SICHERHEIT BEI MOBILE PAYMENT IT SICHERHEITSTAG NRW – 03.12.2014
conVISUAL AG BASISINFORMATIONEN
Gegründet: 2000, seit Januar 2006 im Entry Standard an der Frankfurter Börse no:ert Standorte: Oberhausen, Frankfurt und Wien Mitarbeiter: ca. 65 in Deutschland und Österreich
PLAN
Die conVISUAL AG ist Ihr zuverlässiger Partner für interna:onale digitale Businessprojekte dank mehr als 14 Jahren Projekt-‐Erfahrung in über 30 Ländern weltweit.
BUILD
RUN ANALYZE
LEISTUNGSSPEKTRUM UND KUNDEN MOBILITY – CLOUD – SECURITY – SAAS PRODUKTE
Lösungen und Produkte für Kunden in über 30 Ländern
Security Cloud Mobility
SaaS-
Produkte
PROJEKTBEISPIEL MCDONALDS QUICK MAC APP (ÖSTERREICH)
NICHT NUR EINE APP EIN BLICK HINTER DIE KULISSEN
Virtualization/Cloud
Security/Payment
Mobility
TLS
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
QUICK MAC DETAILS DIE SYSTEMARCHITEKTUR
Quick Mac Server
INTERNET Quick Mac App
DIE GRUNDSÄTZE INFORMATIONSSICHERHEIT
1. VERTRAULICHKEIT Datenzugriff nur autorisiert
2. INTEGRITÄT
Keine unerwünschte Veränderung der Daten 3. VERFÜGBARKEIT
Datenzugriff innerhalb angemessener Zeit
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
1. Kunde bezahlt, bekommt aber kein Produkt
2. Kunde bezahlt nicht (vollständig), bekommt aber das Produkt
3. Konto des Kunden wird übermäßig hoch belastet
DIE RETTUNG IN DER NOT
DER „TRUST ANCHOR“
DIE RETTUNG IN DER NOT WO LIEGEN UNSERE ANKER?
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
Kreative Kunden entdecken eine Schwachstelle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
Kreative Kunden entdecken eine Schwachstelle:
● unsicherer Ablauf bei Produktübergabe
ToDo: Einbindung ins Kassensystem, oder Aufbau eines Parallelsystems
● reproduzierbares Software-Problem
ToDo: Möglichst viel Kontrolle am Server ermöglicht schnelle Updates
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
Technische Probleme und Teilausfälle
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
Technische Probleme und Teilausfälle: ● System antwortet nicht mehr und provoziert Fehler im Ablauf
ToDo: Abläufe geschickt programmieren und Entscheidungen absichern
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
Hacker Attacken
TYPISCHE SCHWACHSTELLEN IN DER PRAXIS PAYMENT UNTER BESCHUSS
Hacker-Attacken: ● [Distributed] Denial of Service Attacken (DoS/DDoS):
ToDo: Vermeidung von Unsicherheiten im „Message-Flow“
● Man in the Middle Attacken (MitM):
ToDo: Sensible Daten immer vom Server abrufen bzw. am Server ablegen und diese validieren z.B. Payment-Token für wiederkehrende Bezahlung
ToDo: Immer State-of-the-Art bei allen Datenübertragungen z.B. TLS 1.2 statt SSL 3.0
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
TEST-BESTELLUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
AUTHENTIFIZIERUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
AUTORISIERUNG
PIN
SMS/Voice
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
BESTELLUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
Quick Mac Server
INTERNET
PSP BACKEND
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
RÜCKFRAGE
BUCHUNG
QUICK MAC DETAILS ABLAUF DER ZAHLUNG
INTERNET
PSP BACKEND
Quick Mac Server
mWeb PayPal
native SDK PayBox
native SDK PayUnity
Quick Mac App
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
BESTELLUNG
BUCHUNG
GELD GEGEN BURGER: WER ENTSCHEIDET? ABLAUF DER ZAHLUNG
PSP BACKEND
Quick Mac Server
McDonald‘s Gateway Bild/Produkt-Datenbank
200 Restaurant-Server
BESTELLUNG RÜCKFRAGE
CHECKLISTE PAYMENT SECURITY
● „Foolproof“ Ablauf bei der Produktübergabe
● Geeignete „Trust Anchor“ definieren
● Durchdachter Message-Flow mit Payment-Providern
● State-of-the-Art Verschlüsselung bei allen Datenübertragungen
● Lasttests garantieren Systemstabilität
OWASP MOBILE SECURITY GUIDELINES REFERENZ FÜR ENTWICKLUNG UND TEST
OWASP MOBILE SECURITY: TOP 10 RISIKEN
● M1: Weak Server Side Controls ● M2: Insecure Data Storage ● M3: Insufficient Transport Layer Protection ● M4: Unintended Data Leakage ● M5: Poor Authorization and Authentication ● M6: Broken Cryptography ● M7: Client Side Injection ● M8: Security Decisions Via Untrusted Inputs ● M9: Improper Session Handling ● M10: Lack of Binary Protections
● Sensitive Information Disclosure (Top 10 list 2013)
SSL UND TLS VERSCHLÜSSELUNG IM VERGLEICH
SSL ist veraltet (zuletzt Version SSL 3.0) und wird unter TLS weitergeführt (aktuell TLS 1.2). Die Unterschiede sind:
• Socket vs Protokoll: SSL (Secure Sockets Layer) richtet den Fokus auf einen Port, wobei TLS (Transport Layer Security) beim Kommunikations-protokoll ansetzt
• Angriffe: Alle SSL Versionen gelten als unsicher. Angriffe sind u.a. BEAST, Lucky13 und Poodle. TLS wehrt diese ab Version TLS 1.1 erfolgreich ab. Das BSI rät von dem Einsatz von SSL ab.
• Perfect Forward Secrecy (PFS): TLS unterstützt Mechanismen um aus alten, gebrochene Verbindungen keine Rückschlüsse auf zukünftige Verbindungen machen zu können.
• Client Überstützung: Hersteller der populären Browser FireFox und Chrome haben als das Agenda Ziel SSL komplett zu entfernen und nur TLS zu verwenden.
WIR BERATEN. PRODUKTE. IN DIE CLOUD, UND ZWAR SICHER
Peter Hofbauer, CSO [email protected] +49 173 7285 032