SlideShare a Scribd company logo

Malware vs autoryzacja transakcji

SecuRing
SecuRing

Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach. Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł. W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń. Agenda (draft): - Krótka prezentacja metod autoryzacji transakcji. - Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach). - Jak wybrać skuteczną metodę autoryzacji transakcji? - Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.

Technology
1 of 43
Download to read offline
Malware i hackerzy Wojciech Dworakowski SECURE – 2015-10-14 Autoryzacja transakcji V S
wojdwo@securing:~$ whoami Testowanie i doradztwo dotyczące bezpieczeństwa aplikacji i systemów IT od 2003 roku / ponad 300 systemów i aplikacji Badania dotyczące nowych metod ataku i obrony OWASP Poland Chapter Leader 2
Agenda Metody autoryzacji VS scenariusze działania malware – podróż w czasie Trendy i co czeka nas w (niedalekiej) przyszłości Podatności w mechanizmach autoryzacji Jak wybrać skuteczną metodę autoryzacji transakcji?
Metody autoryzacji transakcji 4 Image: www.rsa.com Image: www.newtechusacom Image: iss.thalesgroup.com Image: emue.com Domestic transfer to account 99XXXX890 amount 1.00 EUR authorization code: 36032651 Image: vasco.com Image: wikipedia.org Image: wikipedia.org
EWOLUCJA METOD OBRONY I ATAKU
Uwierzytelnienie: hasło Autoryzacja transakcji: brak Scenariusz ataku: keylogger Dawno, dawno temu… Sinowall / Mebroot (2006) (maskowane)
Kody TAN / iTAN - „Zdrapki”
Wskazanie tokena ma krótki czas życia Time-based One-Time Password (TOTP) Wyłudzenie wskazania i użycie go w czasie (prawie) rzeczywistym Podmiana transakcji w przeglądarce nr_konta=661111000000006666 kwota=1000 KOD=3872
Challenge-response ***********Hasło: Odpowiedź tokena: ID: 7890 2341 Image: iss.thalesgroup.com
Webinject + socjotechnika Image: iss.thalesgroup.com Hasło: Odpowiedź tokena: ID: 4560 1407 Złe hasło. Wprowadź ponownie hasło i odpowiedź tokena Rachunek: Odpowiedź tokena: ID: 4560 1407 Kwota: 42 4433 6666 10 000 PLN 27492790
Słabości / Rekomendacje Wszystkie te metody nie pozwalają na weryfikację danych transakcji Metoda autoryzacji transakcji powinna umożliwiać użytkownikowi weryfikację znaczących danych transakcji (np. dla przelewu – konto odbiorcy i kwota)
SMS z kodem jednorazowym i opisem transakcji Image: Alior Bank Przelew krajowy: Nr konta odbiorcy 22XXXX222 kwota 77.34 PLN kod autoryzujący: 36032651
Przechwycenie sesji i zmiana danych transakcji „w locie” Zmiana nr konta w clipboardzie / pamięci …. Metody ataku na autoryzację hasłem SMS Problemy: • Użytkownicy nie weryfikują danych transakcji • Użytkownicy weryfikują dane transakcji z ekranem
Autoryzacja przy użyciu smartcard Uwierzytelnianie 15 Image: alibaba.com
Malware VS smartcard Autoryzacja transakcji 16 Podsłuchanie PIN, Uwierzytelnie i wykonanie przelewów – keylogger + “remote desktop”
CAP reader 17 Image: Barclays Bank
Socjotechnika Weryfikacja poprawność działania czytnika: • Włóż kartę • Naciśnij „SIGN” • Wprowadź swój PIN • Przepisz następujący ciąg znaków: 6611 2266 • Wprowadź 11111 • Przepisz odpowiedź tutaj:
Socjotechnika („Dyre Wolf”) Źródło: http://www.theinternetpatrol.com/dyre-wolf-wire-transfer-malware-gets-around-2-factor-authentication/
Brak uznanego, jednolitego standardu autoryzacji transakcji • Tylko przelewy „zaufane” • SMS • Token challenge-response • Jako funkcja aplikacji • Jako osobna aplikacja • PIN (ten sam co do uwierzytelniania) • Biometria (głos, odcisk palca) • … Bankowość mobilna
Overlay Źródło:Arxan/IBM-http://www.slideshare.net/ibmsecurity/securing-mobile-banking-apps/18
webinject, form grabbing, cookie grabbing browser hooking on-the-fly webinject form original server Przejmowanie sesji VNC Wykrywanie POS + Skanowanie pamięci Wykrywanie smardcard + próba odczytu Wykrywanie platform bankowych + atak Malware = Arsenał narzędzi = Różne scenariusze
Bankowość mobilna Bankowość korporacyjna Platformy bankowości korporacyjnej (np. Multicash) Płatności elektroniczne Private banking, Domy maklerskie, FOREX Integracja z systemami FK, SDK …. Cele: Atakowane aplikacje
Ataki celowane (targeting) Firmy / korporacje Klienci zamożni Developerzy aplikacji bankowych Łatwiejszy atak niż na bank Na raz wiele aplikacji Np. Corcow – sprawdza czy ofiara jest developerem Androida Cele: Zawężenie ataków
Malware wycelowane w konkretną aplikację a nie masowe Dostosowanie się do mechanizmów uwierzytelniania i autoryzacji Rozwój metod socjotechnicznych Podmiana rachunku u źródła Wykorzystanie podatności w mechanizmach autoryzacji Metody działania
PODATNOŚCI FUNKCJONALNE - PRZYKŁAD Podatności w mechanizmach autoryzacji
Kluczowe operacje bez dodatkowej autoryzacji Np.: • Zmiana nr do kodów SMS • „Parowanie” nowego urządzenia autoryzacyjnego • Zmiana szablonu płatności
Zmiana nr do SMS 29
Zmiana nr do SMS 30
PODATNOŚCI NIEFUNKCJONALNE - PRZYKŁAD Podatności w mechanizmach autoryzacji
Krok1: Użytkownik wprowadza dane transakcji POST /domesticTransfer HTTP/1.1 task=APPROVE_TRN trnData.acc_id=910458 trnData.bnf_name=TELECOM+OPERATOR+Ltd trnData.bnf_acc_no=9911110000000000123456789 trnData.amount=1.00 trnData.currency=EUR trnData.title=invoice+123456 32
Krok2: Użytkownik wprowadza dane autoryzujące POST /domesticTransfer HTTP/1.1 task=SEND_RESPONSE trnData.response=87567340 33
POST /domesticTransfer HTTP/1.1 task=SEND_RESPONSE trnData.response=87567340 Nadpisanie danych transakcji 34 trnData.bnf_acc_no=66222200000006666666666 trnData.amount=1000.00 trnData.currency=EUR
JAK WYBRAĆ SKUTECZNĄ METODĘ AUTORYZACJI?
Każdy bank i każda aplikacja są inne Klienci: retail, MSP, corpo, private Kanały: web, mobile, IVR, WebService, ... Funkcjonalność Profil klienta środki, produkty, świadomość Profil ryzyka, apetyt na ryzyko Edukacja użytkowników
Scenariusz Czyja stacja komunikuje z bankiem? Czy strona jest zmieniana w przeglądarce? Przekierowanie na stronę atakującego atakującego webinject, przekierowanie w DNS, strona serwowana lokalnie, … Zmiana transakcji w przeglądarce ofiary webinject j.w. + back-connect ofiary webinject, przekierowanie w DNS, strona serwowana lokalnie, … Remote desktop ofiary Nie Zmiana nr rachunku w clipboardzie, pamięci, na stronie źródłowej ofiary Nie Detekcja malware - Nie ma paneceum na wszystkie scenariusze ataków
Wyblokujemy adres IP / charakterystykę przegladarki / konta słupów…! Zaciemnijmy kod stony to malware nie będzie umiało zrobić webinjecta! Ograniczymy czas życia kodu autoryzującego! Rozwiązania te są dobre ale na krótką metę. Warto je stosować (w przypadku incydentu) ale zakładać zmianę taktyki atakującego …i jeszcze kilka (nieskutecznych?) pomysłów
Którzy klienci mają dostępne duże środki obrotowe? Czy mają włączone dodatkowe zabezpieczenia: autoryzacja na dwie ręce, limity, powiadomienia? Przy wylogowaniu sprawdzanie czy klient wyciągnął kartę z czytnika Timeout + Techniki utrudniające scrapping Rozwiązania tego typu również nie są uniwersalne Ale skutecznie i trwale ograniczają powierzchnię ataku …i kilka bardziej skutecznych przykładów
Potrzebna jest uniwersalna strategia autoryzacji i uwierzytelniania Wszystkie kanały Nie tylko obecne trendy ale też spojrzenie w przyszłość Bezpieczeństwo / Wygoda użytkowania / Koszty Regulacje Poprawność implementacji Zabezpieczenia dodatkowe np.: limity, podpis na dwie ręce, powiadomienia, … Detekcja Malware, podejrzanych operacji, anomalii Edukacja użytkowników
WYGODA UŻYTKOWANIA KOSZT BEZPIECZEŃSTWO © Sławek Jasek
Materiały dodatkowe http://www.securing.pl/materialy OWASP Transaction Authorization Cheat Sheet E-banking transaction authorization – possible vulnerabilities, security verificationand best practices for implementation Script-based malware detection in Online Banking Security Overview Raport Obserwatorium.biz:Nowe podejście do autoryzacji. Systemowe zabezpieczenie instytucji finansowej
Dziękuję, Zapraszam do kontaktu: wojciech.dworakowski@securing.pl @wojdwo

Recommended

Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidSecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
Hacking Internet of Things
Hacking Internet of ThingsHacking Internet of Things
Hacking Internet of ThingsSecuRing
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneSecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 

Recommended

Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidTestowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę AndroidSecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
Hacking Internet of Things
Hacking Internet of ThingsHacking Internet of Things
Hacking Internet of ThingsSecuRing
 
Możliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneMożliwości złośliwego oprogramowania na platformy mobilne
Możliwości złośliwego oprogramowania na platformy mobilneSecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do bankuSlawomir Jasek
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSSecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mityLogicaltrust pl
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
Hacking Bluetooth Smart
Hacking Bluetooth SmartHacking Bluetooth Smart
Hacking Bluetooth SmartSlawomir Jasek
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 

More Related Content

What's hot

Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do bankuSlawomir Jasek
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSSecuRing
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mityLogicaltrust pl
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
Hacking Bluetooth Smart
Hacking Bluetooth SmartHacking Bluetooth Smart
Hacking Bluetooth SmartSlawomir Jasek
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 

What's hot (19)

Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnych
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do banku
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOSBudowanie i hakowanie nowoczesnych aplikacji iOS
Budowanie i hakowanie nowoczesnych aplikacji iOS
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
Devops security
Devops securityDevops security
Devops security
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
Hacking Bluetooth Smart
Hacking Bluetooth SmartHacking Bluetooth Smart
Hacking Bluetooth Smart
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
 

Similar to Malware vs autoryzacja transakcji

(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
 
Bezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychBezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychMichał Olczak
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuLogicaltrust pl
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Security news vol. 3 - 20150219 - Risk & Technology Wrocław Group
Security news vol. 3 - 20150219 - Risk & Technology Wrocław GroupSecurity news vol. 3 - 20150219 - Risk & Technology Wrocław Group
Security news vol. 3 - 20150219 - Risk & Technology Wrocław GroupLogicaltrust pl
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Securitymichalpodoski
 
Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...
Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...
Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...The Software House
 
Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.
Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.
Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.Symetria
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLThink Secure
 
Owasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaOwasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaThink Secure
 
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenieBezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenieCyberlaw Beata Marek
 
Ataki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychAtaki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychPawel Rzepa
 
PLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktycePLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktycePROIDEA
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...ecommerce poland expo
 

Similar to Malware vs autoryzacja transakcji (20)

(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...
 
Bezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznychBezpieczenstwo platnosci elektronicznych
Bezpieczenstwo platnosci elektronicznych
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
 
Security news vol. 3 - 20150219 - Risk & Technology Wrocław Group
Security news vol. 3 - 20150219 - Risk & Technology Wrocław GroupSecurity news vol. 3 - 20150219 - Risk & Technology Wrocław Group
Security news vol. 3 - 20150219 - Risk & Technology Wrocław Group
 
Halokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP SecurityHalokwadrat Antyfraud Forum - SIP Security
Halokwadrat Antyfraud Forum - SIP Security
 
Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...
Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...
Jak kraść miliony, czyli o błędach bezpieczeństwa, które mogą spotkać również...
 
Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.
Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.
Czy aby na pewno jest Pan człowiekiem. Użyteczność kodów CAPTCHA 2.
 
Wyscig o czynnik ludzki
Wyscig o czynnik ludzkiWyscig o czynnik ludzki
Wyscig o czynnik ludzki
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PL
 
Owasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaOwasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL Beta
 
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenieBezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
 
Ataki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowychAtaki po stronie klienta w publicznych punktach dostępowych
Ataki po stronie klienta w publicznych punktach dostępowych
 
PLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktycePLNOG 18 - Michał Sajdak - IoT hacking w praktyce
PLNOG 18 - Michał Sajdak - IoT hacking w praktyce
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
 

More from SecuRing

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersSecuRing
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!SecuRing
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameSecuRing
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!SecuRing
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!SecuRing
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS EnvironmentsSecuRing
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionSecuRing
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy MechanismsSecuRing
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?SecuRing
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy MechanismsSecuRing
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defenseSecuRing
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsSecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsSecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsSecuRing
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleSecuRing
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainSecuRing
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsSecuRing
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.SecuRing
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsSecuRing
 
Artificial Intelligence – a buzzword, new era of IT or new threats?
Artificial Intelligence – a buzzword, new era of IT or new threats?Artificial Intelligence – a buzzword, new era of IT or new threats?
Artificial Intelligence – a buzzword, new era of IT or new threats?SecuRing
 

More from SecuRing (20)

Developer in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4DevelopersDeveloper in a digital crosshair, 2023 edition - 4Developers
Developer in a digital crosshair, 2023 edition - 4Developers
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!Developer in a digital crosshair, 2022 edition - Oh My H@ck!
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
 
Developer in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON NameDeveloper in a digital crosshair, 2022 edition - No cON Name
Developer in a digital crosshair, 2022 edition - No cON Name
 
Is persistency on serverless even possible?!
Is persistency on serverless even possible?!Is persistency on serverless even possible?!
Is persistency on serverless even possible?!
 
What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!What happens on your Mac, stays on Apple’s iCloud?!
What happens on your Mac, stays on Apple’s iCloud?!
 
0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments0-Day Up Your Sleeve - Attacking macOS Environments
0-Day Up Your Sleeve - Attacking macOS Environments
 
Developer in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 editionDeveloper in a digital crosshair, 2022 edition
Developer in a digital crosshair, 2022 edition
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms20+ Ways To Bypass Your Macos Privacy Mechanisms
20+ Ways To Bypass Your Macos Privacy Mechanisms
 
How secure are webinar platforms?
How secure are webinar platforms?How secure are webinar platforms?
How secure are webinar platforms?
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms20+ Ways to Bypass Your macOS Privacy Mechanisms
20+ Ways to Bypass Your macOS Privacy Mechanisms
 
Serverless security: attack & defense
Serverless security: attack & defense Serverless security: attack & defense
Serverless security: attack & defense
 
Abusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS appsAbusing & Securing XPC in macOS apps
Abusing & Securing XPC in macOS apps
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standardsWebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
 
Let's get evil - threat modeling at scale
Let's get evil - threat modeling at scaleLet's get evil - threat modeling at scale
Let's get evil - threat modeling at scale
 
Attacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chainAttacking AWS: the full cyber kill chain
Attacking AWS: the full cyber kill chain
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standardsWeb Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
 
We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.We need t go deeper - Testing inception apps.
We need t go deeper - Testing inception apps.
 
Building & Hacking Modern iOS Apps
Building & Hacking Modern iOS AppsBuilding & Hacking Modern iOS Apps
Building & Hacking Modern iOS Apps
 
Artificial Intelligence – a buzzword, new era of IT or new threats?
Artificial Intelligence – a buzzword, new era of IT or new threats?Artificial Intelligence – a buzzword, new era of IT or new threats?
Artificial Intelligence – a buzzword, new era of IT or new threats?
 

Malware vs autoryzacja transakcji

  • 1. Malware i hackerzy Wojciech Dworakowski SECURE – 2015-10-14 Autoryzacja transakcji V S
  • 2. wojdwo@securing:~$ whoami Testowanie i doradztwo dotyczące bezpieczeństwa aplikacji i systemów IT od 2003 roku / ponad 300 systemów i aplikacji Badania dotyczące nowych metod ataku i obrony OWASP Poland Chapter Leader 2
  • 3. Agenda Metody autoryzacji VS scenariusze działania malware – podróż w czasie Trendy i co czeka nas w (niedalekiej) przyszłości Podatności w mechanizmach autoryzacji Jak wybrać skuteczną metodę autoryzacji transakcji?
  • 4. Metody autoryzacji transakcji 4 Image: www.rsa.com Image: www.newtechusacom Image: iss.thalesgroup.com Image: emue.com Domestic transfer to account 99XXXX890 amount 1.00 EUR authorization code: 36032651 Image: vasco.com Image: wikipedia.org Image: wikipedia.org
  • 6. Uwierzytelnienie: hasło Autoryzacja transakcji: brak Scenariusz ataku: keylogger Dawno, dawno temu… Sinowall / Mebroot (2006) (maskowane)
  • 7. Kody TAN / iTAN - „Zdrapki”
  • 8. Wskazanie tokena ma krótki czas życia Time-based One-Time Password (TOTP) Wyłudzenie wskazania i użycie go w czasie (prawie) rzeczywistym Podmiana transakcji w przeglądarce nr_konta=661111000000006666 kwota=1000 KOD=3872
  • 10. Webinject + socjotechnika Image: iss.thalesgroup.com Hasło: Odpowiedź tokena: ID: 4560 1407 Złe hasło. Wprowadź ponownie hasło i odpowiedź tokena Rachunek: Odpowiedź tokena: ID: 4560 1407 Kwota: 42 4433 6666 10 000 PLN 27492790
  • 11. Słabości / Rekomendacje Wszystkie te metody nie pozwalają na weryfikację danych transakcji Metoda autoryzacji transakcji powinna umożliwiać użytkownikowi weryfikację znaczących danych transakcji (np. dla przelewu – konto odbiorcy i kwota)
  • 12.
  • 13. SMS z kodem jednorazowym i opisem transakcji Image: Alior Bank Przelew krajowy: Nr konta odbiorcy 22XXXX222 kwota 77.34 PLN kod autoryzujący: 36032651
  • 14. Przechwycenie sesji i zmiana danych transakcji „w locie” Zmiana nr konta w clipboardzie / pamięci …. Metody ataku na autoryzację hasłem SMS Problemy: • Użytkownicy nie weryfikują danych transakcji • Użytkownicy weryfikują dane transakcji z ekranem
  • 15. Autoryzacja przy użyciu smartcard Uwierzytelnianie 15 Image: alibaba.com
  • 16. Malware VS smartcard Autoryzacja transakcji 16 Podsłuchanie PIN, Uwierzytelnie i wykonanie przelewów – keylogger + “remote desktop”
  • 18. Socjotechnika Weryfikacja poprawność działania czytnika: • Włóż kartę • Naciśnij „SIGN” • Wprowadź swój PIN • Przepisz następujący ciąg znaków: 6611 2266 • Wprowadź 11111 • Przepisz odpowiedź tutaj:
  • 19. Socjotechnika („Dyre Wolf”) Źródło: http://www.theinternetpatrol.com/dyre-wolf-wire-transfer-malware-gets-around-2-factor-authentication/
  • 20. Brak uznanego, jednolitego standardu autoryzacji transakcji • Tylko przelewy „zaufane” • SMS • Token challenge-response • Jako funkcja aplikacji • Jako osobna aplikacja • PIN (ten sam co do uwierzytelniania) • Biometria (głos, odcisk palca) • … Bankowość mobilna
  • 22.
  • 23. webinject, form grabbing, cookie grabbing browser hooking on-the-fly webinject form original server Przejmowanie sesji VNC Wykrywanie POS + Skanowanie pamięci Wykrywanie smardcard + próba odczytu Wykrywanie platform bankowych + atak Malware = Arsenał narzędzi = Różne scenariusze
  • 24. Bankowość mobilna Bankowość korporacyjna Platformy bankowości korporacyjnej (np. Multicash) Płatności elektroniczne Private banking, Domy maklerskie, FOREX Integracja z systemami FK, SDK …. Cele: Atakowane aplikacje
  • 25. Ataki celowane (targeting) Firmy / korporacje Klienci zamożni Developerzy aplikacji bankowych Łatwiejszy atak niż na bank Na raz wiele aplikacji Np. Corcow – sprawdza czy ofiara jest developerem Androida Cele: Zawężenie ataków
  • 26. Malware wycelowane w konkretną aplikację a nie masowe Dostosowanie się do mechanizmów uwierzytelniania i autoryzacji Rozwój metod socjotechnicznych Podmiana rachunku u źródła Wykorzystanie podatności w mechanizmach autoryzacji Metody działania
  • 28. Kluczowe operacje bez dodatkowej autoryzacji Np.: • Zmiana nr do kodów SMS • „Parowanie” nowego urządzenia autoryzacyjnego • Zmiana szablonu płatności
  • 29. Zmiana nr do SMS 29
  • 30. Zmiana nr do SMS 30
  • 32. Krok1: Użytkownik wprowadza dane transakcji POST /domesticTransfer HTTP/1.1 task=APPROVE_TRN trnData.acc_id=910458 trnData.bnf_name=TELECOM+OPERATOR+Ltd trnData.bnf_acc_no=9911110000000000123456789 trnData.amount=1.00 trnData.currency=EUR trnData.title=invoice+123456 32
  • 33. Krok2: Użytkownik wprowadza dane autoryzujące POST /domesticTransfer HTTP/1.1 task=SEND_RESPONSE trnData.response=87567340 33
  • 34. POST /domesticTransfer HTTP/1.1 task=SEND_RESPONSE trnData.response=87567340 Nadpisanie danych transakcji 34 trnData.bnf_acc_no=66222200000006666666666 trnData.amount=1000.00 trnData.currency=EUR
  • 36. Każdy bank i każda aplikacja są inne Klienci: retail, MSP, corpo, private Kanały: web, mobile, IVR, WebService, ... Funkcjonalność Profil klienta środki, produkty, świadomość Profil ryzyka, apetyt na ryzyko Edukacja użytkowników
  • 37. Scenariusz Czyja stacja komunikuje z bankiem? Czy strona jest zmieniana w przeglądarce? Przekierowanie na stronę atakującego atakującego webinject, przekierowanie w DNS, strona serwowana lokalnie, … Zmiana transakcji w przeglądarce ofiary webinject j.w. + back-connect ofiary webinject, przekierowanie w DNS, strona serwowana lokalnie, … Remote desktop ofiary Nie Zmiana nr rachunku w clipboardzie, pamięci, na stronie źródłowej ofiary Nie Detekcja malware - Nie ma paneceum na wszystkie scenariusze ataków
  • 38. Wyblokujemy adres IP / charakterystykę przegladarki / konta słupów…! Zaciemnijmy kod stony to malware nie będzie umiało zrobić webinjecta! Ograniczymy czas życia kodu autoryzującego! Rozwiązania te są dobre ale na krótką metę. Warto je stosować (w przypadku incydentu) ale zakładać zmianę taktyki atakującego …i jeszcze kilka (nieskutecznych?) pomysłów
  • 39. Którzy klienci mają dostępne duże środki obrotowe? Czy mają włączone dodatkowe zabezpieczenia: autoryzacja na dwie ręce, limity, powiadomienia? Przy wylogowaniu sprawdzanie czy klient wyciągnął kartę z czytnika Timeout + Techniki utrudniające scrapping Rozwiązania tego typu również nie są uniwersalne Ale skutecznie i trwale ograniczają powierzchnię ataku …i kilka bardziej skutecznych przykładów
  • 40. Potrzebna jest uniwersalna strategia autoryzacji i uwierzytelniania Wszystkie kanały Nie tylko obecne trendy ale też spojrzenie w przyszłość Bezpieczeństwo / Wygoda użytkowania / Koszty Regulacje Poprawność implementacji Zabezpieczenia dodatkowe np.: limity, podpis na dwie ręce, powiadomienia, … Detekcja Malware, podejrzanych operacji, anomalii Edukacja użytkowników
  • 42. Materiały dodatkowe http://www.securing.pl/materialy OWASP Transaction Authorization Cheat Sheet E-banking transaction authorization – possible vulnerabilities, security verificationand best practices for implementation Script-based malware detection in Online Banking Security Overview Raport Obserwatorium.biz:Nowe podejście do autoryzacji. Systemowe zabezpieczenie instytucji finansowej