Smartphone e banking

Smartphone e banking
Claudio Santacesaria
[email protected]
Telecom: sicurezza
 Operatori di telefonia
molto focalizzati sulla
sicurezza
 Hanno perseguito (e
raggiunto) la sicurezza
intrinseca tramite:
• SIM
• crittografia
 Smartphone sono lo
strumento ideale per
operazioni bancarie?
 Forse, ma il focus degli
operatori era rendere
sicuro il billing
Steve Wozniak, 1972
$icurezza: approccio pratico
Probabilistico
Da: Azienda Banca, Marco Morana, Quanto costa la ICT Security, Settembre 2011
Cellulare: 3 usi “banking”
 Cellulare come strumento di autenticazione
secondaria
 Mobile Internet Banking: Tablet e smartphone per
accedere al sito della banca (via app dedicata o
browser)
 Mobile payment: Smartphone come strumento di
pagamento
Autenticazione (1)
 Autenticazione secondaria basata sul possesso
della SIM card
 Applicazione 1 (passiva): SMS di conferma
operazione
 Applicazione 2 (OTP): SMS con One Time Pin
 Applicazione 3 (attiva): L’utente deve inviare un
SMS o chiamata per attivare un
servizio/pagamento
 Evoluzioni?: esempio Geolocalizzazione
 Diversi livelli di “impegno” dell’utente
Autenticazione (2)
 Efficace perchè “secondaria”
 Ci sono stati esempi di attacco
• onerosi per cybercriminali (ottenimento SIM
card secondaria)
• limitati ad alcuni scenari (uso di servizi SMS
internazionali che consentono di forgiare il
campo “from”)
 Il quadro può cambiare completamente nel
mondo “smart”
• attacco con malware su larga scala di più
terminali dell’utente per molti utenti
Autenticazione (3)
Da qui vado sul sito della banca
Questo è il mio token
di autenticazione
Il servizio di sincronizzazione delle app ha sincronizzato il malware
Mobile internet Banking
 Stesse problematiche dell’internet banking
 Aggravate da:
• schermi piccoli
• password inserite “in pubblico”
• utenti distratti (accesso in mobilità) e più
inclini a cliccare OK
 Forte dipendenza delle problematiche di sicurezza
da:
• fattore utente
• fattore sistema operativo
Mobile Banking: a Must
“Investendo in piattaforme all’avanguardia e
riducendo le commissioni per l’utilizzo del trading on
line su smartphone, le revenues annue per la banca
potrebbero di 100 milioni solo sulle commissioni di
trading”
G.C., Dal mobile banking allo smartphone banking, AziendaBanca,
Marzo 2012
Trading
300
250
200
150
100
50
0
Revenues (mln)
Mobile
payments
Mobile
commerce
PFM
Mobile “Security Feeling”
“A completare un quadro positivo anche il lato
sicurezza. “Stiamo ancora concludendo l’analisi
effettuata da ABI Lab, ma dagli elementi emersi
finora non vediamo elementi di preoccupazione e
non sembrano presenti grandi minacce. Questo
non vuol dire che il settore non continui a
mantenere un’attenzione molto alta e a monitorare
i rischi e le potenziali minacce del nuovo canale”
sottolinea Romano Stasi, segretario generale di ABI
Lab”
Massimo Zaurrini, Le banche e la “mobile revolution”,
blog Bancaforte.it, 14 Maggio 2012
Fattore utente
 Gli utenti MAC infettati dalla prima versione di
Flashback hanno premuto “continue” e inserito la
password di amministratore su questa schermata
“install flash player”
 Nota 1
Flash player su MAC
non è supportato
 Nota 2: Molti PC
infettati anche tra
dipendenti Apple
 Discernimento?
Sistemi operativi (1)
iOS
 App e autori controllati: filtro sulle vulnerabilità e
“accountability”
 Netta separazione tra dati applicazioni (no buffer
overflow)
 Autorizzazioni diverse tra kernel, applicativi Apple,
applicativi di terze parti: una app non può attacare
Safari
 Sandboxing: ogni app scrive nella sua cartella
 Eugene Kaspersky, Maggio 2012:
iOS è più difficile da infettare , ma è possibile, e
quando succederà non ci sarà alcuna protezione . Gli
strumenti SDK di Apple ci impediscono di crearla.”
Sistemi operativi (2)
Android
 Modello aperto
 Libera generazione e circolazione delle app
 L’utente può configurare le autorizzazioni delle
single app: molto flessibile e sicuro per utenti esperti
 Sandboxing limitato e gestione più flessibile della
memoria
 Le app possono accedere a funzioni di basso livello,
modificarsi a vicenda e in alcuni casi anche
interferire con il kernel
Ad oggi, per l’utente medio, c’è un abisso di
maggiore sicurezza dell’ecosistema Apple rispetto
ad Android.
Pagamenti Mobili
 Carta di credito a chip integrata nella SIM
 Interfaccia wireless NFC (trasponder)
 Scenari innovativi: più carte nello stesso dispositivo,
pagamenti online direttamente dal dispositivo
PM: un “must”
“Durante le fasi pilota [del trial NFC in Spagna] le
transazioni elettroniche sono aumentate del 30% e i
volumi hanno registrato un incremento del 23%”
G.C., Quale Modello per l’NFC, AziendaBanca, Maggio 2012
“Lotta al contante: Il chip NCF è la leva per spingere i
consumi”
Isidoro Trovato, Corriere Economia, 11 Giugno 2012
PM: “Security Feeling”
“Rispetto al pagamento con
carta si verifica una
rivoluzione copernicana per
quanto riguarda la
sicurezza: [...] l’elemento
attivo è il cellulare nelle
mani del cliente, che deve
autorizzare ogni transazione
inserendo un PIN e che non
perde mai di vista il proprio
device”
G.C., Quale Modello per l’NFC, AziendaBanca, Maggio 2012
A.G., Un “quadrato multifunzione”, AziendaBanca, Marzo 2012
PM: verità sulla sicurezza
 Una app malevola (o infettata) potrebbe
assomigliare a quella legittima e nel frattempo
autorizzare qualche pagamento in più
a meno che ...
 tecnologia non impedisca ai dati di transazione di
essere condivisi con le app e/o con la rete, ovvero
la transazione dovrebbe essere fisicamente
possibile solo via NFC
a meno che ...
 voglia di flessibilità  strada del “senza PoS”
 voglia di flessibilità  pagamenti online one click
 Chi “controlla” la tecnologia ?
(controllo = ownership | verifica)
Modelli di sicurezza (1)
1. Trust: ovvero pubblicità!
Vignetta di O.Widder
Modelli di sicurezza (2)
2. Testing
Vignetta di O.Widder
Modelli di sicurezza (3)
3. Sicurezza intrinseca:
ritorno alle origini?
Vignetta di O.Widder
Thank you
claudio.santacesaria
@rototype.com
 Ingegnere elettronico
 15 anni nella
progettazione di sistemi
di telecomunicazione
 Responsabile Ricerca e
Sviluppo Rototype di
Milano
 affrontate problematiche
di crittografia e sicurezza
in vari contesti
 Progetta prodotti per
l’automazione bancaria
dal 1962
 Sedi: Firenze e Milano
Prodotti principali:
 Bancomat evoluti con
funzioni di deposito
 Macchine per la stampa
e scansione degli assegni
 Software per banche
More material
Due esempi emblematici
 Attacco alle chip card basato su un difetto del
protocollo
• troppe opzioni nello standard!!!!
• non c’è PCI-DSS che possa aiutare se la tecnologia è
“broken”
 Cattura delle credenziali di accesso tramite
SSLSTRIP
• attacco man in the middle
• possibile ad ogni provider (incluso gestore di hot spot
WiFi)
• possibile ad ogni collega sulla stessa LAN
• possibile SE l’accesso alla pagina sicura “https”
avviene tramite una pagina non sicura precedente
Sicurezza: chip card
 La carta contiene una chiave privata che non può
essere estratta in alcun modo ed è firmata digitalmente
da un provider affidabile
• la carta non è duplicabile
 La verifica avviene tramite firma digitale di un “nonce”
inviato dal lettore/host.
• robusto ai replay attacks
 Implementazioni: testate a lungo prima della adozione
in ambito bancario
 Robustissime? Si, ma.....
 Verifica del pin locale: la carta può validare il pin
autonomamente senza connessione con l’host  falla
nella sicurezza perchè la risposta non è autenticata
Attacco alle chip card

1
2
3
4
5
6
7
8
9
“Ciao, sono la carta n.
4000 0012 3456 7899 di
Claudio Santacesaria”
“Puoi criptarmi il pin
con la chiave pubblica
allegata” ()

TRANSAZIONE
AUTORIZZATA
“Ciao, sono il tastierino
Sagem n. 487656
di Swiss Bank”


“ok, eccolo”
1395778734e243beba3fb0ae3de7380e
Yes
Yesbox
box
codice “9000” (pin ok) o
codice di errore
SLL Strip (1)
 Il criminale intercetta il traffico e traduce una
connessione HTTPS verso il server in una non criptata
verso il client HTTP
SSL Strip (2)
 L’utente smaliziato se ne accorge perchè manca la
“s” nella barra degli indirizzi (ammesso che ci sia)
SSL Strip (3)
 può mancare la barra (smartphone)
 può mancare la “s” se il sito adotta i frames la
crittografia delle sole porzioni critiche
 Dal sito di una banca:
Quando navighi in un sito che utilizza i frames puoi
verificare di essere in una pagina sicura in due
modi:
• seleziona con il tasto destro del mouse la funzione
"proprietà" della pagina ("properties") e controlla
che sia utilizzato il protocollo SSL 128 Bit
• apri un link in una nuova finestra (tasto destro del
mouse » "open link in a new window") e verifica che
il browser visualizzi il lucchetto chiuso.
Sito sicuro
xxx
SSL Strip (4)
SSL Strip (5)
Sito via SSL Strip (non sicuro)
xxx