I nuovi servizibancarie di pagamento in mobilità e ...
Transcript of I nuovi servizibancarie di pagamento in mobilità e ...
Copyright ©IKSsrl
Inuovi servizi bancari edipagamento inmobilità ei relativi scenari dirischio
GuidoRonchettiProductManager:soluzioneMORE®
24/05/16 |2 Copyright© IKSsrl
IKS:CentrodiCompetenza XTN-labs
IlCentrodiCompetenzaXTN-labs (GruppoIKS)èfocalizzatonellosviluppodisistemidiAntifrodeinambitofinanziarioesicurezzainambitoMobile,fornendoanchetuttiiserviziasupporto.
Inparticolare:• SviluppoesupportodellesoluzioniMORE®eSMASH®;• AttivitàdiIntelligenceinambitoCyberSecurity;• Attivitàdiassessment disicurezzasuapplicazionimobileelegacy;• Expertisesusistemidipredictive analysis edanalisicomportamentale.
24/05/16 |3 Copyright© IKSsrl
Abstract
L'intervento descriverà comeil mondo delmobilepaymentebankingstia evolvendo equali potenziali problematiche di
sicurezza sta mettendo inluce.
24/05/16 |4 Copyright© IKSsrl
Agenda
§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza§ Conclusioni§ Domande
24/05/16 |6 Copyright© IKSsrl
Trendtecnologicoitaliano(ambitobancario)
Fonte:prof.FabrizioCresti,Università Cattolica
24/05/16 |7 Copyright© IKSsrl
Agenda
§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza§ Conclusioni§ Domande
24/05/16 |8 Copyright© IKSsrl
Nuoviserviziemodelli
Sisono affermati nuovi servizi emodelli inambiti tradizionali:• Nuove banche;• Sistemi dipagamento;• Trasferimento didenaro P2P;• Trading.
Tutte queste hanno incomune l’utilizzo dimobileapp…
24/05/16 |9 Copyright© IKSsrl
Nuovebancheesempio:Number26
Genesi:• Fondata nel 2013• Oggi 100dipendenti c.a• Presente in8paesi conc.a.100.000utenti
Servizi:• Conto corrente (solopersingoli)• CartadiCredito pre-pagata• P2P(viaemailoSMS)
Addon:• Accessoviaappmobileowebapp(laprimahafunzionalità aggiuntive)• Trackingecategorizzazione delle operazione dipagamento intemporeale (vianotifiche dipush)• Incentivo adinvitare nuovi utenti di10€
Needdisicurezza:• Identificazione iniziale degli utenti• Protezione delle transazioni• Nondegradare lauserexperience degli utenti mantenendo unadeguato livello diprotezione• Notifiche dipushpermantenere l’utente informato dell’operatività
24/05/16 |10 Copyright© IKSsrl
Nuovebancheesempio:Number26
Signupdiunnuovo utente:
Identificazione dell’utente gestita tramite verifica delpassaporto
24/05/16 |11 Copyright© IKSsrl
Sistemidipagamentoesempio:SumUp
Genesi:• Fondata nel 2012• 100dipendenti c.a
Servizi:• Pagamenti mPOS (certificazione Europay,MasterCard,Visa(EMV)ePCI-DSS)
Businessmodel:• Percentuale atransazione del2.75%• Nessun canone per il dispositivo POS(acquisto a79€)• Payout in 1-2gg
Need disicurezza:• Garantire lasicurezza delle transazioni einformazioni sulle cc• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato livello diprotezione• Gestire laprivacy degli acquirenti• Garantire lasicurezza dei merchants
24/05/16 |13 Copyright© IKSsrl
Trasferimentodidenaroesempio:TransferWire
Overview:• Fondata nel 2011• 500dipendenti c.a• Supporta c.a.300valute movimentando c.a.650milioni dieuroalmese
Servizi:• Trasferimento didenaro tra paesi convalute differenti
Businessmodel:• P2Psenzaeffettivocambiodivaluta• Commissione
Need disicurezza:• AssicurarelasicurezzadelletransazioniP2P• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato livello diprotezione• Proteggereleinformazionilegatealcontod’appoggiooccdell’utente
24/05/16 |15 Copyright© IKSsrl
Tradingesempio:eToro
Overview:• Fondata nel 2006;• 150dipendenti c.a;• Oltre 4.5Mdiutenti.
Servizi:• Socialtrading(valuta,azionario,commodities,indici ebitcoin).
Peculiarità:• Lapossibilità divedere leoperazioni degli altri utenti edecidere di“copiare”unaltro
investitore nel network.
Needdisicurezza• Proteggere gli ordini degli utenti (elaloro puntualità)• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato livello diprotezione• Gestire leinformazioni suiconti diappoggio eccdegli utenti
24/05/16 |16 Copyright© IKSsrl
Elementicomuni
• Nuovimodelli dibusinessediffusione virale (socialeP2P)
• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato
livello diprotezione
• Mostrarsi sicuri (il danno d’immagine dovuto adunincidente disicurezza
può essere fatale)
• Interazione congli utenti daremoto (nessun contattodiretto)
24/05/16 |17 Copyright© IKSsrl
Agenda
§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza§ Conclusioni§ Domande
24/05/16 |18 Copyright© IKSsrl
Mobilesecurityoggi:quali minacce
• Furtodiinformazionisensibili(CC,credenzialibancarie,privacy);
• Dannodiimmagineperilservizio;
• Ransomware(soloAndroid);
• TrojanizedAd-ware;
• DDoS:distribuitiversoclientdiservizispecifici;
• …
24/05/16 |20 Copyright© IKSsrl
Trenddelle minacce
Sitratta diuntrend inrapida espansione il cuitargetprincipalesono leapplicazioni consumerfacing
http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/the-mobile-landscape-roundup-1h-2014
24/05/16 |21 Copyright© IKSsrl
Trenddelle minacce
“Using mobile malware is cheaper and safer than using banking trojans forthose who target personal bank accounts.” (post legato al leak del codice diGM Bot https://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/ )
24/05/16 |22 Copyright© IKSsrl
Unesempio reale
Android.SmsSpy.88.origin:
• Bankingtrojan scoperto all’inizio del2014;
• Inizialmente pensato perintercettare SMSed effettuare chiamate si è
evolutomoltonegli anni;
• Venduto sul blackmarketcomeunprodottocompresa lasua consoledi
gestione (alcosto dipochimigliaia dieuro);
• Oggi è stato specializzatosu più di100istituti bancari;
• Presenta anche funzionalità ransomware.
24/05/16 |23 Copyright© IKSsrl
Unesempio reale:diffusione
Dati 2016:2%inItalia(su più di50botnetdimobiledeviceindividuate)
24/05/16 |26 Copyright© IKSsrl
Mobilesecurityoggi:il nostro punto divista
ReportmobilesecurityQ32015(iOSeAndroid):
• Campionediapplicazioniitalianeedinternazionali:§ MobileBanking§ Automotive§ Homeautomation§ MobilePayment§ Socialnetworking§ Entertainment§ Enterprisemanagement(MDM,MAM)
• Criteridianalisi:§ Sicurezzarun-time§ Networkcommunicationsecurity§ Persistenzacacheindesideratesufile-system§ Intellegibilitàdellelogicheimplementative§ Informazionisensibilinelpacchettodell’eseguibile
24/05/16 |27 Copyright© IKSsrl
Mobilesecurityoggi:il nostro punto divista
pagina 8 | © IKS
Sicurezza run-time
Resistenza ad attacco dall’interno del sistema operativoNell’analisi la maggior parte delle app non ha mostrato di implementare contromisure all’abuso e/o analisi run-time. In un device compromesso, utilizzando un kit di jailbreak o rooting, è possibile accedere al sistema come utente root e utilizzare strumenti software utili ad analizzare e modificare il comportamento dell’app durante l’esecuzione.
Il livello di attenzione all’aspetto della sicurezza runtime è mediamente molto basso. Rispetto al 2014 questo dato rimane pressochè invariato, constatando che il tema della compromissione che è gestito, completamente o parzialmente, da poco più di un quarto del campione considerato.
In generale si evidenzia tuttavia che le verifiche fatte per determinare la presenza di jailbreak o rooting e le contromisure adottate sono spesso rudimentali e facilmente aggirabili.
Non si sono notate differenze sostanziali tra lo scenario nazionale ed estero.
E’ consigliabile utilizzare strumenti di analisi di risk scoring, capaci di identificare lo stato del device e produrre un fattore di rischio proporzionato alla minaccia per l’app in esecuzione.
Utilizzare strumenti d’analisi può permettere di fronteggiare e individuare potenziali minacce all’ambiente d’esecuzione dell’applicazione.
Sicurezza run-time: Networkcommunication security:
pagina 10 | © IKS
Network communication Security
Robustezza delle comunicazioni verso il back-endAnche in questo caso, si può evidenziare come un aspetto importante come quello delle comunicazioni non sia sufficientemente curato. La sicurezza delle due piattaforme è molto simile, notando però che ora un 40% circa gestisce in maniera corretta questo aspetto, evitando di utilizzare connettività senza cifratura e validando i certificati nella maniera corretta.
Va evidenziato come, ancora oggi, sia molto raro imbattersi in applicazioni che effettuano dei controlli approfonditi dei certificati utilizzati durante l’inizializzazione della sessione SSL/TLS. Nel nostro caso, solo un paio di applicazioni effettuavano questo controllo, mentre una manciata di altre applicazioni non utilizzava connettività standard, appoggiandosi comunque ad SSL/TLS per garantire l’integrità, la confidenzialità e l’autenticità dei dati in transito.
Implementare correttamente le classi e metodi utilizzati per gestire la connettività verso la componente server, configurando contestualmente i progetti di sviluppo, sono le best practice per evitare di generare vulnerabilità di questo tipo. Il massimo livello di sicurezza può essere ottenuto verificando nel dettaglio il certificato SSL esposto dal backend.
Network communication Security
Intellegibilitàdellalogicaimplementativa:
pagina 9 | © IKS
Elementi architetturali che possano generare vulnerabilità specificheL’analisi della resistenza delle applicazioni a pratiche di reverse engineering, ha evidenziato come gli svilupatori Android siano tendenzialmente più attenti alla problematica. Sul fronte iOS, rispetto al 2014, dove nessuna applicazione iOS gestiva questo aspetto, si può notare come nell’analisi attuale il 30% delle applicazioni mitighi almeno parzialmente questa criticità. Questo cambio di tendenza potrebbe essere parzialmente dovuto alla scelta di espandere sensibilmente il numero e le tipologie di applicazioni analizzate.
Fatto salvo due eccezioni rilevate su Android, nessuna delle applicazioni considerate gestisce in maniera completa il rischio.
Anche in questo caso il panorama italiano non si discosta da quello estero.
Per garantire maggiore resistenza al reverse engineering è consigliabile impiegare linguaggi di programmazione di basso livello e tecniche di offuscamento della logica e delle costanti presenti nell’eseguibile.
Intellegibilità della logica implementativa
Persistenzacacheindesiderate sufile-system:
pagina 11 | © IKS
Presenza di cache e file sensibili su disco dopo l’esecuzione dell’appSu questo tema si riscontra più sensibilità su iOS che su Android, questo da un lato è dovuto alla disparità di meccanismi di cache automatica dei sistemi operativi (iOS memorizza di default più cache di Android). Va evidenziato come, per la piattaforma Android, il dato sia molto più similare a quella iOS, rispetto a quanto non avvenisse nel 2014.
Per evitare la presenza di file e cache non desiderata sul device è necessario applicare regole specifiche in funzione dell’oggetto coinvolto.
Persistenza File-System
24/05/16 |28 Copyright© IKSsrl
Agenda
§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza§ Conclusioni§ Domande
24/05/16 |29 Copyright© IKSsrl
MobileeconomyvsSecurity
Businessneedsdei nuovi servizi emodelli mobileoriented:• Userexperience;• Reputazione (daregaranzie di
sicurezza all’utente finaleevitandoincidenti);
• Timetomarketrapido nelleevoluzioni;
• Automazione dei processi;• Attitudine social.
Approccio disicurezza tradizionale:• Richiesta dipassword,2fauth,…• Assessmentdisicurezzaannuali• Identificazione infiliale,einvio
dellequantitàdisicurezzaviaposta• Procedurespeculari sucanali
diversi
Dalpunto divistadella sicurezza visono molteplici sfide daaffrontare perpermettere l’evoluzione delbusinesssenzaabbassare il livello disicurezza:sono
necessari nuovi paradigmi
24/05/16 |30 Copyright© IKSsrl
Mobilesecurityoggi:problematiche
• Sitentaspessodiadeguaretecnichelegatealweballepiattaformemobili;
• C’èunapprocciospessoDIY (Do-It-Yourself)pergestireproblematiche
complesse;
• Ciclidirilasciorapidiportanoanonpermettereassessmentcompletidelle
applicazioniadogniaggiornamento;
• LaspintaallasemplificazionedellaUXportaadovertrovarecompromessi
sullasicurezza;
• Cattivepratichedisvilupposicuro:realtàpocoformatesulletematiche
specifichedellamobilesecurity;
• Assenzadistrumenticompletiasupportodelleverifichepost-sviluppo
24/05/16 |31 Copyright© IKSsrl
Mobilesecurityoggi:larisposta dei vendor
Contesti d’impiego delle soluzionidisponibili:
• Enterprise: dispositivi aziendali utilizzati per accesso a risorse e
servizi interni
• BYOD: dispositivi personali che hanno anche accesso a dati
aziendali (più o meno isolati)
• Consumer: proteggere i servizi offerti dall’azienda verso gli
utenti finali (consumer)
Sitrattadimondiseparati?
24/05/16 |32 Copyright© IKSsrl
Mobilesecurityoggi:larisposta dei vendor
Leproblematichesonocomunimanonlesoluzioni:
• Sonodisponibilimoltesoluzionidiverse,spessoorientatealsoloambito
internoEnterprise
• E’necessario definire una stategia calata sulle proprie esigenze
valutando l’uso distrumenti diversi.
24/05/16 |33 Copyright© IKSsrl
Gli approcci allamobilesecurity:
Mobilesecurityoggi:larisposta dei vendor
24/05/16 |34 Copyright© IKSsrl
MORE®il nostro approccio
Identificazione tramite Passive Biometrics• MORE® genera una firma biometrica dell’utente basata sui fattori cineticid’interazione con il dispositivo
Runtime environment check• MORE® opera in real-time valutando lo stato di sicurezza del dispositivo durantel’utilizzo dell’app
Device fingerprinting• MORE® associa l’utente con i suoi dispositivi, valutandone le abitudini d’uso, ecreando un fingerprint dei dispositivi
24/05/16 |36 Copyright© IKSsrl
Agenda
§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza
§ Conclusioni§ Domande
24/05/16 |37 Copyright© IKSsrl
Riassumendo
L’ambito bancario epaymentsta subendo una trasformazione:• Orientamento allamobilità;• UXsemplice eintuitiva;• Automazionedei processi d’interazione conl’utente;• Continuaerapida risposta alle esigenze dei clienti (tramite rilasci rapidi e
qualitativamente validi delle app);• Sfida globale nel offrire servizi abassocosto ed efficienti;
Questo implica nuove sfide perlagestione della sicurezza:• Specificità perl’ambitomobile;• Necessità dinonessere invasivi rispettoall’usodell’applicazione• Continuavalutazione delleminaccie;• Gestione strutturata deltema sfruttandostrumentimantenuti eaffidabili .
24/05/16 |38 Copyright© IKSsrl
Strategia
Cosa fare:• Concentrarsi su app-levelsecurity,minimizzando il lockdowndeldispositivo;• Esternalizzare i controlli disicurezza separandoli dallabusinesslogic
dell’applicazione;• Mantenere lestrategie diprotezioneB2BeB2Cseparate(nonè sempre
possibile risolvere problemi caratteristici diciascun contesto inmodouguale)
• Proteggere leapplicazionimobileconl’obiettivodifavorire lausabilitàsenza rinunciare adunlivello disicurezza adeguato (nedipende il successodell’app).
Cosa nonfare:• Bloccarsi instrategie alungo termine:lacontinuaevoluzione richiede agilità;• Ingaggiare approcci disicurezza che cerchino diimitare lasicurezza suwebo
PC;
24/05/16 |39 Copyright© IKSsrl
Agenda
§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza§ Conclusioni§ Domande