Postfinance Sicherheitsfrühstück 27.3.2013 Unterwegs sicher vernetzt Bedrohungen Herausforderungen Schutzmöglichkeiten für mobiles E-Banking
Cnlab AG Engineering-Firma, Sitz Rapperswil (SG) Schwerpunkte IT-Sicherheit Netzwerk-Performance Software-Entwicklung www.cnlab.ch 27.3.2013 2
TA online vom 1.3. 2013 27.3.2013 3
Verkauf Smart Phones weltweit (Quelle http://de.statista.com/) 27.3.2013 4
Woher kommen die neuen Bedrohungen Quelle: The Open Web Application Security Project https://www.owasp.org/index.php/file:topten.png 27.3.2013 5
Und weitere mobile-spezifische Bedrohungen Unberechtigter Zugang zu Geräten 27.3.2013 6
Und weitere mobile-spezifische Bedrohungen (2) Geräte ohne PIN: - Rooting bzw. JaliBreaking in einigen Minuten iphone bis Vsn 4, ipad1 mit PIN - Zusätzlich einige Minuten zur Bestimmung des PIN Daten im Gerät Neuere ios-geräte mit PIN - Aufwand für PIN-Bestimmung unbekannt Android-Geräte mit PIN - Aufwand für PIN-Bestimmung unbekannt 27.3.2013 7
Und weitere mobile-spezifische Bedrohungen (3) Big Brother schaut über die Schulter 27.3.2013 8
Und weitere mobile-spezifische Bedrohungen (4) Ein Beispiel sehen Sie im Anschluss. Zugang über unsichere WLANs Die ideale Voraussetzung für Man-in-the-middle-Angriffe 27.3.2013 9
Wie steht s mit Viren und Trojanern? ios Ein bekanntes Virus für Jailbreaked Geräte Android Diverse Malware meist über unsichere Stores Prognose: zunehmend. 27.3.2013 10
Technik im mobilen Gerät 27.3.2013 11
Transaktion Login + Lesezugang Streichliste / Matrixkarte mtan (SMS) Challenge-Response Token PhotoTAN / Flicker Dynamisches Passwort Zertifikat (auf Smartcard) + gehärteter Browser Zertifikat (auf Smartcard) + C/R Token Zertifikat (auf Smartcard) + C/R Token + gehärteter Browser Was können die bekannten Produkte Diebstahl Credentials Phishing passiv Man-in-the-middle Trojaner Session hijack Session riding Man-in-the-middle Trojaner Wenn Mit Swisscom das SMS Mobile auf ID dasselbe Telefon kommt 27.3.2013 12
Transaktion Login + Lesezugang Streichliste / Matrixkarte mtan (SMS) Challenge-Response Token PhotoTAN / Flicker Dynamisches Passwort Zertifikat (auf Smartcard) + gehärteter Browser Zertifikat (auf Smartcard) + C/R Token Zertifikat (auf Smartcard) + C/R Token + gehärteter Browser Was können Systeme der PF Diebstahl Credentials Phishing passiv Man-in-the-middle Trojaner Session hijack Session riding Man-in-the-middle Trojaner 27.3.2013 13
Sicherheits- Anforderungen Use Cases im ebanking Man stellt sich heute die Frage, ob sich eine teure Sicherheitslösung lohnt für die seltenen Extremfälle. 1. Reduzierte Funktionalität auf dem Smart-Phone a. Read-Only-Zugang einige Buchungen, b. Ditto alle Buchungen c. Zahlungen erfassen (nicht auslösen) d. Konto-Überträge e. Börsentransaktionen, Konto-Überträge f. Zahlungsvorlagen und Yellowbill/EBPP g. White-Listing-Zahlungen h. Zahlung auf Fremdkonten mit Limiten (Prepaid) 2. Volles ebanking Wo ist die Passwort- Grenze? 3. Smart-Phone als Zusatzgerät zum PC-basierten Banking Photo-Scan von ES 27.3.2013 14
2. Stufe 1. Stufe Die neue Idee: Nur einfaches Login, dafür Transaktionssignatur Bankkunde Bank Authentisierung des Kunden z.b. durch Login Kontoübersicht + plausible Transaktionen Login Kontodaten plausible Transaktionen Zusätzliche Autorisierung z.b. durch Code per SMS Transaktion alle Transaktionen + wichtige Änderungen Transaktionsautorisierung Mögliche Probleme: - Schutz der Vertraulichkeit - Verwendung der Konto-Infos zur Benutzer- Identifikation 27.3.2013 15
Zusammenfassung Behörden und Organisationen für Rettung und Sicherheit Buy your own device - Mobilität ist ein Fakt und nimmt weiter zu (Smart-Phone, Tablet, BYOD, Banken, Industrie, BORS). - Moderne mobile Geräte sind weniger sicher als traditionelle Notebooks (Integration ist schwieriger, Zugriff ist leichter, Plattformen haben Mängel). - Smart-Phone- und Tablet-eBanking ist weniger sicher als PC-basiertes ebanking (Token fehlen noch). - ebanking wird vermehrt zweistufig gebaut (im Mobile-Bereich notgedrungen, im traditionellen Bereich aus Kostengründen). - Mobilgeräte als Zusatzgerät erhöhen die Sicherheit der traditionellen Kanäle (Informationskanal) und den Komfort (Scanner). 27.3.2013 16
Danke Präsentation im Internet unter: http://www.cnlab.ch/en/company/publications.html Paul Schöbi paul.schoebi@cnlab.ch +41 55 214 33 33 27.3.2013