Smartphone e banking Claudio Santacesaria claudio.santacesaria@rototype.com
Telecom: sicurezza Operatori di telefonia molto focalizzati sulla sicurezza Hanno perseguito (e raggiunto) la sicurezza intrinseca tramite: SIM crittografia Smartphone sono lo strumento ideale per operazioni bancarie? Forse, ma il focus degli operatori era rendere sicuro il billing Steve Wozniak, 1972
$icurezza: approccio pratico Probabilistico Da: Azienda Banca, Marco Morana, Quanto costa la ICT Security, Settembre 2011
Cellulare: 3 usi banking Cellulare come strumento di autenticazione secondaria Mobile Internet Banking: Tablet e smartphone per accedere al sito della banca (via app dedicata o browser) Mobile payment: Smartphone come strumento di pagamento
Autenticazione (1) Autenticazione secondaria basata sul possesso della SIM card Applicazione 1 (passiva): SMS di conferma operazione Applicazione 2 (OTP): SMS con One Time Pin Applicazione 3 (attiva): L utente deve inviare un SMS o chiamata per attivare un servizio/pagamento Evoluzioni?: esempio Geolocalizzazione Diversi livelli di impegno dell utente
Autenticazione (2) Efficace perchè secondaria Ci sono stati esempi di attacco onerosi per cybercriminali (ottenimento SIM card secondaria) limitati ad alcuni scenari (uso di servizi SMS internazionali che consentono di forgiare il campo from ) Il quadro può cambiare completamente nel mondo smart attacco con malware su larga scala di più terminali dell utente per molti utenti
Autenticazione (3) Da qui vado sul sito della banca Questo è il mio token di autenticazione Il servizio di sincronizzazione delle app ha sincronizzato il malware
Mobile internet Banking Stesse problematiche dell internet banking Aggravate da: schermi piccoli password inserite in pubblico utenti distratti (accesso in mobilità) e più inclini a cliccare OK Forte dipendenza delle problematiche di sicurezza da: fattore utente fattore sistema operativo
Mobile Banking: a Must Investendo in piattaforme all avanguardia e riducendo le commissioni per l utilizzo del trading on line su smartphone, le revenues annue per la banca potrebbero di 100 milioni solo sulle commissioni di trading G.C., Dal mobile banking allo smartphone banking, AziendaBanca, Marzo 2012 Trading 300 250 200 150 100 50 0 Revenues (mln) Mobile payments Mobile commerce PFM
Mobile Security Feeling A completare un quadro positivo anche il lato sicurezza. Stiamo ancora concludendo l analisi effettuata da ABI Lab, ma dagli elementi emersi finora non vediamo elementi di preoccupazione e non sembrano presenti grandi minacce. Questo non vuol dire che il settore non continui a mantenere un attenzione molto alta e a monitorare i rischi e le potenziali minacce del nuovo canale sottolinea Romano Stasi, segretario generale di ABI Lab Massimo Zaurrini, Le banche e la mobile revolution, blog Bancaforte.it, 14 Maggio 2012
Fattore utente Gli utenti MAC infettati dalla prima versione di Flashback hanno premuto continue e inserito la password di amministratore su questa schermata install flash player Nota 1 Flash player su MAC non è supportato Nota 2: Molti PC infettati anche tra dipendenti Apple Discernimento?
Sistemi operativi (1) ios App e autori controllati: filtro sulle vulnerabilità e accountability Netta separazione tra dati applicazioni (no buffer overflow) Autorizzazioni diverse tra kernel, applicativi Apple, applicativi di terze parti: una app non può attacare Safari Sandboxing: ogni app scrive nella sua cartella Eugene Kaspersky, Maggio 2012: ios è più difficile da infettare, ma è possibile, e quando succederà non ci sarà alcuna protezione. Gli strumenti SDK di Apple ci impediscono di crearla.
Sistemi operativi (2) Android Modello aperto Libera generazione e circolazione delle app L utente può configurare le autorizzazioni delle single app: molto flessibile e sicuro per utenti esperti Sandboxing limitato e gestione più flessibile della memoria Le app possono accedere a funzioni di basso livello, modificarsi a vicenda e in alcuni casi anche interferire con il kernel Ad oggi, per l utente medio, c è un abisso di maggiore sicurezza dell ecosistema Apple rispetto ad Android.
Pagamenti Mobili Carta di credito a chip integrata nella SIM Interfaccia wireless NFC (trasponder) Scenari innovativi: più carte nello stesso dispositivo, pagamenti online direttamente dal dispositivo
PM: un must Durante le fasi pilota [del trial NFC in Spagna] le transazioni elettroniche sono aumentate del 30% e i volumi hanno registrato un incremento del 23% G.C., Quale Modello per l NFC, AziendaBanca, Maggio 2012 Lotta al contante: Il chip NCF è la leva per spingere i consumi Isidoro Trovato, Corriere Economia, 11 Giugno 2012
PM: Security Feeling Rispetto al pagamento con carta si verifica una rivoluzione copernicana per quanto riguarda la sicurezza: [...] l elemento attivo è il cellulare nelle mani del cliente, che deve autorizzare ogni transazione inserendo un PIN e che non perde mai di vista il proprio device G.C., Quale Modello per l NFC, AziendaBanca, Maggio 2012 A.G., Un quadrato multifunzione, AziendaBanca, Marzo 2012
PM: verità sulla sicurezza Una app malevola (o infettata) potrebbe assomigliare a quella legittima e nel frattempo autorizzare qualche pagamento in più a meno che... tecnologia non impedisca ai dati di transazione di essere condivisi con le app e/o con la rete, ovvero la transazione dovrebbe essere fisicamente possibile solo via NFC a meno che... voglia di flessibilità strada del senza PoS voglia di flessibilità pagamenti online one click Chi controlla la tecnologia? (controllo = ownership verifica)
Modelli di sicurezza (1) 1. Trust: ovvero pubblicità! Vignetta di O.Widder
Modelli di sicurezza (2) 2. Testing Vignetta di O.Widder
Modelli di sicurezza (3) 3. Sicurezza intrinseca: ritorno alle origini? Vignetta di O.Widder
Thank you claudio.santacesaria @rototype.com Ingegnere elettronico 15 anni nella progettazione di sistemi di telecomunicazione Responsabile Ricerca e Sviluppo Rototype di Milano affrontate problematiche di crittografia e sicurezza in vari contesti Progetta prodotti per l automazione bancaria dal 1962 Sedi: Firenze e Milano Prodotti principali: Bancomat evoluti con funzioni di deposito Macchine per la stampa e scansione degli assegni Software per banche
More material
Due esempi emblematici Attacco alle chip card basato su un difetto del protocollo troppe opzioni nello standard!!!! non c è PCI-DSS che possa aiutare se la tecnologia è broken Cattura delle credenziali di accesso tramite SSLSTRIP attacco man in the middle possibile ad ogni provider (incluso gestore di hot spot WiFi) possibile ad ogni collega sulla stessa LAN possibile SE l accesso alla pagina sicura https avviene tramite una pagina non sicura precedente
Sicurezza: chip card La carta contiene una chiave privata che non può essere estratta in alcun modo ed è firmata digitalmente da un provider affidabile la carta non è duplicabile La verifica avviene tramite firma digitale di un nonce inviato dal lettore/host. robusto ai replay attacks Implementazioni: testate a lungo prima della adozione in ambito bancario Robustissime? Si, ma... Verifica del pin locale: la carta può validare il pin autonomamente senza connessione con l host falla nella sicurezza perchè la risposta non è autenticata
Attacco alle chip card 1 2 3 4 5 6 7 8 9 Ciao, sono la carta n. 4000 0012 3456 7899 di Claudio Santacesaria Puoi criptarmi il pin con la chiave pubblica allegata ( ) TRANSAZIONE AUTORIZZATA Ciao, sono il tastierino Sagem n. 487656 di Swiss Bank ok, eccolo 1395778734e243beba3fb0ae3de7380e Yes Yesbox box codice 9000 (pin ok) o codice di errore
SLL Strip (1) Il criminale intercetta il traffico e traduce una connessione HTTPS verso il server in una non criptata verso il client HTTP
SSL Strip (2) L utente smaliziato se ne accorge perchè manca la s nella barra degli indirizzi (ammesso che ci sia)
SSL Strip (3) può mancare la barra (smartphone) può mancare la s se il sito adotta i frames la crittografia delle sole porzioni critiche Dal sito di una banca: Quando navighi in un sito che utilizza i frames puoi verificare di essere in una pagina sicura in due modi: seleziona con il tasto destro del mouse la funzione "proprietà" della pagina ("properties") e controlla che sia utilizzato il protocollo SSL 128 Bit apri un link in una nuova finestra (tasto destro del mouse» "open link in a new window") e verifica che il browser visualizzi il lucchetto chiuso.
Sito sicuro xxx SSL Strip (4)
SSL Strip (5) Sito via SSL Strip (non sicuro) xxx