www.pwc.com
Mobile Payment Security: uno sguardo al futuro
AIEA – Sessione di studio Milano, 14 aprile 2011
Contenuti
1. Introduzione
2. Modalità di pagamento 3. Overview dello scenario di sicurezza 4. Sicurezza: tecnologie, problemi e soluzioni 5. Conclusioni 6. Bibliografia 7. Contatti
Information Security nel Mobile Payment PwC
aprile 2011 Slide 2
Introduzione
1 Information Security nel Mobile Payment PwC
aprile 2011 Slide 3
Con “mobile payment” definiamo qualsiasi tipo di pagamento attraverso telefono cellulare Con il termine “mobile payment” indicheremo servizi che consentono di “attivare pagamenti o trasferire denaro tramite telefono cellulare” indipendentemente dalla tecnologia wireless utilizzata (ad esempio reti cellulari, NFC, bluetooth) e dallo strumento di pagamento sottostante (ad esempio carta di credito, credito telefonico). Il “premium SMS” (decade 4) è uno dei primi esempi di servizio di pagamento erogati attraverso il telefono cellulare a cui ora, come vedremo nel corso della trattazione, si sono aggiunti – o meglio definiti – i pagamenti contactless (mobile proximity payment) e mobile (mobile remote payment e mobile money transfer).
Information Security nel Mobile Payment PwC
aprile 2011 Slide 4
Mobile Payment: il fenomeno del momento?
Penetrazione di smartphone, Mobile Internet, sviluppo di infrastrutture, normative europee e importanti casi internazionali spingono l’adozione. Finalmente anche in Italia! Information Security nel Mobile Payment PwCPwC
aprile 2011 Slide 5
…spinto, in Italia, ancor più dalle nostre abitudini di pagamento € 8.950mld
….di cui il 2% sono contestati: 1,6% per merce non ricevuta/conforme 0,4% per frode
Il largo utilizzo di transazioni ancora “cash” nel nostro Paese (89% nel 2008) suggerisce importanti spazi di ingresso in un nuovo mercato e… a nuovi entranti (con attenzione…) Information Security nel Mobile Payment PwCPwC
aprile 2011 Slide 6
Come favorire quindi, per merci fisiche e digitali, lo sviluppo degli strumenti automatizzati?
Esigenze del merchant digitale Meno costoso (commissioni <50%, integrazione std, trasparenza transazioni)
Sicuro (protezione frodi, reportistica periodica)
Interoperabile Customer/Self Care User Exp unica
(indipendente dalla telco / SIM e dal canale d’uso, web o mobile)
Lo strumento ideale è quello che permette di soddisfare le esigenze di entrambe le categorie, permettendo la riconoscibilità di entrambi nelle transazioni a distanza e in prossimità Information Security nel Mobile Payment PwCPwC
aprile 2011 Slide 7
Ma… per i “big player”, e per i nuovi entranti in un nuovo mercato, quali modelli di business si profilano?
Big Entrants
Mercato dei Pagamenti e Relazione con il Cliente
Financial Institutions
MNO MVNO
?
Device Manufacturer e Secure Element…
Emergono tre modelli di business, le cui strategie sono in costante evoluzione: orientatamento alle Istituzioni Finanziarie, ai Telco Operator o… misto? Quale arbitro? Information Security nel Mobile Payment PwCPwC
aprile 2011 Slide 8
Nel panorama Telco il modello di business tradizionale offre revenue share consolidate per i cosiddetti “VAS”… Decade 4
Wap Billing
Aggregatori Esterni
Ambito
Focus Mobile
Focus Mobile
Focus Web
Prodotti
• • • • • • • • • •
• • • • • • • •
• • • •
Tecnologia
Sms/Mms
Silent Billing con enrichment
Silent billing
Revenue Share
50-55%
50-60%
50-60%
Partner Principali per le Telco
Buongiorno, David 2, Neomobile, Fox Mobile
Buongiorno, Neomobile
Onebip, Zong, Mobileview
Mercato
Volume Mobile Content a pagamento, Italia 2009:
Loghi Wallpaper Suonerie e videosuonerie Screensaver Giochi Applicazioni Chat/C ommunity News e servizi informativi Voting Servizi per adulti (autorizzati)
Loghi Wallpaper Suonerie e videosuonerie Screensaver Giochi Applicazioni Chat/Community Servizi Editoriali
11%
596 mln di Euro
SMS
4% 42% Incidenza sui volumi delle diverse piattaforme tecnologiche
Information Security nel Mobile Payment PwCPwC
Servizi editoriali Chat/Community Social gaming Giochi online
Osservatorio Mobile Content & Internet, Politecnico di Milano
Rapporto 2010
MMS Browsing Dowload Application Store
34% 7% 2%
Altro
aprile 2011 Slide 9
…ma non ha la flessibilità per accogliere nuovi servizi e confrontarsi con i “Big Entrant” 50%
0% Revenue share per MNO
40-50%
30-40%
30%
OPPORTUNITÀ DI MERCATO
Social Gaming
Contenuti tradizionali: - Loghi - Sfondi - News - Chat -…
Tradizione
20-30%
Il modello “creato” da iTunes…
10-20%
0-10%
Trasporto (ticketing)
Micropagamenti fisici
Riviste, Quotidiani eBook Video on Demand
Novità
Charity
reale mPayment?
Occorre difendere la relazione con il Cliente, sfruttare la diffusione di contenuti digitali cross-platform, ma poter garantire una miglior revenue share e servizi addizionali PwCPwC
Slide 10
Se quindi un nuovo mercato è effettivamente in partenza… come far sì che il tutto avvenga in sicurezza?
Information Security nel Mobile Payment PwC
aprile 2011 Slide 11
Modalità di Pagamento
2 Information Security nel Mobile Payment PwC
aprile 2011 Slide 12
L’European Payment Council (EPC) ed il progetto “Single Euro Payments Area” (SEPA) supportano la standardizzazione dei processi di Mobile Payment L’EPC, promosso dalla BCE (Banca Centrale Europea) e dalla Commissione Europea, descrive lo scenario europeo del Mobile Payment auspicandone una standardizzazione, all’interno del progetto SEPA. L’obiettivo del progetto SEPA è quello di standardizzare i processi di pagamento al dettaglio in Euro (compresi quelli gestiti col Mobile Payment), definendo anche alcuni aspetti di information security. Information Security nel Mobile Payment PwC
aprile 2011 Slide 13
La modalità di erogazione del servizio di mobile payment può essere classificata in due categorie principali SEPA definisce le seguenti modalità di erogazione del servizio di pagamento mobile: • Contactless (o di prossimità): qualora il pagante ed il beneficiario del Mobile Payment utilizzi tecnologie radio (i.e. NFC, Bluetooth) per il trasferimento dei dati relativi al pagamento. • Remote: qualora la transazione elettronica sia trasmessa su Internet, indipendentemente dal canale di comunicazione wireless. Tale categoria può utilizzare una connessione mobile, come la rete GSM, (WAP Billing) o non mobile, come il Wifi (Standard Billing).
Information Security nel Mobile Payment PwC
aprile 2011 Slide 14
Mobile payment: Modalità pagamento Vs modalità di erogazione Attori
Modalità di pagamento SEPA Credit Transfer SEPA Direct Debit
SEPA Card Payments
Modalità di erogazione del servizio
Contactless P2P P2B Pagare il biglietto del treno
Comprare un biglietto per una partita di calcio Fare la spesa
B2P Pagare un pranzo di lavoro
B2B Remote
P2P Rimborsare un amico P2B
Abbonarsi da remoto per i giochi online
Accedere in modalità mobile ad intrattenimenti “Premium”
B2P B2B
Source: European Payments Council (EPC) – Elaborazione PwC Information Security nel Mobile Payment PwC
aprile 2011 Slide 15
Il contacless, ancora in una fase pilota, potrebbe rappresentare il metodo di pagamento del futuro! Utente con dispositivo NFC
Ricevuta che attesta il pagamento (SMS, MMS, attraverso connessione dati)
Information Security nel Mobile Payment PwC
POS NFC
1
2
4
3
Pagamento NFC
aprile 2011 Slide 16
Il Remote-WAP Billing usa le funzionalità offerte dalla rete dell’operatore Utente con dispositivo mobile con connessione dati
Ricevuta che attesta il pagamento (ricevuta via email o PNR via SMS)
Information Security nel Mobile Payment PwC
Rete GSM/UMTS
1
2
4
3
GSM/UMTS
Pagamento su applicazione mobile
aprile 2011 Slide 17
Il Premium SMS può essere considerato come un caso particolare di WAP -Billing Utente con dispositivo mobile
Ricevuta che attesta il pagamento (SMS, MMS)
Information Security nel Mobile Payment PwC
Rete GSM/UMTS
1
2
4
3
GSM/UMTS
Pagamento tramite invio Premium SMS
aprile 2011 Slide 18
Il Remote-Standard Billing è la modalità di pagamento online classica ma da mobile Utente con dispositivo mobile con connessione Wi-Fi
Ricevuta che attesta il pagamento (ricevuta via email)
Information Security nel Mobile Payment PwC
Rete Wi-Fi
1
2
4
3
Pagamento tramite applicazione web www.trenitalia.com
aprile 2011 Slide 19
Overview dello scenario di sicurezza
3 Information Security nel Mobile Payment PwC
aprile 2011 Slide 20
Anche i sistemi operativi dei dispositivi mobili sono affetti da vulnerabilità Trend di Mobile Vulnerability
Numero di Vulnerability al 2011
60 4%
2%
50 40
39%
30% 30 20 10 0 8%
iPhone
Android
Windows Mobile
Blackberry
17%
Symbian
J2ME
Source: http://nvd.nist.gov/ - Elaborazione PwC Information Security nel Mobile Payment PwC
aprile 2011 Slide 21
I Mobile Malware sono una realtà! Mai sentito parlare di Zitmo? Numero di Mobile Malware 0% 5% 2% 6%
Numero di nuove varianti 5% 3%
0%0%
0%
3% 11%
29% 58%
78%
J2ME
Symbian
Python
Windows Mobile
AndroidOS
IphoneOS
Sgold
MSIL
Source: Kaspersky Lab - Elaborazione PwC Information Security nel Mobile Payment PwC
aprile 2011 Slide 22
L’attacco di tipo Man In The Middle è tuttora una concreta problematica per il contactless, nonostante la definizione di standard di sicurezza quali il NFC-SEC Nel 2008 Collin Mulliner ha dimostrato come la tecnologia NFC sia soggetta all’attacco Man In The Middle. Tale attacco consente di leggere, inserire o modificare a piacere messaggi tra due parti. Mulliner ha dimostrato di riuscire a chiamare un numero telefonico o ad inviare SMS all’insaputa dell’utente proprietario. Information Security nel Mobile Payment PwC
Original connection
Alice
MITM connection
Bob
Trudy aprile 2011 Slide 23
Anche le connessioni remote (WAP) risultano non essere “sicure” a causa di vulnerabilità dell’infrastruttura GSM Le comunicazioni GSM possono essere soggette ad attacchi di tipo “Man In The Middle” o “Eavesdropping” (ascolto di informazioni di nascosto). Tali attacchi sfruttano le seguenti vulnerabilità: • parti di infrastruttura di rete GSM non crittografate; • debolezza degli algoritmi di crittografia. Le comunicazioni UMTS risultano essere dotate di algoritmi di cifratura più robusti rispetto a quelli utilizzati dalle comunicazioni GSM. Gli attacchi portati a dispositivi connessi a rete 3G, mirano a farli disconnettere dalla rete UMTS per farli ricollegare alla rete GSM/GPRS e sfruttarne le vulnerabilità. Information Security nel Mobile Payment PwC
aprile 2011 Slide 24
Sicurezza: tecnologie, problemi e soluzioni
4 Information Security nel Mobile Payment PwC
aprile 2011 Slide 25
La sicurezza del mobile payment è complessa perché deve tenere conto di numerosi aspetti
User Security 1 Payment Security
6
2
Mobile Application Security 5
System and Application Security
Information Security nel Mobile Payment PwC
EndPoint Security
3
User Side Application Security
4 Communication Security
aprile 2011 Slide 26
1. User Security - l’utente diventa un fattore ancora più critico per la sicurezza dell’ecosistema What’s new?
• Il comportamento degli utenti. • Consumerization. • Furto/perdita del dispositivo più frequente. Tecnologia
Responsabilità
Principali Problemi
Possibili Soluzioni
• Remote Standard • Remote WAP • Contactless
Utente
Utilizzo del dispositivo in maniera impropria, non responsabile e imprevedibile.
• Antivirus • User Awareness • Audio/Video feedback
Information Security nel Mobile Payment PwC
aprile 2011 Slide 27
2. EndPoint Security - i dispositivi sono “anywhere”, il perimetro da difendere è più ampio What’s new?
• Il dispositivo è “always on” e “always connected” (estensione “superficie di attacco”). • Risorse computazionali del dispositivo ridotte. • Limitata sicurezza intrinseca del dispositivo. Tecnologia
Responsabilità
Principali Problemi
Possibili Soluzioni
• Remote Standard • Remote WAP • Contactless
Utente
• Compromissione del dispositivo. • Furto dei dati dell’utente ed utilizzo degli stessi in maniera impropria. • Clonazione. • Malware.
• Antivirus • Firewall software • Pin per l’utilizzo del dispositivo • Secure Element (solo per NFC)
Information Security nel Mobile Payment PwC
aprile 2011 Slide 28
Il Secure Element è l’elemento cardine della sicurezza per l’end point nello scenario contactless Il Secure Element (tamper resistant, stand- alone, formally certified) conserva in modo sicuro applicazioni o dati critici per i servizi di pagamento e le chiavi di crittografia. Il Secure Element può risiedere: • nel UICC*;
• embedded nel dispositivo; • in una memoria SD. L’accesso alle informazioni (cifrate) deve essere consentito con ulteriori meccanismi di autenticazione (p.e. PIN, differente dal codice di accesso al dispositivo; impronte digitali). * UICC: Universal Integrated Circuit Card Information Security nel Mobile Payment PwC
aprile 2011 Slide 29
3. User Side Application Security - la sicurezza delle applicazioni è anche “user side” What’s new?
• Sviluppo sicuro dell’applicazione lato user (è un ritorno al paradigma “client-server”). • Gestione sicura del deploy (o download) dell’applicazione mobile Tecnologia
Responsabilità
Remote Standard Remote WAP Contactless
• Utente • Compromissione • Software House del dispositivo. • Marketplace owner • Furto dei dati dell’utente ed utilizzo degli stessi in maniera impropria
Information Security nel Mobile Payment PwC
Principali Problemi
Possibili Soluzioni • Connessioni sicure (p.e. HTTPS.) • Patching (p.e. Web Browser, Apps) • Sicurezza del marketplace e delle applicazioni pubblicate.
aprile 2011 Slide 30
4. Communication Security – con le comunicazioni wireless i dati viaggiano nell’etere! What’s new?
• La comunicazione contactless è un nuovo scenario da esplorare. • Gli operatori offrono servizi a supporto e integrabili con i nuovi metodi di pagamento mobile. Tecnologia
Responsabilità
Principali Problemi
Remote Standard
• Utente • Gestore Hot Spot
Remote WAP
Operatore Mobile
• Comunicazioni non WPA/WP2 sicure. • Attacchi MITM • UMTS • Spoofing • Url-Enrichment (CLID) • Tracciatura IMEI
Contactless
• Utente • Merchant
Information Security nel Mobile Payment PwC
Possibili Soluzioni
Standard NFC-SEC
aprile 2011 Slide 31
5. System and Application Security – continuiamo a difendere i nostri sistemi What’s new?
• Infrastruttura/Applicazione NFC
Tecnologia
Responsabilità
Principali Problemi
Remote Standard
Gestore dell’infrastruttura e dell’applicazione
Remote WAP
Operatore Mobile
Contactless
Gestore del POS e del tag NFC
• Sicurezza delle infrastrutture, sistemi operativi ed Furto dei dati applicazioni dell’utente ed utilizzo • Securing Cloud degli stessi in Computing maniera impropria • Application Security • OWASP
Information Security nel Mobile Payment PwC
Possibili Soluzioni
aprile 2011 Slide 32
6. Payment Security – è fondamentale regolamentare la protezione dei dati di pagamento! What’s new?
• Conformità del cellulare a standard di sicurezza? • Normative/misure specifiche dedicate al cellulare (che non è un elemento passivo come la carta di credito)? Tecnologia
Responsabilità
Principali Problemi
Possibili Soluzioni
• Remote Standard • Remote WAP • Contactless
Gestori dello strumento di pagamento (p.e carte di credito, Monete Elettronica/Paypal)
Stesse problematiche relative alla gestione degli strumenti di pagamento (p.e carte di credito)
• Standard PCI-DSS • Linee Guida della Banca d’Italia sugli strumenti di pagamento • FMS (Fraud Management System)
Information Security nel Mobile Payment PwC
aprile 2011 Slide 33
Conclusioni
5 Information Security nel Mobile Payment PwC
aprile 2011 Slide 34
L’accettazione di nuovi metodi di pagamento è basata sulla fiducia tra il cliente ed il payment service provider e sulla trasparenza del processo Per il mantenimento dei requisiti di fiducia e trasparenza è necessario stabilire un ambiente sicuro ed omogeneo, all’interno del quale sia facile comprendere che: • le responsabilità siano assegnate; • le problematiche di sicurezza siano governate; • le transazioni di pagamento siano sicure, comprensibili ed affidabili; • la privacy sia rispettata.
Information Security nel Mobile Payment PwC
aprile 2011 Slide 35
Bibliografia
6 Information Security nel Mobile Payment PwC
aprile 2011 Slide 36
Bibliografia [1] EPC – GSMA. Mobile Contactless Payments Service Management Roles Requirements and Specifications. Doc: EPC 220-08, Version 2.0. October 2010 [2] EPC. WHITE PAPER Mobile PaymentS. 1st edition. Doc. EPC492-09, Version 2.0. June 2010 [3] Smart Card Alliance. Security of Proximity Mobile Payments, Pubblication. Pubblication Number CPMC-09001. May 2009 [4] NFCIP-1 Security Services and Protocol, Cryptography Standard ECDH and AES, ECMA, Dic 2008 [5] A Practical Relay Attack on ISO 14443 Proximity Cards. Gerhard Hancke. 2005
[6] National Payments Plan Consulting on change in UK payments. Payment Council. 2007 [7] Osservatorio NFC & Mobile Payment - School of Management del Politecnico di Milano [8] A practical attack against GPRS/EDGE/UMTS/HSPA mobile data communications. Black Hat DC 2011. David Perez, Jose Pico [9] Attacking NFC Mobile Phones. Collin Mulliner. 2008. http://www.mulliner.org/
Information Security nel Mobile Payment PwC
aprile 2011 Slide 37
Contatti
7 Information Security nel Mobile Payment PwC
aprile 2011 Slide 38
I nostri riferimenti
Gianluca Meardi Director Communications & Media Mobile: +39 346.5007725
[email protected]
Information Security nel Mobile Payment PwC
Fabio Lorenzo Manager Security & Technology Mobile: +39 349.4597547
[email protected]
aprile 2011 Slide 39
Mobile Payment Security: uno sguardo al futuro
This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Advisory S.p.A., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2011 PricewaterhouseCoopers Advisory S.p.A.. All rights reserved. In this document, “PwC” refers to PricewaterhouseCoopers Advisory S.p.A. which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.