conVISUAL bietet Beratung und Umsetzung von Lösungen in den Bereichen Mobility, Cloud und Security.
Auf dem Fachkongress für Daten-, Informations- und IT-Sicherheit zeigte conVISUAL die erfolgreiche Umsetzung einer sicheren mobile Payment Lösung anhand der McDonald’s Quick Mac App. Peter Hofbauer ging in dem praxisnahen Vortrag auf die Fallstricke und kritischen Bereiche von Payment im mobilen Umfeld ein und führte das interessierte Fachpublikum zu konkreten Lösungen.
2. conVISUAL AG
BASISINFORMATIONEN
Gegründet:
2000,
seit
Januar
2006
im
Entry
Standard
an
der
Frankfurter
Börse
no:ert
Standorte:
Oberhausen,
Frankfurt
und
Wien
Mitarbeiter:
ca.
65
in
Deutschland
und
Österreich
PLAN
Die
conVISUAL
AG
ist
Ihr
zuverlässiger
Partner
für
interna:onale
digitale
Businessprojekte
dank
mehr
als
14
Jahren
Projekt-‐Erfahrung
in
über
30
Ländern
weltweit.
BUILD RUN ANALYZE
3. LEISTUNGSSPEKTRUM UND KUNDEN
MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE
Lösungen und Produkte für Kunden in über 30 Ländern
SecurityCloudMobility
SaaS-
Produkte
5. NICHT NUR EINE APP
EIN BLICK HINTER DIE KULISSEN
Virtualization/Cloud Security/PaymentMobility
TLS
6. PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
QUICK MAC DETAILS
DIE SYSTEMARCHITEKTUR
Quick Mac Server
INTERNET
Quick Mac App
8. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
1. Kunde bezahlt, bekommt aber
kein Produkt
2. Kunde bezahlt nicht (vollständig),
bekommt aber das Produkt
3. Konto des Kunden wird
übermäßig hoch belastet
10. DIE RETTUNG IN DER NOT
WO LIEGEN UNSERE ANKER?
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
11. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Kreative Kunden entdecken eine Schwachstelle
12. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Kreative Kunden entdecken eine Schwachstelle:
● unsicherer Ablauf bei Produktübergabe
ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems
● reproduzierbares Software-Problem
ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates
14. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Technische Probleme und Teilausfälle:
● System antwortet nicht mehr und provoziert Fehler im Ablauf
ToDo: Abläufe geschickt programmieren und Entscheidungen absichern
16. TYPISCHE SCHWACHSTELLEN IN DER PRAXIS
PAYMENT UNTER BESCHUSS
Hacker-Attacken:
● [Distributed] Denial of Service Attacken (DoS/DDoS):
ToDo: Vermeidung von Unsicherheiten im „Message-Flow“
● Man in the Middle Attacken (MitM):
ToDo: Sensible Daten immer vom Server abrufen bzw. am Server
ablegen und diese validieren
z.B. Payment-Token für wiederkehrende Bezahlung
ToDo: Immer State-of-the-Art bei allen Datenübertragungen
z.B. TLS 1.2 statt SSL 3.0
17. QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
18. QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
TEST-BESTELLUNG
19. QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
AUTHENTIFIZIERUNG
20. QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
AUTORISIERUNG
PIN
SMS/Voice
21. QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
BESTELLUNG
22. QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
RÜCKFRAGE
23. BUCHUNG
QUICK MAC DETAILS
ABLAUF DER ZAHLUNG
INTERNET
PSP BACKEND
Quick Mac Server
mWeb
PayPal
native SDK
PayBox
native SDK
PayUnity
Quick Mac App
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
BESTELLUNG
24. BUCHUNG
GELD GEGEN BURGER: WER ENTSCHEIDET?
ABLAUF DER ZAHLUNG
PSP BACKEND
Quick Mac Server
McDonald‘s Gateway
Bild/Produkt-
Datenbank
200 Restaurant-Server
BESTELLUNG
RÜCKFRAGE
25. CHECKLISTE
PAYMENT SECURITY
● „Foolproof“ Ablauf bei der Produktübergabe
● Geeignete „Trust Anchor“ definieren
● Durchdachter Message-Flow mit Payment-Providern
● State-of-the-Art Verschlüsselung bei allen Datenübertragungen
● Lasttests garantieren Systemstabilität
27. OWASP MOBILE SECURITY: TOP 10 RISIKEN
● M1: Weak Server Side Controls
● M2: Insecure Data Storage
● M3: Insufficient Transport Layer Protection
● M4: Unintended Data Leakage
● M5: Poor Authorization and Authentication
● M6: Broken Cryptography
● M7: Client Side Injection
● M8: Security Decisions Via Untrusted Inputs
● M9: Improper Session Handling
● M10: Lack of Binary Protections
● Sensitive Information Disclosure (Top 10 list 2013)
28. SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH
SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt
(aktuell TLS 1.2). Die Unterschiede sind:
• Socket vs Protokoll: SSL (Secure Sockets Layer) richtet den Fokus auf
einen Port, wobei TLS (Transport Layer Security) beim Kommunikations-
protokoll ansetzt
• Angriffe: Alle SSL Versionen gelten als unsicher. Angriffe sind u.a. BEAST,
Lucky13 und Poodle. TLS wehrt diese ab Version TLS 1.1 erfolgreich ab.
Das BSI rät von dem Einsatz von SSL ab.
• Perfect Forward Secrecy (PFS): TLS unterstützt Mechanismen um aus
alten, gebrochene Verbindungen keine Rückschlüsse auf zukünftige
Verbindungen machen zu können.
• Client Überstützung: Hersteller der populären Browser FireFox und Chrome
haben als das Agenda Ziel SSL komplett zu entfernen und nur TLS zu
verwenden.
29. WIR BERATEN. PRODUKTE.
IN DIE CLOUD, UND ZWAR SICHER
Peter Hofbauer, CSO
peter.hofbauer@convisual.de
+49 173 7285 032