I nuovi servizibancarie di pagamento in mobilità e ...

[email protected]

Copyright ©IKSsrl

Inuovi servizi bancari edipagamento inmobilità ei relativi scenari dirischio

GuidoRonchettiProductManager:soluzioneMORE®

[email protected]

24/05/16 |2 Copyright© IKSsrl

IKS:CentrodiCompetenza XTN-labs

IlCentrodiCompetenzaXTN-labs (GruppoIKS)èfocalizzatonellosviluppodisistemidiAntifrodeinambitofinanziarioesicurezzainambitoMobile,fornendoanchetuttiiserviziasupporto.

Inparticolare:• SviluppoesupportodellesoluzioniMORE®eSMASH®;• AttivitàdiIntelligenceinambitoCyberSecurity;• Attivitàdiassessment disicurezzasuapplicazionimobileelegacy;• Expertisesusistemidipredictive analysis edanalisicomportamentale.


Abstract

L'intervento descriverà comeil mondo delmobilepaymentebankingstia evolvendo equali potenziali problematiche di

sicurezza sta mettendo inluce.


Agenda

§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza§ Conclusioni§ Domande


Trendtecnologicoglobale

Fonte:Flurry(Yahoo Inc.)


Trendtecnologicoitaliano(ambitobancario)

Fonte:prof.FabrizioCresti,Università Cattolica


Agenda



Nuoviserviziemodelli

Sisono affermati nuovi servizi emodelli inambiti tradizionali:• Nuove banche;• Sistemi dipagamento;• Trasferimento didenaro P2P;• Trading.

Tutte queste hanno incomune l’utilizzo dimobileapp…


Nuovebancheesempio:Number26

Genesi:• Fondata nel 2013• Oggi 100dipendenti c.a• Presente in8paesi conc.a.100.000utenti

Servizi:• Conto corrente (solopersingoli)• CartadiCredito pre-pagata• P2P(viaemailoSMS)

Addon:• Accessoviaappmobileowebapp(laprimahafunzionalità aggiuntive)• Trackingecategorizzazione delle operazione dipagamento intemporeale (vianotifiche dipush)• Incentivo adinvitare nuovi utenti di10€

Needdisicurezza:• Identificazione iniziale degli utenti• Protezione delle transazioni• Nondegradare lauserexperience degli utenti mantenendo unadeguato livello diprotezione• Notifiche dipushpermantenere l’utente informato dell’operatività


Nuovebancheesempio:Number26

Signupdiunnuovo utente:

Identificazione dell’utente gestita tramite verifica delpassaporto


Sistemidipagamentoesempio:SumUp

Genesi:• Fondata nel 2012• 100dipendenti c.a

Servizi:• Pagamenti mPOS (certificazione Europay,MasterCard,Visa(EMV)ePCI-DSS)

Businessmodel:• Percentuale atransazione del2.75%• Nessun canone per il dispositivo POS(acquisto a79€)• Payout in 1-2gg

Need disicurezza:• Garantire lasicurezza delle transazioni einformazioni sulle cc• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato livello diprotezione• Gestire laprivacy degli acquirenti• Garantire lasicurezza dei merchants


Sistemidipagamentoesempio:SumUp


Trasferimentodidenaroesempio:TransferWire

Overview:• Fondata nel 2011• 500dipendenti c.a• Supporta c.a.300valute movimentando c.a.650milioni dieuroalmese

Servizi:• Trasferimento didenaro tra paesi convalute differenti

Businessmodel:• P2Psenzaeffettivocambiodivaluta• Commissione

Need disicurezza:• AssicurarelasicurezzadelletransazioniP2P• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato livello diprotezione• Proteggereleinformazionilegatealcontod’appoggiooccdell’utente


Trasferimentodidenaroesempio:TransferWire


Tradingesempio:eToro

Overview:• Fondata nel 2006;• 150dipendenti c.a;• Oltre 4.5Mdiutenti.

Servizi:• Socialtrading(valuta,azionario,commodities,indici ebitcoin).

Peculiarità:• Lapossibilità divedere leoperazioni degli altri utenti edecidere di“copiare”unaltro

investitore nel network.

Needdisicurezza• Proteggere gli ordini degli utenti (elaloro puntualità)• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato livello diprotezione• Gestire leinformazioni suiconti diappoggio eccdegli utenti


Elementicomuni

• Nuovimodelli dibusinessediffusione virale (socialeP2P)

• Nondegradare lauserexperiencedegli utenti mantenendo unadeguato

livello diprotezione

• Mostrarsi sicuri (il danno d’immagine dovuto adunincidente disicurezza

può essere fatale)

• Interazione congli utenti daremoto (nessun contattodiretto)


Agenda



Mobilesecurityoggi:quali minacce

• Furtodiinformazionisensibili(CC,credenzialibancarie,privacy);

• Dannodiimmagineperilservizio;

• Ransomware(soloAndroid);

• TrojanizedAd-ware;

• DDoS:distribuitiversoclientdiservizispecifici;

• …


Trenddelle minacce


Trenddelle minacce

Sitratta diuntrend inrapida espansione il cuitargetprincipalesono leapplicazioni consumerfacing

http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/the-mobile-landscape-roundup-1h-2014


Trenddelle minacce

“Using mobile malware is cheaper and safer than using banking trojans forthose who target personal bank accounts.” (post legato al leak del codice diGM Bot https://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/ )


Unesempio reale

Android.SmsSpy.88.origin:

• Bankingtrojan scoperto all’inizio del2014;

• Inizialmente pensato perintercettare SMSed effettuare chiamate si è

evolutomoltonegli anni;

• Venduto sul blackmarketcomeunprodottocompresa lasua consoledi

gestione (alcosto dipochimigliaia dieuro);

• Oggi è stato specializzatosu più di100istituti bancari;

• Presenta anche funzionalità ransomware.


Unesempio reale:diffusione

Dati 2016:2%inItalia(su più di50botnetdimobiledeviceindividuate)


Unesempio reale:installazione


Mobilesecurityoggi:il nostro punto divista

ReportmobilesecurityQ32015(iOSeAndroid):

• Campionediapplicazioniitalianeedinternazionali:§ MobileBanking§ Automotive§ Homeautomation§ MobilePayment§ Socialnetworking§ Entertainment§ Enterprisemanagement(MDM,MAM)

• Criteridianalisi:§ Sicurezzarun-time§ Networkcommunicationsecurity§ Persistenzacacheindesideratesufile-system§ Intellegibilitàdellelogicheimplementative§ Informazionisensibilinelpacchettodell’eseguibile


Mobilesecurityoggi:il nostro punto divista

pagina 8 | © IKS

Sicurezza run-time

Resistenza ad attacco dall’interno del sistema operativoNell’analisi la maggior parte delle app non ha mostrato di implementare contromisure all’abuso e/o analisi run-time. In un device compromesso, utilizzando un kit di jailbreak o rooting, è possibile accedere al sistema come utente root e utilizzare strumenti software utili ad analizzare e modificare il comportamento dell’app durante l’esecuzione.

Il livello di attenzione all’aspetto della sicurezza runtime è mediamente molto basso. Rispetto al 2014 questo dato rimane pressochè invariato, constatando che il tema della compromissione che è gestito, completamente o parzialmente, da poco più di un quarto del campione considerato.

In generale si evidenzia tuttavia che le verifiche fatte per determinare la presenza di jailbreak o rooting e le contromisure adottate sono spesso rudimentali e facilmente aggirabili.

Non si sono notate differenze sostanziali tra lo scenario nazionale ed estero.

E’ consigliabile utilizzare strumenti di analisi di risk scoring, capaci di identificare lo stato del device e produrre un fattore di rischio proporzionato alla minaccia per l’app in esecuzione.

Utilizzare strumenti d’analisi può permettere di fronteggiare e individuare potenziali minacce all’ambiente d’esecuzione dell’applicazione.

Sicurezza run-time: Networkcommunication security:

pagina 10 | © IKS

Network communication Security

Robustezza delle comunicazioni verso il back-endAnche in questo caso, si può evidenziare come un aspetto importante come quello delle comunicazioni non sia sufficientemente curato. La sicurezza delle due piattaforme è molto simile, notando però che ora un 40% circa gestisce in maniera corretta questo aspetto, evitando di utilizzare connettività senza cifratura e validando i certificati nella maniera corretta.

Va evidenziato come, ancora oggi, sia molto raro imbattersi in applicazioni che effettuano dei controlli approfonditi dei certificati utilizzati durante l’inizializzazione della sessione SSL/TLS. Nel nostro caso, solo un paio di applicazioni effettuavano questo controllo, mentre una manciata di altre applicazioni non utilizzava connettività standard, appoggiandosi comunque ad SSL/TLS per garantire l’integrità, la confidenzialità e l’autenticità dei dati in transito.

Implementare correttamente le classi e metodi utilizzati per gestire la connettività verso la componente server, configurando contestualmente i progetti di sviluppo, sono le best practice per evitare di generare vulnerabilità di questo tipo. Il massimo livello di sicurezza può essere ottenuto verificando nel dettaglio il certificato SSL esposto dal backend.

Network communication Security

Intellegibilitàdellalogicaimplementativa:

pagina 9 | © IKS

Elementi architetturali che possano generare vulnerabilità specificheL’analisi della resistenza delle applicazioni a pratiche di reverse engineering, ha evidenziato come gli svilupatori Android siano tendenzialmente più attenti alla problematica. Sul fronte iOS, rispetto al 2014, dove nessuna applicazione iOS gestiva questo aspetto, si può notare come nell’analisi attuale il 30% delle applicazioni mitighi almeno parzialmente questa criticità. Questo cambio di tendenza potrebbe essere parzialmente dovuto alla scelta di espandere sensibilmente il numero e le tipologie di applicazioni analizzate.

Fatto salvo due eccezioni rilevate su Android, nessuna delle applicazioni considerate gestisce in maniera completa il rischio.

Anche in questo caso il panorama italiano non si discosta da quello estero.

Per garantire maggiore resistenza al reverse engineering è consigliabile impiegare linguaggi di programmazione di basso livello e tecniche di offuscamento della logica e delle costanti presenti nell’eseguibile.

Intellegibilità della logica implementativa

Persistenzacacheindesiderate sufile-system:

pagina 11 | © IKS

Presenza di cache e file sensibili su disco dopo l’esecuzione dell’appSu questo tema si riscontra più sensibilità su iOS che su Android, questo da un lato è dovuto alla disparità di meccanismi di cache automatica dei sistemi operativi (iOS memorizza di default più cache di Android). Va evidenziato come, per la piattaforma Android, il dato sia molto più similare a quella iOS, rispetto a quanto non avvenisse nel 2014.

Per evitare la presenza di file e cache non desiderata sul device è necessario applicare regole specifiche in funzione dell’oggetto coinvolto.

Persistenza File-System


Agenda



MobileeconomyvsSecurity

Businessneedsdei nuovi servizi emodelli mobileoriented:• Userexperience;• Reputazione (daregaranzie di

sicurezza all’utente finaleevitandoincidenti);

• Timetomarketrapido nelleevoluzioni;

• Automazione dei processi;• Attitudine social.

Approccio disicurezza tradizionale:• Richiesta dipassword,2fauth,…• Assessmentdisicurezzaannuali• Identificazione infiliale,einvio

dellequantitàdisicurezzaviaposta• Procedurespeculari sucanali

diversi

Dalpunto divistadella sicurezza visono molteplici sfide daaffrontare perpermettere l’evoluzione delbusinesssenzaabbassare il livello disicurezza:sono

necessari nuovi paradigmi


Mobilesecurityoggi:problematiche

• Sitentaspessodiadeguaretecnichelegatealweballepiattaformemobili;

• C’èunapprocciospessoDIY (Do-It-Yourself)pergestireproblematiche

complesse;

• Ciclidirilasciorapidiportanoanonpermettereassessmentcompletidelle

applicazioniadogniaggiornamento;

• LaspintaallasemplificazionedellaUXportaadovertrovarecompromessi

sullasicurezza;

• Cattivepratichedisvilupposicuro:realtàpocoformatesulletematiche

specifichedellamobilesecurity;

• Assenzadistrumenticompletiasupportodelleverifichepost-sviluppo


Mobilesecurityoggi:larisposta dei vendor

Contesti d’impiego delle soluzionidisponibili:

• Enterprise: dispositivi aziendali utilizzati per accesso a risorse e

servizi interni

• BYOD: dispositivi personali che hanno anche accesso a dati

aziendali (più o meno isolati)

• Consumer: proteggere i servizi offerti dall’azienda verso gli

utenti finali (consumer)

Sitrattadimondiseparati?



Leproblematichesonocomunimanonlesoluzioni:

• Sonodisponibilimoltesoluzionidiverse,spessoorientatealsoloambito

internoEnterprise

• E’necessario definire una stategia calata sulle proprie esigenze

valutando l’uso distrumenti diversi.


Gli approcci allamobilesecurity:



MORE®il nostro approccio

Identificazione tramite Passive Biometrics• MORE® genera una firma biometrica dell’utente basata sui fattori cineticid’interazione con il dispositivo

Runtime environment check• MORE® opera in real-time valutando lo stato di sicurezza del dispositivo durantel’utilizzo dell’app

Device fingerprinting• MORE® associa l’utente con i suoi dispositivi, valutandone le abitudini d’uso, ecreando un fingerprint dei dispositivi


UseCase– Login


Agenda

§ Numeridelmobileoggi§ Nuoviservizibancari,payment efinanziari§ Sicurezzamobileoggi§ Sfideperlasicurezza

§ Conclusioni§ Domande


Riassumendo

L’ambito bancario epaymentsta subendo una trasformazione:• Orientamento allamobilità;• UXsemplice eintuitiva;• Automazionedei processi d’interazione conl’utente;• Continuaerapida risposta alle esigenze dei clienti (tramite rilasci rapidi e

qualitativamente validi delle app);• Sfida globale nel offrire servizi abassocosto ed efficienti;

Questo implica nuove sfide perlagestione della sicurezza:• Specificità perl’ambitomobile;• Necessità dinonessere invasivi rispettoall’usodell’applicazione• Continuavalutazione delleminaccie;• Gestione strutturata deltema sfruttandostrumentimantenuti eaffidabili .


Strategia

Cosa fare:• Concentrarsi su app-levelsecurity,minimizzando il lockdowndeldispositivo;• Esternalizzare i controlli disicurezza separandoli dallabusinesslogic

dell’applicazione;• Mantenere lestrategie diprotezioneB2BeB2Cseparate(nonè sempre

possibile risolvere problemi caratteristici diciascun contesto inmodouguale)

• Proteggere leapplicazionimobileconl’obiettivodifavorire lausabilitàsenza rinunciare adunlivello disicurezza adeguato (nedipende il successodell’app).

Cosa nonfare:• Bloccarsi instrategie alungo termine:lacontinuaevoluzione richiede agilità;• Ingaggiare approcci disicurezza che cerchino diimitare lasicurezza suwebo

PC;


Agenda



Domande

appassionati all’eccellenza

[email protected]

049.870.10.10

I nuovi servizibancarie di pagamento in mobilità e ...

Documents

Transcript of I nuovi servizibancarie di pagamento in mobilità e ...