądarka Luka w Adobe Flash Koń trojański w oprogramowaniu Przykładowy scenariusz ataku (c.d.) Wersja 1: PC + Smartphone (c.d.) Krok 2 Infekcja urządzenia smartphone podczas synchronizacji danych z PC Automatycznie Kilka wersji oprogramowania na różne systemy mobilne Ręcznie Intruz tworzy i przesyła oprogramowanie pod konkretne urządzenie mobilne 12

13 Przykładowy scenariusz ataku (c.d.) Wersja 1: PC + Smartphone (c.d.) Krok 3 Oprogramowanie złośliwe przesyła dane do konta bankowego atakującemu Adres URL banku internetowego Dane pozyskane z keylogger a: Login użytkownika Hasło użytkownika Dane pozyskane z telefonu: Numer i typ telefonu Przykładowy scenariusz ataku (c.d.) Wersja 1: PC + Smartphone (c.d.) Krok 4 Atakujący zdalnie uaktywnia usługę przekierowywania wiadomości SMS Od tego momentu wszystkie SMS y są przekierowywane na telefon atakującego bez świadomości użytkownika Kody potwierdzające transakcje Alarmy i notyfikacje 13

14 Przykładowy scenariusz ataku (c.d.) Wersja 1: PC + Smartphone (c.d.) Krok 5 Atakujący przeprowadza nieautoryzowane transakcje Czym dysponuje atakujący? Adresem banku internetowego Login em do konta użytkownika Hasłem użytkownika Kodami potwierdzającymi transakcje Metody infekcji urządzeń mobilnych Synchronizacja z PC Active Sync, Nokia PC Suite itp. Przeglądarka WWW Wiadomości SMS, MMS, WAP Push Instalowane aplikacje Karty pamięci Sieć bezprzewodowa 3G, EDGE/GPRS, UMTS, Wi-Fi, Bluetooth itp. 14

15 Inne warianty ataków Wiele różnych możliwych wariantów ataku: Wykorzystanie API telefonu bezpośrednio z PC Zdalny dostęp do GUI telefonu poprzez sieć bezprzewodową (a la Remote Desktop) Infekcja tylko urządzenia smartphone Cele ataków w kontekście transakcji elektronicznych Przykłady celów ataków: Potwierdzenia transakcji Aplikacje pobierane i instalowane w pamięci telefonu Aplikacje na karcie SIM Programowe tokeny uwierzytelniające Mikropłatności USSD Mikropłatności SMS Alarmy i notyfikacje 15

16 Obecne mechanizmy bezpieczeństwa Mechanizmy bezpieczeństwa można ominąć: Uwierzytelnianie użytkowników Autoryzacja transakcji Mechanizmy pomocnicze Statycznie hasło Hasło jednorazowe (OTP, Zdrapka) Certyfikat (bankowość korporacyjna) Kody jednorazowe (Zdrapka, TAN) Tokeny OTP SMS TAN Tokeny software (MAC/MDS) - Plain Signature oparte o HMAC Tokeny sprzętowe (MAC/MDS) Certyfikat (bankowość korporacyjna) Urządzenia biometryczne (bankowość korporacyjna) Wirtualna klawiatura Captcha Maskowanie hasła Podsumowanie Nowoczesne urządzenia mobilne niewątpliwą szansą rozwoju dla płatności masowych Coraz większe możliwości urządzeń mobilnych Rosnąca popularność, w szczególności urządzeń smartphone Rozwiązania mogą oferować wysoki poziom bezpieczeństwa pod warunkiem, że są właściwie zaprojektowane, zbudowane, wdrożone oraz przetestowane pod kątem bezpieczeństwa Kluczową kwestią jest autoryzacja transakcji Obecnie stosowane rozwiązania można omijać Część rozwiązań daje fałszywe poczucie bezpieczeństwa Jedno urządzenie do zlecenia i autoryzacji transakcji błędem z punktu widzenia bezpieczeństwa Ryzyko związane ze słabymi metodami autoryzacji być może akceptowalne dzisiaj, ale czy będzie takie również za pół roku...? 16

17 Nasze rekomendacje Traktowanie urządzeń mobilnych jako urządzeń niezaufanych (podobnie jak PC) Technologie mobilne? Zdecydowanie TAK, ale należy zapewnić silny proces autoryzacji transakcji Rozważenie zastosowania alternatywnych, niezależnych metod uwierzytelniania transakcji elektronicznych Transaction Data Signing Stosowanie zasady defense in depth, np. Monitorowanie transakcji i przeciwdziałanie nadużyciom za pomocą systemów wykrywania oszustw Nasze rekomendacje (cd.) Transaction Data Signing Zlecenie transakcji elektronicznej Autoryzacja transakcji 17

18 Dziękuję za uwagę Prevenity Prevenity Sp. Sp. z o.o. z o.o. Wszelkie Wszelkie prawa prawa zastrzeżone. 18