您的網路銀行應用程式有多安全?

撰文及整理:叡揚資訊資安事業處

數位化是現代銀行不可或缺的趨勢。幾乎每家銀行都提供網站和行動APP,民眾的接受度也越來越高。最近的一項PWC調查(註1)發現,46%的消費者使用網路銀行,這比之前2012年調查的只有27%大幅增加。

對於銀行和其他金融機構而言,也必需因應這個趨勢提供網路銀行或行動銀行APP資訊。用戶渴望隨時隨地享受銀行業務帶來的便利,雖然能夠在個人的行動裝置或電腦上執行銀行服務所帶來的優勢是不可否認的,但另一個問題仍然存在:這些網路銀行APP安全嗎?

2017年底發布的研究可能會回答這個問題。這項研究在伯明罕(Birmingham)大學進行,發現行動銀行APP中的安全問題可能使數百萬用戶受到攻擊。他們發現的主要問題與憑證綁定有關,從The Register(註2)文章可以發現:系統測試未能發現「嚴重的漏洞,可能讓攻擊者控制受害者的網路銀行」。

這樣的安全問題顯示了在開發數位銀行APP時需要考量所有基礎設施。雖然數位銀行可以幫助培養新客源並提供創新的服務,為金融機構帶來更多的收益,同時數位銀行也存在很大的風險。

對於銀行APP開發人員的七個關鍵步驟

當使用者擁有不錯的安全意識,習慣使用安全的wifi去存取網路銀行app,且設定於不使用裝置時鎖定系統、用獨立且唯一的密碼,且不在公用的電腦上登入時;那確保使用者安全的重責大任就落於應用系統開發人員與團隊身上。

軟體開發生命週期(SDLC)對於安全應用程式的持續開發至關重要。SDLC將制定一項戰略,確保產品兼顧安全性與開發效率。以下是SDLC中的七個關鍵步驟,開發人員和安全團隊應共同努力確保發布安全的網路銀行與行動銀行APP。

1.定義安全需求

  第一步是了解銀行應用程式的安全需求。由於銀行APP的敏感性,分配至少一位安全團隊成員與系統建置團隊合作非常重要,這種合作關係需要在實際開發之前開始。
  在SDLC的流程中,開發人員和安全人員應識別軟體中的關鍵安全風險,包括軟體必須遵循的標準(包含組織內和法律/法規)。而開發團隊與安全團對應明確的溝通,確保流程中的任何差異。只有安全需求得到雙方同意,才能開始進行開發。

2.分析攻擊層面(註3)

任何軟體都會具有風險區域,稱為可攻擊面(Attack Surface)。OWASP將此定義為:

  1. 資料/命令存取應用程式的所有路徑的總和
  2. 保護這些路徑的程式碼
  3. 應用程式中使用的資料,包括機密和金鑰,智慧財產權,關鍵商業資料與個資
  4. 保護處理這些資料的程式碼

各種組織都提出了量化可攻擊面的方法:微軟 Michael Howard 設計了相對攻擊層面商數(Relative Attack Surface Quotient);Carnegie Mellon的研究人員創立了攻擊面度量法(Attack Surface Metric)。在設計最適合單位內部的方法時,可參考上述的方法可能會有所幫助。

分析攻擊層面是保護任何應用程式的一個複雜但至關重要的部分,因為它可以確定程式碼中最關鍵和最易受攻擊的區域,以確保它們在開發和測試期間得到適當的保護。

3.實作威脅模型分析(註4)

SSDLC的下一步是執行威脅模型分析。威脅模型分析可幫助開發人員了解應用程式需要哪些安全控制,以進一步確保從一開始就構建安全性。威脅模型分析過程涉及定義需要保護哪些資產和資源、獲取這些資產和資源的入口和接入點,以及對每個被優先排序的威脅制定管控計畫。

威脅模型分析和攻擊層面分析之間的關係非常緊密,這意味著對攻擊層面的任何更改都需要進行威脅模型分析,而威脅模型分析可以幫助利益相關者更容易了解攻擊層面。

4.執行靜態分析安全測試(註5)

最基本的靜態分析安全測試(SAST)測試應用程式的源碼以檢測關鍵漏洞。進階SAST工具以自動化執行,從源頭保護程式碼,並可在開發過程的初始階段實施。SAST測試是SDLC的一個重要部分,因為它可以在應用程式進入正式環境之前檢測到漏洞,這意味著可以最簡單及最便宜的找到並修復錯誤。SAST的工作原理是將開發人員指向程式碼中存在問題的特定區域。

除了檢測OWASP Top 10 中包含的漏洞之外,SAST還檢查程式碼是否存在與法律和監管標準相關的相容性問題,包括許多銀行必須遵守的PCI-DSS。

5.執行互動式應用安全測試

  IAST是SSDLC的下一步,它會測試該軟體的實際版本。從本質上講,SAST是安全開發人員,而IAST是一名駭客,致力於訪問應用程式中應該無法訪問的區域。IAST不需要深入了解應用程式,只關注它是否容易遭受攻擊以及如何利用該漏洞。

混合使用靜態和動態安全測試是確保在程式碼和應用程式上線之前消除漏洞的最佳方法。特別是對於銀行軟體等更敏感的應用程式,這種組合決定性的減少漏洞和盡可能降低攻擊風險。

6.建立Security Gates

SDLC最重要的部分是確保有中高風險漏洞的軟體無法進入正式環境。微軟的SDL流程將Security Gates稱為「bug bars」,但這個想法是一樣的。Security Gates建立最低限度的安全性,並檢查程式碼是否存在高風險漏洞。任何標記為高風險的程式碼都應該發送給開發人員以實現修復。這些檢查最好在開發階段進行靜態分析測試時執行,因為CxSAST可以自動檢測這些漏洞,以協助開發人員在開發階段就能從源頭修復它。

基本上一旦建立了Security Gates,它們就不會被打破,無論應用程式發布的程度如何:永遠不允許中高風險的漏洞進入正式環境,Security Gates有助於確認以及如何防範風險。

7.持續導入安全開發教育(註6)

雖然不屬於SDLC,但開發人員教育是SSDLC的一部分。開發人員培訓在安全開發組織中迅速發展,因為它有效地讓對安全一無所知的開發人員蛻變為安全開發人員。

特別是在像銀行應用這樣的高度敏感的環境中,讓了解安全流程的開發人員可以更快地發布安全軟體。

 

現在,任何現代APP都需要比以前更高的安全意識。客戶希望能夠在他們的手機和電腦上做所有事情,這需要考慮更多如何保護我們的企業和客戶。在數位銀行業務方面,這些考量因素甚至更大,需要強而有力的規劃和執行才能保持高水平的安全性。通過SSDLC引導,銀行APP可以安全發布,讓客戶對您的企業和軟體充滿信心。

 

Arxan攜手叡揚 協助企業保護App安全

首家支援Kotlin保護 Threat Analytics功能

因應金融業數位轉型趨勢,叡揚資訊於日前舉辦「資安風險與金融科技大未來」高峰會。會中邀請BSI英國標準協會台灣分公司蒲樹盛總經理、API Management 專家Axway、App行動裝置防護領導品牌Arxan等經理人到場分享全球科技風險與資安趨勢、臺灣最新金融法規說明及因應策略。其中,Arxan在會中介紹支援Kotlin的Arxan for Android,內建全新Threat Analytics功能,主動掌握App安全健康狀況,吸引在場眾多金融及政府單位管理高層的關注。

「資安風險與金融科技大未來」高峰會吸引金融及政府單位資訊經理人前來共襄盛舉

 

儘管近幾年智慧型手機成長趨緩,與消費者生活卻反而更為緊密,是許多民眾不可或缺的重要工具。在全球搶攻Fintech商機熱潮下,行政院更喊出期盼在2025 年讓台灣達到行動支付普及率90%目標,以能夠與國際市場接軌。只是行動裝置受限於基本防護力薄弱,不僅裝置本身很容易遭到駭客攻擊,就連辛苦開發出來的App也容易被駭客反組譯,進而透過植入惡意程式碼的方式,竊取使用者的個人資料。

為強化行動裝置安全、簡化 App開發流程,Google在2017年的開發者大會上,將在Android平台上開始支援原生的Kotlin語言,透過更安全、簡潔明確的特性,讓已經熟悉 Java的程式設計師,無需浪費太多的時間學習Kotlin。

Arxan產品管理副總裁Rusty Carter說,在詐騙事件頻傳之際,Arxan向來致力於為客戶提供最完善的行動應用程式保護工具,以能夠保護客戶資料與公司商譽,多年來在全球各地獲得眾多客戶肯定。隨著Kotlin正式成為Andriod平台上的開 發工具,我們也在第一時間發表相對應的產品,擴大Arxan for Android 的產品線範圍,全力協助客戶保護 App的安全,進而專心新功能開發與業務推廣上。

由左至右,叡揚資訊資安事業處處長范家禎、Arxan產品管理副總裁Rusty Carter、
Arxan亞太區區域副總裁Daniel Schneersohn、叡揚資訊資訊服務事業群總經理陳志雄。

新增Threat Analytics功能 主動掌握App健康狀況

儘管多數業者都體認到資訊安全的重要性,每個 App開發完成後都會經過弱點掃描等資安測試,只是受限於Java語言的開發特性,一旦App未經防護直接發佈,駭客組織便很容易取得App源碼,造成難以預測的資安威脅。為此,Arxan for Android解決方案提供多層式縱深防禦架構,可從防護、偵測、反應等三大面向,保護應用程式的安全。如在防護技術方面,會在程式執行碼進行混淆,如程式/字串加密、防監聽、動態隨機執行保護等等,有效防止駭客以逆向工程破解程式碼的目的。此外,產品也能透過主動偵測技術,提供 Checksum確認(竄改偵測)與監聽模式偵測,避免發生程式碼被竄改的事件。

Rusty Carter指出,鑑於駭客攻擊手法不斷翻新,我們在擴大Arxan for Android的產品線範圍外,也進一步推出Threat Analytics功能,協助企業收集App受到攻擊的狀況。這項功能是一項綜合性的監控服務,會主動將用戶使用App的狀況傳送到後台,進而讓受保護App的安全狀況一目瞭然。此種創新服務,可幫助企業用戶快速了解App受到攻擊的狀況與種類,以便能夠採取相對應的措施,進而達到提升App安全性的目的。

簡單來說,企業用戶藉由Arxan for Android中新增的Threat Analytics功能協助,將不再僅是處於被動防護的角色,而是能夠主動掌握駭客組織的攻擊行為,並且從中找到最佳的防護策略。此外,搭配叡揚資訊提供的專業技術服務及豐富經驗,企業將有足夠能力應付來自四面八方的資安威脅,毋須擔心發生因App遭到駭客破解,影響到公司營收與商譽。

不要成為下一個EQUIFAX – 2017 十大OpenSource弱點

已經過去了一年。你的產品中是否還有這些漏洞?

 

在2017年,Open Source的漏洞對於應用程式的安全性來說,是最具威脅性的一年。尤其是在Equifax慘痛的教訓之後。Equifax事件,就像電影一樣,居然在Equifax團隊的眼皮底下,洩漏了超過1.45億筆個人資料,讓我們想回顧一下,過去這一年還有那些漏洞,來攻擊整個資訊產業?造成可憐的工程師非常頭痛,並用多個漫長的夜晚來進行軟體更新及漏洞修補。 繼續閱讀 “不要成為下一個EQUIFAX – 2017 十大OpenSource弱點”

全球著名開源軟體管理領導品牌WhiteSource發佈最新技術 – Contextual Pattern Matching Engine, 可支援超過200種程式語言

開源軟體安全及授權合規性管理領導廠商WhiteSource於 2018/4/26在以色列特拉維夫發表正進行專利審理的全新匹配引擎Contextual Pattern Matching (CPM)Engine,此技術大幅強化了程式碼與函式庫配對及檢測的準確性。新一代的CPM Engine與前一代相比,更快、精準的比對程式碼與開源函式庫。 繼續閱讀 “全球著名開源軟體管理領導品牌WhiteSource發佈最新技術 – Contextual Pattern Matching Engine, 可支援超過200種程式語言”

OWASP ZAP 憑證安裝的方式(OWASP ZAP Certificate)

問題

透過 ZAP 去錄 https 時,如果沒有安裝憑證時,在 Browser 就會出現「 “Your connection is not private”, “你的連線並不安全”」的警告訊息,如下圖所示。
Chrome的警告

Firefox的警告

解法

為什麼會出現那個警告訊息呢? 因為 Browser 用的那個憑證已經不是原本連接的那個 host 的憑證,而變成了 OWASP Zed Attack Proxy Root CA 了哦! 而這個憑證並沒有被電腦 Trust 所以就會有那個警告訊息哦!
那要怎麼辦呢? 就是把憑證裝進去電腦的信任區。
以下我們就一步步來說明,

1.儲存 ZAP 憑證

開啟 OWASP ZAP ,Tools -> Options -> Dynamic SSL Certificates -> Save
儲存 ZAP 憑證

2.匯入 ZAP 憑證

DbClick剛才儲存的憑證檔,按下「Install Certificate…」,並將憑證存到「Trusted Root Certification Authorities」之中,如下,
Certificate Import Wizard

記得要將憑證存到「Trusted Root Certification Authorities」之中
存到「Trusted Root Certification Authorities」

最後按下 Finish 就可以了哦!
Import 完成

FIREFOX 匯入 ZAP 憑證

因為 firefox 憑證是自已管理的,所以 firefox 也要匯入 ZAP 憑證 ,如果會用 firefox 來錄的話,可以省略這步哦!
firefox 選項 -> 隱私權與安全性 (或在網址列輸入 about:preferences#privacy) -> 檢視憑證
隱私權與安全性

匯入 ZAP 憑證
匯入 ZAP 憑證

勾選「信任此憑證機構以識別網站」
勾選「信任此憑證機構以識別網站」

透過上述的方式,我們就可以錄 https 的網站,而不會一直出現警告訊息。 如果不會再錄的話,就請記得將 ZAP 的憑證移除哦!