漫谈移动银行-马传雷

2014/7/71漫谈移动银行安全性Aboutme•flyh4t•PHP安全爱好者•绿盟科技安全技术部总监•六年应用安全测试、渗透测试、安全评估经验•machuanlei@nsfocus.com2014/7/72移动银行技术实现移动银行分类•利用短信办理业务SMS•将银行服务的菜单写入特制的STK卡，为客户的菜单式操作STK•USSD是一种基于GSM网络的新型交互式数据业务，可以用于开发各种业务USSD•Kjava是专门用于嵌入式设备的Java应用，是Java技术在无线小终端设备上的延伸Kjava•brew是一种基于CDMA网络的技术。用户可以通过下载应用软件到手机上运行，从而实现各种功能BREW•Wap是开发移动网络上类似互联网应用的一系列规范的组合WAP•app•微信／易信APP2014/7/73移动银行开发商开发商融易通联龙博通中科金财恒生电子上海屹通科蓝软件银行自主开发……移动银行和网银的关系2014/7/74网络拓扑图移动银行系统结构 2014/7/75二次加密技术方案业务处理2014/7/76移动银行面临的安全问题移动银行面临的安全问题移动银行安全策略业务安全管理流程安全实现技术架构缺陷客户端/服务端漏洞逻辑漏洞基础环境木马病毒重打包攻击钓鱼攻击合规性企业内部行业2014/7/77移动银行面临的安全问题•安全策略业务安全策略2014/7/78补卡攻击短信网关后台服务器移动银行服务端黑客合法用户管理流程2014/7/79Debug接口未关闭Debug接口未关闭2014/7/710移动银行面临的安全问题•安全实现技术架构设计缺陷2014/7/711越权查询漏洞后台服务器移动银行服务端黑客登录系统查询其他用户卡号信息查询卡号信息短信验证码泄漏漏洞短信网关后台服务器移动银行服务端黑客合法用户2014/7/712短信验证码暴力破解客户端漏洞：未验证ssl证书2014/7/713客户端漏洞：未验证ssl证书服务端漏洞2014/7/714服务端漏洞服务端漏洞2014/7/715业务逻辑漏洞移动银行面临的安全问题•基础环境2014/7/716基础环境漏洞底层安全机制较弱2014/7/717病毒木马•2013年全年，截获手机病毒总量超过79万个，其中截获Android平台病毒包达到76万个；•与2012年相比,2013年截获的病毒包总数是2012的4.47倍，手机病毒呈现疯狂增长态势。•从2012年到2013年，是截至目前手机染毒用户数激增暴涨的2年。2012年1月~2013年12月，手机染毒总用户数突破1.4亿，接近俄罗斯总人口。；移动手机病毒及恶意攻击2014/7/718媒体报道病毒木马2014/7/719重打包攻击钓鱼攻击2014/7/720一种新的黑色产业链App加固保护移动银行App启动保护代码启动自我修改代码修改虚拟机反调式保护启动完整性检查启动载入和运行加密的代码正常的虚拟机启动修改后的虚拟机检查失败中止程序（可为服务器报警）执行业务功能2014/7/721AndroidAPP加固保护腾讯360娜迦梆梆爱加密通付盾某大行APP破解案例2014/7/722某大行APP破解案例还可以怎么破2014/7/723微信银行安全性移动银行面临的安全问题•合规性2014/7/724合规性•内部的监管•外部的监管–人行–银监绿盟科技移动银行安全解决方案•NSFocusMB-SDLC2014/7/725SDLC运维阶段安全保障应急响应功能实现阶段安全编码安全测试架构设计阶段安全设计原则威胁建模安全方案设计需求阶段安全目标识别安全需求分析安全需求报告修复安全漏洞所需要的成本0倍5倍10倍15倍20倍25倍30倍35倍需求/架构编码集成/组件测试系统/验收测试发布2014/7/726安全需求安全目标和需求业务需求监管要求安全实践移动应用安全控制模型2014/7/727输出物：安全架构和设计输出物：安全功能设计2014/7/728编码规范和代码审计报告测试规范和测试报告2014/7/729运维监控总结服务•架构咨询•代码审计•安全测试•安全评估•应急响应客户端安全•安全监控•app保护培训•安全意识•技术能力2014/7/730乙方工程师那点事向坚守在乙方的安全工程师致敬我们的幸福不是来自于掌握高精尖的技术，而是来自于通过自己的努力解决他人的痛苦。2014/7/731