Mobila banktjänster säkerhet och riskbedömning överväganden

Tisdagen den 5 aug, 2008 @ 10:15 | Banking och Eftpos, säkerhet

Vid prövningen av mobila banktjänster säkerhet och risker i en bedömning strategi beror till stor del på den lösning som skapas eller lämnas.
Allmänt gäller att strategin bygger på lager standarder för att stödja och kring teknik och metoder som används.

Här är några saker att tänka på.

Skyddsutredningar vanligtvis varit fokuserad på två saker.

1 / Känslighet av data
Vad skall skickas. t.ex.. Pin, kreditkortsnummer, kontosaldo, din adress, bankkontonummer etc.
Uppgifterna får inte vara känslig för banken, men kan betraktas som kunden som känsliga.
osv ... ... ....

2 / tillgång till de uppgifterna.
Vad medium som används?
Är det lätt att hacka?
Vad kryptering som används?
Är alla uppgifter vägar säkra (klient och back end)?
Finns det en 3: e parts som deltar i omställningen av de transaktioner?
osv ... ... ...

Att tänka på:

Pin återställs skickas via SMS till kund, bör inte användas som enda metod för att få tillgång till konton. En ytterligare kundspecifika (eventuellt statisk) lösen ord / fras bör användas som ett komplement till ett dynamiskt skapade stift. SMS kan snusas (beroende på läge och placering).
Om WAP används, är alla anordningar som kan kryptering? Om produkter inte kan kryptering, kan vi neka tillträde till dessa enheter? Om klientsidan JAVA eller intelligent enhet (win CE, etc), att detta inte kan äventyras av en Trojan och andra viktiga logga tekniker.
Har organisationen anses klientsidan certifikat för att kontrollera enheten innan transaktioner godkänns? Anser flera Device-och User identifiering metoder (mycket lösning beroende).
De flesta mobila POS-terminaler kryptera kunden in PIN-kod, men inte kryptera allt som står i transaktionen. Om överföringsmediet äventyras bör vi överväga om kryptering kan vara spruckna och om okrypterat uppgifter är känsliga. Överväga ytterligare datakryptering inkapsling dvs användning av alla budskap kryptering (SSL, IPSec) eller använda en terminal som använder Härledda nyckelvärde per transaktion (DUKPT).
Många banktjänster har drabbats av typiska hack som kapar din session, SQL-injektion, icke slumpmässiga sessionsnycklar (klientsidan och serversidan), osv ... Dessa typiska Hacks bör övervägas i din Secure SDLC och QA Processer gång du är medveten om teknik som används och / eller aktiva.
PBX system och kablar distribution ramar kan ha enheter som är anslutna för att samla in transaktioner. Trådlösa enheter är nu anslutna till dessa system. Angriparen sitter i sin bil på parkeringsplatsen utanför. Detta sker ofta i super marknader.
Trådlös transaktion gateways om inte krypterad är lätt samlas in av någon inom trådlös räckvidd. 802.11 och andra trådlösa / infrarött medier som används (avgöra vilken teknik och medium som används).
Har organisationen anses dynamiska nycklar för mobila användare? Det finns några mycket låg kostnad SecureID typ lösningar som finns idag, men kunderna måste ha dessa produkter på dem när de vill göra en transaktion.