SlideShare una empresa de Scribd logo

Bezpečnost na mobilních zařízeních

Petr Dvorak
Petr Dvorak
1 de 28
Descargar para leer sin conexión
Bezpečnost na mobilních zařízeních petr@inmite.eu @joshis_tweets
Co je to bezpečnost? • “Snaha minimalizovat dopady hrozeb” • Hrozba = situace, která mě může poškodit • Dopad = peníze, které zaplatím, když se něco stane
Co je to bezpečnost? • Málo pravděpodobné hrozby mají typicky větší dopad • ztráta klíčeny PKI v situaci, kdy řeknete kamarádovi heslo do bankovnictví v hospodě
Autorizace Sandboxing Autentizace Bezpečnost Edukace uživatelů Chráněné úložiště Bezpečná komunikace
Mobilní zařízení jsou nebezpečná ... různě se povalují, a tak...
Dříve byl svět jednodušší SIM Toolkit Java ME
Mobilní telefon (krásný)
Tablet device (krásný)
Dell Streak (divný)
Asus EEEPad (nevyhraněný)
Internet do notebooku? (Co bude dál? Lékař jen na zuby?)
Autentizace a autorizace
Jak dokážu, že já jsem já? • Prohlásím to - volný přístup • Prokážu se znalostí - login/heslo • Prokážu se vlastnictvím tokenu - certifikát • Token mě prokáže - SecurID, secure token, ...
Autentizace a autorizace Bankovnictví Kdokoliv kontakt • Autorizace = Určení historie toho, co můžu dělat • Různým úrovním platba autorizace mohou odpovídat různé úrovně autentizace Login/Heslo SMS kód, SecurID, ...
Mobilní zařízení jsou anonymní ... nejsou jednoznačně identifikovatelná...
Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
Řešení • Přiznat si, že zařízení je anonymní • ... chceme přeci ověřit uživatele... • Proces personalizace instalace • “ID zařízení” vs. “ID instalace” vs. “ID aktivace” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
Autentizace a autorizace • Tustý klient • Jednofaktorová: OAuth 1.0a (ne OAuth 2.0!!!), XAuth, deriváty • Vícefaktorová: SecurID, gridkarta • Mobilní web: Jen pasivní operace • Neukládat hesla • iOS: Keychain se dá vykrást do 6 minut
Biometriky ... jsou nuda... ... svá biometrická data trousíte kudy jdete...
Bezpečné úložiště dat
Bezpečné úložiště dat • Na mobilním zařízení není obecně možné zajistit • Varianta: Zabezpečená cache Vzdálená blokace • Data chráněná heslem do aplikace • Druhá komponenta - token ze serveru svázaný s heslem Blokuje server po N pokusech • Varianta: Heslem zabezpečený klíč • Náhodnost zamezuje použití brute-force
Sandboxing
Sandboxing • Víte, co je ve vaší aplikaci a co mimo ní? • Data logovaná přes NSLog se ukládají mimo sandbox • http://itunes.apple.com/us/app/ appswitch/id398317469?mt=8 • Keychain je mimo sandbox • Clipboard
Bezpečná komunikace
Bezpečná komunikace • Používejte HTTPS • Nespoléhejte na výchozí validaci SSL certifikátu, jde-li vám o ochranu proti MITM útokům • http://mitmproxy.org/
Edukace uživatelů
Edukace uživatelů • Nedávejte vašim uživatelům falešný pocit bezpečí • Upozorňujte je na možná rizika používání mobilních aplikací
Děkuji petr@inmite.eu @joshis_tweets

Recomendados

Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
 
Bitcoin Trezor - hardware bitcoin wallet
Bitcoin Trezor - hardware bitcoin walletBitcoin Trezor - hardware bitcoin wallet
Bitcoin Trezor - hardware bitcoin walletSecurity Session
 
mDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictvímDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictvíPetr Dvorak
 
Osobní bezpečnost na internetu
Osobní bezpečnost na internetuOsobní bezpečnost na internetu
Osobní bezpečnost na internetuDCIT, a.s.
 
Informační bezpečnost
Informační bezpečnost Informační bezpečnost
Informační bezpečnost Ústřední knihovna FF MU
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Jiří Peterka
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíPetr Dvorak
 
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Jiří Peterka
 

Recomendados

Mobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaMobilní bankovnictví a bezpečnostní rizika
Mobilní bankovnictví a bezpečnostní rizikaPetr Dvorak
 
Bitcoin Trezor - hardware bitcoin wallet
Bitcoin Trezor - hardware bitcoin walletBitcoin Trezor - hardware bitcoin wallet
Bitcoin Trezor - hardware bitcoin walletSecurity Session
 
mDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictvímDevCamp 2013 - Bezpečnost mobilního bankovnictví
mDevCamp 2013 - Bezpečnost mobilního bankovnictvíPetr Dvorak
 
Osobní bezpečnost na internetu
Osobní bezpečnost na internetuOsobní bezpečnost na internetu
Osobní bezpečnost na internetuDCIT, a.s.
 
Informační bezpečnost
Informační bezpečnost Informační bezpečnost
Informační bezpečnost Ústřední knihovna FF MU
 
Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Co je kybernetická bezpečnost?
Co je kybernetická bezpečnost?Jiří Peterka
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíPetr Dvorak
 
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...
Naučíme se používat elektronický podpis? Nebo se za nás bude podepisovat někd...Jiří Peterka
 
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíOKsystem
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06Lukáš Vacek
 
TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06Lukáš Vacek
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíMobileMondayBratislava
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04Lukáš Vacek
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04Lukáš Vacek
 
Cryptoparty otr
Cryptoparty otrCryptoparty otr
Cryptoparty otrOndřej Profant
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
 
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíSmart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
 
Letem světem elektronické identifikace
Letem světem elektronické identifikaceLetem světem elektronické identifikace
Letem světem elektronické identifikaceJiří Peterka
 
Co bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisechCo bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisechJiří Peterka
 
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcímDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcíPetr Dvorak
 
Má občan právo na tajemství před svým státem?
Má občan právo na tajemství před svým státem?Má občan právo na tajemství před svým státem?
Má občan právo na tajemství před svým státem?Jiří Peterka
 
5. inf. bezpecnost
5. inf. bezpecnost5. inf. bezpecnost
5. inf. bezpecnostMartin Soucek
 
Introduction to Bitcoin
Introduction to BitcoinIntroduction to Bitcoin
Introduction to Bitcoinsmidek82
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)JiKuk1
 
Czech Banks are Under Attack, Clients Lose Money.
Czech Banks are Under Attack, Clients Lose Money.Czech Banks are Under Attack, Clients Lose Money.
Czech Banks are Under Attack, Clients Lose Money.Petr Dvorak
 
Innovations on Banking - Digital Banking Security in the Age of Open Banking
Innovations on Banking - Digital Banking Security in the Age of Open BankingInnovations on Banking - Digital Banking Security in the Age of Open Banking
Innovations on Banking - Digital Banking Security in the Age of Open BankingPetr Dvorak
 
mDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appmDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
 
Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Petr Dvorak
 
Bankovní API ve světě
Bankovní API ve světěBankovní API ve světě
Bankovní API ve světěPetr Dvorak
 

Más contenido relacionado

Similar a Bezpečnost na mobilních zařízeních

Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíOKsystem
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíMobileMondayBratislava
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
 
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíSmart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíPetr Dvorak
 
Letem světem elektronické identifikace
Letem světem elektronické identifikaceLetem světem elektronické identifikace
Letem světem elektronické identifikaceJiří Peterka
 
Co bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisechCo bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisechJiří Peterka
 
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcímDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcíPetr Dvorak
 
Má občan právo na tajemství před svým státem?
Má občan právo na tajemství před svým státem?Má občan právo na tajemství před svým státem?
Má občan právo na tajemství před svým státem?Jiří Peterka
 
Introduction to Bitcoin
Introduction to BitcoinIntroduction to Bitcoin
Introduction to Bitcoinsmidek82
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikTUESDAY Business Network
 
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)JiKuk1
 

Similar a Bezpečnost na mobilních zařízeních (17)

Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06
 
TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictví
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04
 
Cryptoparty otr
Cryptoparty otrCryptoparty otr
Cryptoparty otr
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
 
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikacíSmart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
Smart Cards and Devices Forum 2016 - Bezpečnost multi-banking mobilních aplikací
 
Letem světem elektronické identifikace
Letem světem elektronické identifikaceLetem světem elektronické identifikace
Letem světem elektronické identifikace
 
Co bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisechCo bychom měli vědět o elektronických podpisech
Co bychom měli vědět o elektronických podpisech
 
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcímDevCamp 2014 - Bezpečnost v kontextu internetu věcí
mDevCamp 2014 - Bezpečnost v kontextu internetu věcí
 
Má občan právo na tajemství před svým státem?
Má občan právo na tajemství před svým státem?Má občan právo na tajemství před svým státem?
Má občan právo na tajemství před svým státem?
 
5. inf. bezpecnost
5. inf. bezpecnost5. inf. bezpecnost
5. inf. bezpecnost
 
Introduction to Bitcoin
Introduction to BitcoinIntroduction to Bitcoin
Introduction to Bitcoin
 
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytikBezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
Bezpečnost otevřených a uzavřených řešení - Martin Mačok, bezpečnostní analytik
 
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
Jiří Kučík: Bezpečnost (nejen) dětí v digitální džungli (to-be-removed-soon)
 

Más de Petr Dvorak

Czech Banks are Under Attack, Clients Lose Money.
Czech Banks are Under Attack, Clients Lose Money.Czech Banks are Under Attack, Clients Lose Money.
Czech Banks are Under Attack, Clients Lose Money.Petr Dvorak
 
Innovations on Banking - Digital Banking Security in the Age of Open Banking
Innovations on Banking - Digital Banking Security in the Age of Open BankingInnovations on Banking - Digital Banking Security in the Age of Open Banking
Innovations on Banking - Digital Banking Security in the Age of Open BankingPetr Dvorak
 
mDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appmDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
 
Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Petr Dvorak
 
Bankovní API ve světě
Bankovní API ve světěBankovní API ve světě
Bankovní API ve světěPetr Dvorak
 
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
 
Představení Zingly API Serveru a popis integrace
Představení Zingly API Serveru a popis integracePředstavení Zingly API Serveru a popis integrace
Představení Zingly API Serveru a popis integracePetr Dvorak
 
Lime - PowerAuth 2.0 and mobile QRToken introduction
Lime - PowerAuth 2.0 and mobile QRToken introductionLime - PowerAuth 2.0 and mobile QRToken introduction
Lime - PowerAuth 2.0 and mobile QRToken introductionPetr Dvorak
 
Lime - Push notifications. The big way.
Lime - Push notifications. The big way.Lime - Push notifications. The big way.
Lime - Push notifications. The big way.Petr Dvorak
 
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...Petr Dvorak
 
Co musí banka udělat pro zapojení do Zingly?
Co musí banka udělat pro zapojení do Zingly?Co musí banka udělat pro zapojení do Zingly?
Co musí banka udělat pro zapojení do Zingly?Petr Dvorak
 
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Bezpečnost Zingly a detaily protokolu PowerAuth 2.0
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Petr Dvorak
 
Zingly - Single app for all banks
Zingly - Single app for all banksZingly - Single app for all banks
Zingly - Single app for all banksPetr Dvorak
 
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?Petr Dvorak
 
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?Webinář: Co je to iBeacon a proč by vás to mělo zajímat?
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?Petr Dvorak
 
Chytré telefony v ČR - H1/2015
Chytré telefony v ČR - H1/2015Chytré telefony v ČR - H1/2015
Chytré telefony v ČR - H1/2015Petr Dvorak
 
What are "virtual beacons"?
What are "virtual beacons"?What are "virtual beacons"?
What are "virtual beacons"?Petr Dvorak
 
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatele
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatelemDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatele
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
 
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatele
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživateleiCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatele
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatelePetr Dvorak
 
Lime - Brand Guidelines
Lime - Brand GuidelinesLime - Brand Guidelines
Lime - Brand GuidelinesPetr Dvorak
 

Más de Petr Dvorak (20)

Czech Banks are Under Attack, Clients Lose Money.
Czech Banks are Under Attack, Clients Lose Money.Czech Banks are Under Attack, Clients Lose Money.
Czech Banks are Under Attack, Clients Lose Money.
 
Innovations on Banking - Digital Banking Security in the Age of Open Banking
Innovations on Banking - Digital Banking Security in the Age of Open BankingInnovations on Banking - Digital Banking Security in the Age of Open Banking
Innovations on Banking - Digital Banking Security in the Age of Open Banking
 
mDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appmDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking app
 
Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API? Jak vypadá ideální bankovní API?
Jak vypadá ideální bankovní API?
 
Bankovní API ve světě
Bankovní API ve světěBankovní API ve světě
Bankovní API ve světě
 
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
 
Představení Zingly API Serveru a popis integrace
Představení Zingly API Serveru a popis integracePředstavení Zingly API Serveru a popis integrace
Představení Zingly API Serveru a popis integrace
 
Lime - PowerAuth 2.0 and mobile QRToken introduction
Lime - PowerAuth 2.0 and mobile QRToken introductionLime - PowerAuth 2.0 and mobile QRToken introduction
Lime - PowerAuth 2.0 and mobile QRToken introduction
 
Lime - Push notifications. The big way.
Lime - Push notifications. The big way.Lime - Push notifications. The big way.
Lime - Push notifications. The big way.
 
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...
Zingly - Dopad multi-bankingu a otevřených bankovních API do obchodního fungo...
 
Co musí banka udělat pro zapojení do Zingly?
Co musí banka udělat pro zapojení do Zingly?Co musí banka udělat pro zapojení do Zingly?
Co musí banka udělat pro zapojení do Zingly?
 
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0Bezpečnost Zingly a detaily protokolu PowerAuth 2.0
Bezpečnost Zingly a detaily protokolu PowerAuth 2.0
 
Zingly - Single app for all banks
Zingly - Single app for all banksZingly - Single app for all banks
Zingly - Single app for all banks
 
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?
Fashiontech 2015 - iBeacon: Co to je a k čemu je to dobré?
 
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?Webinář: Co je to iBeacon a proč by vás to mělo zajímat?
Webinář: Co je to iBeacon a proč by vás to mělo zajímat?
 
Chytré telefony v ČR - H1/2015
Chytré telefony v ČR - H1/2015Chytré telefony v ČR - H1/2015
Chytré telefony v ČR - H1/2015
 
What are "virtual beacons"?
What are "virtual beacons"?What are "virtual beacons"?
What are "virtual beacons"?
 
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatele
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatelemDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatele
mDevCamp 2015 - iBeacon aneb jak ochytřit vaše aplikace o kontext uživatele
 
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatele
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživateleiCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatele
iCON DEV - iBeacon, aneb jak ochytřit vaše aplikace o kontext uživatele
 
Lime - Brand Guidelines
Lime - Brand GuidelinesLime - Brand Guidelines
Lime - Brand Guidelines
 

Bezpečnost na mobilních zařízeních

  • 1. Bezpečnost na mobilních zařízeních petr@inmite.eu @joshis_tweets
  • 2. Co je to bezpečnost? • “Snaha minimalizovat dopady hrozeb” • Hrozba = situace, která mě může poškodit • Dopad = peníze, které zaplatím, když se něco stane
  • 3. Co je to bezpečnost? • Málo pravděpodobné hrozby mají typicky větší dopad • ztráta klíčeny PKI v situaci, kdy řeknete kamarádovi heslo do bankovnictví v hospodě
  • 4. Autorizace Sandboxing Autentizace Bezpečnost Edukace uživatelů Chráněné úložiště Bezpečná komunikace
  • 5. Mobilní zařízení jsou nebezpečná ... různě se povalují, a tak...
  • 6. Dříve byl svět jednodušší SIM Toolkit Java ME
  • 11. Internet do notebooku? (Co bude dál? Lékař jen na zuby?)
  • 13. Jak dokážu, že já jsem já? • Prohlásím to - volný přístup • Prokážu se znalostí - login/heslo • Prokážu se vlastnictvím tokenu - certifikát • Token mě prokáže - SecurID, secure token, ...
  • 14. Autentizace a autorizace Bankovnictví Kdokoliv kontakt • Autorizace = Určení historie toho, co můžu dělat • Různým úrovním platba autorizace mohou odpovídat různé úrovně autentizace Login/Heslo SMS kód, SecurID, ...
  • 15. Mobilní zařízení jsou anonymní ... nejsou jednoznačně identifikovatelná...
  • 16. Problém • Žádné IMEI, ICCID, ... • často není SIM karta, není API v SDK • Žádná autorizace pomocí SMS • opět - není SIM • ... nebo hůř - je SIM • Žádná USB klíčenka • není port pro USB
  • 17. Řešení • Přiznat si, že zařízení je anonymní • ... chceme přeci ověřit uživatele... • Proces personalizace instalace • “ID zařízení” vs. “ID instalace” vs. “ID aktivace” • Jiná dvou-faktorová autentizace • SecurID • Secure Token s NFC
  • 18. Autentizace a autorizace • Tustý klient • Jednofaktorová: OAuth 1.0a (ne OAuth 2.0!!!), XAuth, deriváty • Vícefaktorová: SecurID, gridkarta • Mobilní web: Jen pasivní operace • Neukládat hesla • iOS: Keychain se dá vykrást do 6 minut
  • 19. Biometriky ... jsou nuda... ... svá biometrická data trousíte kudy jdete...
  • 21. Bezpečné úložiště dat • Na mobilním zařízení není obecně možné zajistit • Varianta: Zabezpečená cache Vzdálená blokace • Data chráněná heslem do aplikace • Druhá komponenta - token ze serveru svázaný s heslem Blokuje server po N pokusech • Varianta: Heslem zabezpečený klíč • Náhodnost zamezuje použití brute-force
  • 23. Sandboxing • Víte, co je ve vaší aplikaci a co mimo ní? • Data logovaná přes NSLog se ukládají mimo sandbox • http://itunes.apple.com/us/app/ appswitch/id398317469?mt=8 • Keychain je mimo sandbox • Clipboard
  • 25. Bezpečná komunikace • Používejte HTTPS • Nespoléhejte na výchozí validaci SSL certifikátu, jde-li vám o ochranu proti MITM útokům • http://mitmproxy.org/
  • 27. Edukace uživatelů • Nedávejte vašim uživatelům falešný pocit bezpečí • Upozorňujte je na možná rizika používání mobilních aplikací
  • 28. Děkuji petr@inmite.eu @joshis_tweets