Agenda. Rys historyczny Mobilne systemy operacyjne



Podobne dokumenty
Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

Agenda. Quo vadis, security? Artur Maj, Prevenity

Agenda. Mobile threats. Artur Maj, Prevenity. Cellular phones

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Innowacja Technologii ICT vs Człowiek

Podstawy bezpieczeństwa

Zagrożenia mobilne Nowy poziom niebezpieczeństwa. Maciej Ziarek, Analityk zagrożeń, Kaspersky Lab Polska

Rynek mobilnych systemów operacyjnych

Najszybszy bezprzewodowy Internet teraz tak e w Twoim telefonie

Netia Mobile Secure Netia Backup

Warszawa, 22 marca Wstęp

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Otwock dn r. Do wszystkich Wykonawców

sprawdzonych porad z bezpieczeństwa

PROGRAMY NARZĘDZIOWE 1

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

do podstawowych zasad bezpieczeństwa:

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

OWASP OWASP. The OWASP Foundation Mariusz Burdach Prevenity

System operacyjny System operacyjny

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Nośniki a bezpieczeństwo danych:

Wprowadzenie do Kaspersky Value Added Services for xsps

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Najpopularniejsze błędy i metody ataków na aplikacje bankowe. Rafał Gołębiowski Senior Security Officer, Bank BGŻ BNP Paribas S.A.

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Zdalne zarządzanie systemem RACS 5

Najważniejsze cyberzagrożenia 2013 r.

Diagnostyka komputera

Matryca funkcjonalności systemu FAMOC

Wojciech Dworakowski. Autoryzacja transakcji V S. Malware i hackerzy SECURE

INSTRUKCJA UŻYTKOWNIKA usługi ebanknet oraz Bankowości Mobilnej PBS Bank

OFERTA. Data: Dokument przygotowany przez zespół DC S.A. Odbiorca Klient Biznesowy

MOBILNA BANKOWOŚĆ potrzeba czy moda?

Minimalne parametry telefonów/modemów/tabletów. Grupa 1. Telefon podstawowy wymagania: (wymagane min. 2 modele, szacunkowa liczba dostaw: 27 szt.

MATRYCA FUNKCJONALNOŚCI SYSTEMU MDM T-MOBILE (FAMOC V 3.21)

Technologia Automatyczne zapobieganie exploitom

ibosstoken Proces obsługi (wydawania, personalizacji i korzystania) Tokena mobilnego do systemu BOŚBank24 iboss

Internetowy serwis Era mail Aplikacja sieci Web

Plan na dziś. Co to jest wirus komputerowy? Podział wirusów komputerowych Jak działają wirus komputerowe? Jak zabezpieczyć się przed wirusami?

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

DZIEŃ BEZPIECZNEGO KOMPUTERA

Usługi mobilne ipko biznes

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

OPIS PRZEDMIOTU ZAMÓWIENIA

Opis przedmiotu zamówienia w postępowaniu na usługę udostępniania/świadczenia poczty elektronicznej on-line (z aplikacją kalendarza).

Ochrona płatności online za pomocą technologii Bezpieczne pieniądze

Marek Pyka,PhD. Paulina Januszkiewicz

Instrukcja pierwszego uruchomienia i aktywacji aplikacji PBSbank24 mobile

Materiały informacyjne o aplikacjach mobilnych Getin Banku na stronę:

! Retina. Wyłączny dystrybutor w Polsce

Bezpieczeństwo usług oraz informacje o certyfikatach

Nowy sposób autoryzacji przelewów w Usłudze Bankowości Elektronicznej

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

INSTRUKCJA INSTALACJI I AKTYWACJI KB TOKENA

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

Unikupon TL. Sprzedaż doładowań telefonów przez Terminal Sunyard S520

ArcaVir 2008 System Protection

Smart Plan Halo II, Smart Plan Multi II, Smart Plan Multi II Max, Smart Plan Mix II to promocja (dalej: Promocja ) dostępna dla:

Produkty. ESET Produkty

Do użytku z aplikacjami z funkcją skanowania / czytania kodów QR

ZagroŜenia w sieci. Tomasz Nowocień, PCSS

Różnice pomiędzy hostowanymi rozwiązaniami antyspamowymi poczty firmy GFI Software

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

Pojęcie wirusa komputerowego

Analiza malware Keylogger ispy

INSTRUKCJA OBSŁUGI. Pakietu Bezpieczeństwa UPC (ios) Radość z. każdej chwili

Analiza malware Remote Administration Tool (RAT) DarkComet

WIĘCEJ NIŻ TELEFON! CZĘŚĆ PIERWSZA - WPROWADZENIE

Zaawansowane uwierzytelnianie. Bezpieczeństwo, czy wygoda?

Norton 360 Najczęściej zadawane pytania

Materiał dystrybuowany na licencji CC-BY-SA

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

SECURITY APPS Pełna ochrona smartfonu

Regulamin. co w standardzie?

Platforma mdrive jest kompleksowym rozwiązaniem do komunikacji oraz zdalnego zarządzania telefonami w firmie.

Malware przegląd zagrożeń i środków zaradczych

Bezpieczeństwo Bankowości Internetowej i Telefonicznej

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Inteligo. Rozwój projektu maj-listopad 2010

1. POSTANOWIENIA OGÓLNE 2. UPRAWNIENIA ABONENTA MIX

Zasady bezpiecznego korzystania z bankowości elektronicznej

Instaluj tylko programy pochodzące z oficjalnych sklepów z aplikacjami.

Zdobywanie fortecy bez wyważania drzwi.

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

SkyCash Poland S.A. Innowacyjna usługa płatnicza

1)świadczenie usług telekomunikacyjnych w zakresie telefonii komórkowej wraz z dostawą telefonów komórkowych dla Zamawiającego;

Poradnik Bezpieczeństwa

Internet Explorer. Okres

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

INSTRUKCJA UŻYTKOWANIA USŁUGI mobile e-bank EBS

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Transkrypt:

Mobilne zagrożenia Artur Maj, Prevenity Agenda Telefony komórkowe Rys historyczny Mobilne systemy operacyjne Bezpieczeństwo urządzeń smartphone Smartphone w bankowości Zagrożenia dla bankowości Demonstracja przejęcia konta bankowego Nasze rekomendacje 1

Rys historyczny 1980 1982 1990 2000 2005 2007 Mobilne systemy operacyjne Windows Mobile 6,80% Linux 3,70% Inne 0,70% Android 9,60% Apple ios 15,40% BlackBerry 19,40% Symbian 44,30% Źródło: Gartner, Worldwide Smartphone Sales 1Q 2010 2

Bezpieczeństwo urządzeń smartphone Poziomy uprzywilejowania Kontrola dostępu (ACLs) Oprogramowanie antywirusowe, antyspamowe, personal firewall de facto standard Uproszczone poziomy uprzywilejowania* Ograniczone możliwości kontroli dostępu* Oprogramowanie bezpieczeństwa rzadko stosowane Słabości bezpieczeństwa urządzeń smartphone Słabości technologii (GSM, Bluetooth itp.) Luki bezpieczeństwa w systemie operacyjnym Luki bezpieczeństwa w aplikacjach Luki w oprogramowaniu mobilnych systemów operacyjnych, źródło: OSVDB 3

Metody infekcji smartphone Synchronizacja z PC Active Sync, Nokia PC Suite itp. Przeglądarka WWW Wiadomości E-mail SMS, MMS, WAP Push Instalowane aplikacje Karty pamięci Sieć bezprzewodowa 3G, EDGE/GPRS, UMTS, Wi-Fi, Bluetooth itp. Mobile malware Przyszłość czy rzeczywistość? 4

Mobile malware (c.d.) Mobile malware (c.d.) Rozwój mobile malware 5

Mobile malware (c.d.) Przykłady Konie trojańskie SymbOS/AppDisabler SymbOS/Cabir SymbOS/Skulls Wirusy i robaki SymbOS/Beselo SymbOS/Commwarrior SymbOS/Mabir iphoneos/ikee WinCE.InfoJack Spyware SymbOS/Flexispy SymbOS/Mopofeli Smartphone w bankowości 6

Smartphone w bankowości Popularne sposoby wykorzystania telefonu w bankowości elektronicznej: Możliwość zlecania i realizacji transakcji Uwierzytelnianie użytkowników Uwierzytelnianie transakcji bankowych Alarmy i powiadomienia (SMS) Mikropłatności (SMS, USSD) Zastosowania wydają się bezpieczne Smartphone w bankowości (c.d.) lecz tak się tylko wydaje 7

Smartphone w bankowości (c.d.) Infekcja telefonu poważnym zagrożeniem dla bankowości internetowej W połączeniu z infekcją PC realne zagrożenie utraty nawet wszystkich środków finansowych z konta bankowego nieświadomego użytkownika Przykłady ataków: Przekierowanie wiadomości tekstowych Zdalny, nieautoryzowany dostęp do GUI telefonu Smartphone w bankowości (c.d.) Przekierowanie wiadomości tekstowych Nieświadomy użytkownik Atakujący Operator telekomunikacyjny 8

Smartphone w bankowości (c.d.) Zdalny dostęp do GUI telefonu Przykładowy scenariusz ataku Infekcja PC i smartphone Krok 1 Infekcja komputera PC oprogramowaniem złośliwym Zero-day exploit Zainfekowany dokument PDF Dziurawa przeglądarka Luka w Adobe Flash Koń trojański w oprogramowaniu 9

Przykładowy scenariusz ataku (c.d.) Infekcja PC i smartphone (c.d.) Krok 2 Infekcja urządzenia smartphone podczas synchronizacji danych z PC Automatycznie Kilka wersji oprogramowania na różne systemy mobilne Ręcznie Intruz tworzy i przesyła oprogramowanie pod konkretne urządzenie mobilne Przykładowy scenariusz ataku (c.d.) Infekcja PC i smartphone (c.d.) Krok 3 Oprogramowanie złośliwe przesyła dane do konta bankowego atakującemu Adres URL banku internetowego Dane pozyskane z keylogger a: Login użytkownika Hasło użytkownika Dane pozyskane z telefonu: Numer i typ telefonu 10

Przykładowy scenariusz ataku (c.d.) Infekcja PC i smartphone (c.d.) Krok 4 Atakujący zdalnie uaktywnia usługę przekierowywania wiadomości SMS Od tego momentu wszystkie SMS y są przekierowywane na telefon atakującego bez świadomości użytkownika Kody potwierdzające transakcje Alarmy i notyfikacje Przykładowy scenariusz ataku (c.d.) Infekcja PC i smartphone (c.d.) Krok 5 Atakujący przeprowadza nieautoryzowane transakcje Czym dysponuje atakujący? Adresem banku internetowego Login em do konta użytkownika Hasłem użytkownika Kodami potwierdzającymi transakcje 11

Przykładowy scenariusz ataku (c.d.) Czy transakcje zostaną zrealizowane? Czy systemy antyfraud owe wykryją oszustwo? Czy bank może zapobiec oszustwu? Przykładowy scenariusz ataku (c.d.) Wiele różnych możliwych wariantów ataku: Wykorzystanie API telefonu bezpośrednio z PC Zdalny dostęp do GUI telefonu poprzez sieć bezprzewodową (a la Remote Desktop) Infekcja tylko urządzenia smartphone 12

Przykładowy scenariusz ataku (c.d.) Wiele różnych celów ataku: Potwierdzenia transakcji Aplikacje pobierane i instalowane w pamięci telefonu Aplikacje na karcie SIM Programowe tokeny uwierzytelniające Mikropłatności USSD Mikropłatności SMS Alarmy i notyfikacje Przykładowy scenariusz ataku (c.d.) Mechanizmy bezpieczeństwa można ominąć: Jednorazowe hasła zdrapki Sprzętowe tokeny uwierzytelniające Programowe tokeny uwierzytelniające Klawiatury wirtualne Mechanizmy captcha Tokeny PKI 13

Demonstracja Przejęcie konta bankowego na przykładzie infekcji MS Windows Mobile Atak łatwy czy skomplikowany? 14

Podsumowanie Smartphone = komputer Skutki udanego ataku na smartphone mogą być groźniejsze niż infekcja komputera PC Dobre i złe wiadomości (z punktu widzenia bezpieczeństwa) Podsumowanie Dobre wiadomości: Użytkownicy telefonów starszego typu nie są podatni na tego typu ataki Część użytkowników wykorzystuje tylko funkcje głosowe i co najwyżej SMS Tylko część użytkowników synchronizuje telefon z PC Różnorodność mobilnych systemów operacyjnych i ich wersji komplikuje przeprowadzenie udanego ataku Systemy operacyjne różnią się możliwościami stwarzanymi dla oprogramowania złośliwego 15

Złe wiadomości: Podsumowanie (c.d.) Udział w rynku telefonów typu smartphone rośnie z każdym kwartałem Wraz ze wzrostem popularności może również wzrosnąć liczba odkrywanych słabości i metod infekcji Korzystanie przez użytkownika z funkcji internetowych smartphone może nie mieć znaczenia (np. luki MMS) Używanie oprogramowania bezpieczeństwa na telefonach komórkowych wciąż mało popularne Nasze rekomendacje Rozważenie zastosowania alternatywnych metod uwierzytelniania transakcji elektronicznych Traktowanie urządzeń smartphone jako urządzeń niezaufanych (podobnie jak PC) Uwzględnienie zagrożeń wynikających z zastosowania urządzeń mobilnych w procesie szacowania ryzyka Budowanie świadomości użytkowników do stosowania zasad bezpieczeństwa również w odniesieniu do telefonów komórkowych 16

Kontakt artur.maj@prevenity.com 17

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres