2. Co je to bezpečnost?
• “Snaha minimalizovat dopady hrozeb”
• Hrozba = situace, která mě může
poškodit
• Dopad = peníze, které zaplatím, když se
něco stane
3. Co je to bezpečnost?
• Málo pravděpodobné hrozby mají typicky
větší dopad
• ztráta klíčeny PKI v situaci, kdy řeknete
kamarádovi heslo do bankovnictví
v hospodě
13. Jak dokážu, že já jsem já?
• Prohlásím to - volný přístup
• Prokážu se znalostí - login/heslo
• Prokážu se vlastnictvím tokenu - certifikát
• Token mě prokáže - SecurID, secure
token, ...
14. Autentizace a autorizace
Bankovnictví
Kdokoliv
kontakt
• Autorizace = Určení
historie
toho, co můžu dělat
• Různým úrovním platba
autorizace mohou
odpovídat různé
úrovně autentizace
Login/Heslo
SMS kód, SecurID, ...
16. Problém
• Žádné IMEI, ICCID, ...
• často není SIM karta, není API v SDK
• Žádná autorizace pomocí SMS
• opět - není SIM
• ... nebo hůř - je SIM
• Žádná USB klíčenka
• není port pro USB
17. Řešení
• Přiznat si, že zařízení je anonymní
• ... chceme přeci ověřit uživatele...
• Proces personalizace instalace
• “ID zařízení” vs. “ID instalace” vs. “ID aktivace”
• Jiná dvou-faktorová autentizace
• SecurID
• Secure Token s NFC
18. Autentizace a autorizace
• Tustý klient
• Jednofaktorová: OAuth 1.0a (ne
OAuth 2.0!!!), XAuth, deriváty
• Vícefaktorová: SecurID, gridkarta
• Mobilní web: Jen pasivní operace
• Neukládat hesla
• iOS: Keychain se dá vykrást do 6 minut
19. Biometriky
... jsou nuda...
... svá biometrická data trousíte kudy jdete...
21. Bezpečné úložiště dat
• Na mobilním zařízení není obecně možné
zajistit
• Varianta: Zabezpečená cache
Vzdálená blokace
• Data chráněná heslem do aplikace
• Druhá komponenta - token ze serveru
svázaný s heslem
Blokuje server po N pokusech
• Varianta: Heslem zabezpečený klíč
• Náhodnost zamezuje použití brute-force
23. Sandboxing
• Víte, co je ve vaší aplikaci a co mimo ní?
• Data logovaná přes NSLog se ukládají
mimo sandbox
• http://itunes.apple.com/us/app/
appswitch/id398317469?mt=8
• Keychain je mimo sandbox
• Clipboard
25. Bezpečná komunikace
• Používejte HTTPS
• Nespoléhejte na výchozí validaci SSL
certifikátu, jde-li vám o ochranu proti
MITM útokům
• http://mitmproxy.org/