SlideShare une entreprise Scribd logo

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej

SecuRing
SecuRing

Prezentacja z konferencji -

Technologie
1  sur  22
Nowe technologie w aplikacjach bankowości elektronicznej - - Wyzwania dla bezpieczeństwa Wojciech Dworakowski
Agenda Nowe trendy  Aplikacje mobilne  NFC  Bank wirtualny  Integracja z serwisami społecznościowymi Jak to zrobić bezpiecznie? 2
Kto stoi w miejscu, ten się cofa, bo cały świat idzie do przodu. 3
Aplikacje mobilne Aplikacja mobilna vs aplikacja „przeglądarkowa” Inny profil ryzyka  Urządzenie użytkownika  Kradzież, zgubienie, chwilowy dostęp, …  Aplikacja pod kontrolą użytkownika  Może być analizowana i dowolnie modyfikowana  Inne aplikacje na urządzeniu  Mogą stanowić zagrożenie  Uaktualnienia  z opóźnieniem  API po stronie serwera  Osiągalne bezpośrednio, bez aplikacji użytkownika Nie można traktować jak „prawie WWW”  To nie jest tylko inny sposób prezentacji 4
Aplikacje mobilne Dane przechowywane na urządzeniu Co w przypadku utraty urządzenia?  Dane wrażliwe (tajemnica bankowa, dane osobowe, dane uwierzytelniające i autoryzujące transakcje, …) Czy dane są szyfrowane? Czy klucz szyfrowania łatwo odzyskać?  Musi być przetwarzany przez (niezaufane) urządzenie 5
Aplikacje mobilne Dane przechowywane na urządzeniu (c.d.) Co jest zapisywane do logów w trakcie pracy aplikacji? Dane uwierzytelniające  Jaka jest przestrzeń poszukiwań?  Ile prób odgadnięcia ma atakujący?  Czy można je „złamać” bez kontaktu z serwerem? 6
Aplikacje mobilne Przykład Grafika: technabob.com Aplikacja mobilna Sekret używany do uwierzytelnienia, zaszyfrowany kluczem generowanym na podstawie PIN Dodatkowo - na urządzeniu dane zaszyfrowane tym kluczem Efekt  Klucz można łamać off-line  4 cyfry = 10 tys. prób = kilka minut Koszt usunięcia: Zmiana algorytmu (po wdrożeniu) 7
Aplikacje mobilne Autoryzacja transakcji Podstawowy mechanizm bezpieczeństwa  Większe ryzyko dostępu atakującego do uwierzytelnionej sesji Mechanizm powinien umożliwiać zweryfikowanie danych transakcji Jak to zrobić wygodnie? Użycie innego kanału – niekontrolowanego przez intruza Na pewno?  SMS  Token (osobna aplikacja) 8
Aplikacje mobilne Wrogie oprogramowanie (malware) Dostęp fizyczny  mała skala Malware  skala masowa Skutki te same Telefon / tablet – to nie są urządzenia bezpieczne ! … tak jak komputer, ale:  ryzyka są mniej rozpoznane  brak kontroli AV (standardowo)  brak unifikacji systemu (wielu dostawców)  rzadsze uaktualnienia  użytkownik może instalować dowolne oprogramowanie  mniej doświadczony użytkownik 9
NFC NFC – nowy interfejs do aplikacji = zwiększenie powierzchni ataku Przykład: BlackHat 2012  Wywołanie podatnej aplikacji przez NFC  Wykorzystanie podatności w aplikacji  Wykonanie dowolnego kodu na telefonie Przykład: NFC Proxy  Wroga aplikacja na telefonie ofiary  Jeśli karta zbliżeniowa znajdzie się w zasięgu NFC…  …to można zdalnie zrobić dowolną transakcję (zbliżeniową) 10
Wirtualny kontakt z klientem Przeniesienie „oddziałów” i „doradców klienta” do Internetu Uproszczenie procedur, wyeliminowanie papieru Zakładanie konta  Potwierdzanie tożsamości przez przelew z innego banku  Zagrożenie: Kradzież tożsamości  Przykłady: Zakładanie kont – słupów Przekazywanie hasła dla innych podmiotów  Zarządzanie finansami osobistymi  Weryfikacja zdolności kredytowej  Nowe systemy e-płatności 11
Integracja z serwisami społecznościowymi Wstawienie cudzego kodu do własnej aplikacji  Publikowanie informacji w sieciach społecznościowych, „polecanie”, itp.  Mapy, statystyki odwiedzin, widgety, gadgety, …  Czy ufamy zewnętrznemu serwisowi?  Co wiemy o bezpieczeństwie tego serwisu?  Czy ufamy operatorom serwisu?  Czy zostało uwzględnione ryzyko istnienia podatności w integrowanym serwisie? 12
Integracja z serwisami społecznościowymi Wstawienie własnego kodu do cudzej aplikacji  Aplikacja na serwisie społecznościowym  Czy zostało uwzględnione ryzyko ataku na sesję użytkownika w zewnętrznej aplikacji?  Funkcje bezpieczeństwa (np. uwierzytelnienie) – poza kontrolą banku  Sieci społecznościowe  użytkownik zalogowany non-stop  Potrzebne są dodatkowe zabezpieczenia (np. limity) 13
Jak to zrobić bezpiecznie? Rosnące koszty usuwania podatności Utrzymanie Wdrażanie Wytwarzanie Projektowanie Definiowanie Wpisanie bezpieczeństwa w cały cykl rozwojowy aplikacji SDLC (Secuity in Development Lifecycle) 14
Od czego zacząć? zagrożenia Żeby efektywnie planować zabezpieczenia trzeba znać: • zagrożenia • scenariusze ataków zabezpieczenia • potencjalne skutki aktywa skutki 15
• Zidentyfikowanie Modelowanie zagrożeń • Wymagania zagrożeń dotyczące • Scenariusze bezpieczeństwa ataków • Scenariusze • Dobranie testowe zabezpieczeń Niezbędne: • Doświadczenie • Umiejętność wczucia się w rolę atakującego 16
Testowanie bezpieczeństwa Niezbędne - bo może zawieść implementacja założeń W trakcie implementacji  przegląd założeń, testy jednostkowe Przed wdrożeniem  Testy penetracyjne  Przeglądy kodu i konfiguracji 17
Testowanie bezpieczeństwa Na podstawie zidentyfikowanych zagrożeń Według ustalonych priorytetów NIE black-box ! Pamiętaj o uwzględnieniu całego środowiska  Atakowany jest cały system a nie jeden element  Połączenia z innymi systemami, biblioteki, framework Kluczowe – doświadczenie testujących 18
Podsumowanie Wdrażając nowe technologie myśl o bezpieczeństwie!  od planowania po wdrożenie i eksploatację systemu Zaplanuj bezpieczeństwo  Identyfikacja zagrożeń  Projektowanie zabezpieczeń Jeśli chcesz uniknąć zbędnych kosztów i kłopotów  Testuj przed  Modelowanie zagrożeń  … i po  Testy penetracyjne, przeglądy konfiguracji, ... Niezbędne - doświadczenie i metnalność atakującego 19
Wsparcie procesów związanych z utrzymaniem bezpieczeństwa  Od identyfikacji zagrożeń i tworzenia założeń…  …po testy odbiorcze i okresowe testy podczas eksploatacji  Audyty  Specjalizowane szkolenia Niezależność od dostawców rozwiązań  Nasza firma nie prowadzi aktywnej sprzedaży produktów zabezpieczających.  Koncentrujemy się wyłącznie na usługach dotyczących bezpieczeństwa IT. Działamy od 2003 roku Zbadaliśmy bezpieczeństwo ponad 200 systemów informatycznych i aplikacji 20
Nasze podejście Kluczem do właściwej oceny bezpieczeństwa jest uwzględnienie realnego wpływu na ryzyko  Identyfikacja lub modelowanie zagrożeń przed rozpoczęciem oceny Podczas testów nie opieramy się wyłącznie na automatach  Narzędzia automatyczne są w stanie wykryć tylko ułamek problemów  Badane zagrożenie to prawdziwy atak człowieka a nie automatu  Uwzględnienie zidentyfikowanych zagrożeń, wpływu na biznes i logiki biznesowej  „Ręczna” weryfikacja, specjalizowane narzędzia Podczas formułowania zaleceń staramy się brać pod uwagę wymagania biznesowe Przede wszystkim kierujemy się zdrowym rozsądkiem 21
Pytania http://www.securing.pl Wojciech Dworakowski e-mail: info@securing.pl wojciech.dworakowski@securing.pl Jontkowa Górka 14a tel. 506 184 550 30-224 Kraków tel. (12) 4252575 fax. (12) 4252593 22

Recommandé

Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 

Recommandé

Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITSecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...studenckifestiwalinformatyczny
 
Ekran system - prezentacja
Ekran system - prezentacjaEkran system - prezentacja
Ekran system - prezentacjaEkran System Polska
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Modelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychModelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychSecuRing
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Logicaltrust pl
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
 

Contenu connexe

Tendances

Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITSecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForcePabiszczak Błażej
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...studenckifestiwalinformatyczny
 

Tendances (13)

Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów ITRekomendacja D - Bezpieczeństwo w rozwoju systemów IT
Rekomendacja D - Bezpieczeństwo w rozwoju systemów IT
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na uży...
 
Ekran system - prezentacja
Ekran system - prezentacjaEkran system - prezentacja
Ekran system - prezentacja
 

Similaire à Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej

Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Modelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychModelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychSecuRing
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Logicaltrust pl
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszenibleoszewski
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychguest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Bezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychBezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychMichał Olczak
 
20150521 ser protecto_r_final
20150521 ser protecto_r_final20150521 ser protecto_r_final
20150521 ser protecto_r_finalWit Jakuczun
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 

Similaire à Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej (20)

Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
 
4
44
4
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
Modelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnychModelowanie zagrożeń - Na przykladzie platności mobilnych
Modelowanie zagrożeń - Na przykladzie platności mobilnych
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
 
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeni
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Enterprise Mobility Suite
Enterprise Mobility SuiteEnterprise Mobility Suite
Enterprise Mobility Suite
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. Biblia
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
Bezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychBezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznych
 
20150521 ser protecto_r_final
20150521 ser protecto_r_final20150521 ser protecto_r_final
20150521 ser protecto_r_final
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
 

Plus de SecuRing

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersSecuRing
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!SecuRing
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameSecuRing
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!SecuRing
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!SecuRing
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS EnvironmentsSecuRing
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionSecuRing
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy MechanismsSecuRing
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?SecuRing
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy MechanismsSecuRing
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defenseSecuRing
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsSecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsSecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsSecuRing
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleSecuRing
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainSecuRing
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsSecuRing
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSSecuRing
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.SecuRing
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsSecuRing
 

Plus de SecuRing (20)

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
 

Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach bankowości elektronicznej

  • 1. Nowe technologie w aplikacjach bankowości elektronicznej - - Wyzwania dla bezpieczeństwa Wojciech Dworakowski
  • 2. Agenda Nowe trendy  Aplikacje mobilne  NFC  Bank wirtualny  Integracja z serwisami społecznościowymi Jak to zrobić bezpiecznie? 2
  • 3. Kto stoi w miejscu, ten się cofa, bo cały świat idzie do przodu. 3
  • 4. Aplikacje mobilne Aplikacja mobilna vs aplikacja „przeglądarkowa” Inny profil ryzyka  Urządzenie użytkownika  Kradzież, zgubienie, chwilowy dostęp, …  Aplikacja pod kontrolą użytkownika  Może być analizowana i dowolnie modyfikowana  Inne aplikacje na urządzeniu  Mogą stanowić zagrożenie  Uaktualnienia  z opóźnieniem  API po stronie serwera  Osiągalne bezpośrednio, bez aplikacji użytkownika Nie można traktować jak „prawie WWW”  To nie jest tylko inny sposób prezentacji 4
  • 5. Aplikacje mobilne Dane przechowywane na urządzeniu Co w przypadku utraty urządzenia?  Dane wrażliwe (tajemnica bankowa, dane osobowe, dane uwierzytelniające i autoryzujące transakcje, …) Czy dane są szyfrowane? Czy klucz szyfrowania łatwo odzyskać?  Musi być przetwarzany przez (niezaufane) urządzenie 5
  • 6. Aplikacje mobilne Dane przechowywane na urządzeniu (c.d.) Co jest zapisywane do logów w trakcie pracy aplikacji? Dane uwierzytelniające  Jaka jest przestrzeń poszukiwań?  Ile prób odgadnięcia ma atakujący?  Czy można je „złamać” bez kontaktu z serwerem? 6
  • 7. Aplikacje mobilne Przykład Grafika: technabob.com Aplikacja mobilna Sekret używany do uwierzytelnienia, zaszyfrowany kluczem generowanym na podstawie PIN Dodatkowo - na urządzeniu dane zaszyfrowane tym kluczem Efekt  Klucz można łamać off-line  4 cyfry = 10 tys. prób = kilka minut Koszt usunięcia: Zmiana algorytmu (po wdrożeniu) 7
  • 8. Aplikacje mobilne Autoryzacja transakcji Podstawowy mechanizm bezpieczeństwa  Większe ryzyko dostępu atakującego do uwierzytelnionej sesji Mechanizm powinien umożliwiać zweryfikowanie danych transakcji Jak to zrobić wygodnie? Użycie innego kanału – niekontrolowanego przez intruza Na pewno?  SMS  Token (osobna aplikacja) 8
  • 9. Aplikacje mobilne Wrogie oprogramowanie (malware) Dostęp fizyczny  mała skala Malware  skala masowa Skutki te same Telefon / tablet – to nie są urządzenia bezpieczne ! … tak jak komputer, ale:  ryzyka są mniej rozpoznane  brak kontroli AV (standardowo)  brak unifikacji systemu (wielu dostawców)  rzadsze uaktualnienia  użytkownik może instalować dowolne oprogramowanie  mniej doświadczony użytkownik 9
  • 10. NFC NFC – nowy interfejs do aplikacji = zwiększenie powierzchni ataku Przykład: BlackHat 2012  Wywołanie podatnej aplikacji przez NFC  Wykorzystanie podatności w aplikacji  Wykonanie dowolnego kodu na telefonie Przykład: NFC Proxy  Wroga aplikacja na telefonie ofiary  Jeśli karta zbliżeniowa znajdzie się w zasięgu NFC…  …to można zdalnie zrobić dowolną transakcję (zbliżeniową) 10
  • 11. Wirtualny kontakt z klientem Przeniesienie „oddziałów” i „doradców klienta” do Internetu Uproszczenie procedur, wyeliminowanie papieru Zakładanie konta  Potwierdzanie tożsamości przez przelew z innego banku  Zagrożenie: Kradzież tożsamości  Przykłady: Zakładanie kont – słupów Przekazywanie hasła dla innych podmiotów  Zarządzanie finansami osobistymi  Weryfikacja zdolności kredytowej  Nowe systemy e-płatności 11
  • 12. Integracja z serwisami społecznościowymi Wstawienie cudzego kodu do własnej aplikacji  Publikowanie informacji w sieciach społecznościowych, „polecanie”, itp.  Mapy, statystyki odwiedzin, widgety, gadgety, …  Czy ufamy zewnętrznemu serwisowi?  Co wiemy o bezpieczeństwie tego serwisu?  Czy ufamy operatorom serwisu?  Czy zostało uwzględnione ryzyko istnienia podatności w integrowanym serwisie? 12
  • 13. Integracja z serwisami społecznościowymi Wstawienie własnego kodu do cudzej aplikacji  Aplikacja na serwisie społecznościowym  Czy zostało uwzględnione ryzyko ataku na sesję użytkownika w zewnętrznej aplikacji?  Funkcje bezpieczeństwa (np. uwierzytelnienie) – poza kontrolą banku  Sieci społecznościowe  użytkownik zalogowany non-stop  Potrzebne są dodatkowe zabezpieczenia (np. limity) 13
  • 14. Jak to zrobić bezpiecznie? Rosnące koszty usuwania podatności Utrzymanie Wdrażanie Wytwarzanie Projektowanie Definiowanie Wpisanie bezpieczeństwa w cały cykl rozwojowy aplikacji SDLC (Secuity in Development Lifecycle) 14
  • 15. Od czego zacząć? zagrożenia Żeby efektywnie planować zabezpieczenia trzeba znać: • zagrożenia • scenariusze ataków zabezpieczenia • potencjalne skutki aktywa skutki 15
  • 16. • Zidentyfikowanie Modelowanie zagrożeń • Wymagania zagrożeń dotyczące • Scenariusze bezpieczeństwa ataków • Scenariusze • Dobranie testowe zabezpieczeń Niezbędne: • Doświadczenie • Umiejętność wczucia się w rolę atakującego 16
  • 17. Testowanie bezpieczeństwa Niezbędne - bo może zawieść implementacja założeń W trakcie implementacji  przegląd założeń, testy jednostkowe Przed wdrożeniem  Testy penetracyjne  Przeglądy kodu i konfiguracji 17
  • 18. Testowanie bezpieczeństwa Na podstawie zidentyfikowanych zagrożeń Według ustalonych priorytetów NIE black-box ! Pamiętaj o uwzględnieniu całego środowiska  Atakowany jest cały system a nie jeden element  Połączenia z innymi systemami, biblioteki, framework Kluczowe – doświadczenie testujących 18
  • 19. Podsumowanie Wdrażając nowe technologie myśl o bezpieczeństwie!  od planowania po wdrożenie i eksploatację systemu Zaplanuj bezpieczeństwo  Identyfikacja zagrożeń  Projektowanie zabezpieczeń Jeśli chcesz uniknąć zbędnych kosztów i kłopotów  Testuj przed  Modelowanie zagrożeń  … i po  Testy penetracyjne, przeglądy konfiguracji, ... Niezbędne - doświadczenie i metnalność atakującego 19
  • 20. Wsparcie procesów związanych z utrzymaniem bezpieczeństwa  Od identyfikacji zagrożeń i tworzenia założeń…  …po testy odbiorcze i okresowe testy podczas eksploatacji  Audyty  Specjalizowane szkolenia Niezależność od dostawców rozwiązań  Nasza firma nie prowadzi aktywnej sprzedaży produktów zabezpieczających.  Koncentrujemy się wyłącznie na usługach dotyczących bezpieczeństwa IT. Działamy od 2003 roku Zbadaliśmy bezpieczeństwo ponad 200 systemów informatycznych i aplikacji 20
  • 21. Nasze podejście Kluczem do właściwej oceny bezpieczeństwa jest uwzględnienie realnego wpływu na ryzyko  Identyfikacja lub modelowanie zagrożeń przed rozpoczęciem oceny Podczas testów nie opieramy się wyłącznie na automatach  Narzędzia automatyczne są w stanie wykryć tylko ułamek problemów  Badane zagrożenie to prawdziwy atak człowieka a nie automatu  Uwzględnienie zidentyfikowanych zagrożeń, wpływu na biznes i logiki biznesowej  „Ręczna” weryfikacja, specjalizowane narzędzia Podczas formułowania zaleceń staramy się brać pod uwagę wymagania biznesowe Przede wszystkim kierujemy się zdrowym rozsądkiem 21
  • 22. Pytania http://www.securing.pl Wojciech Dworakowski e-mail: info@securing.pl wojciech.dworakowski@securing.pl Jontkowa Górka 14a tel. 506 184 550 30-224 Kraków tel. (12) 4252575 fax. (12) 4252593 22