Titulo Estágio
Mobile Money Security – Pattern Detection
Áreas de especialidade
Engenharia de Software
Sistemas Inteligentes
Local do Estágio
A definir com o aluno
Enquadramento
Os serviços de Mobile Money que permitem o pagamento através de telemóvel e transferência de pequenas quantias de dinheiro entre pessoas são cada vez mais comuns em algumas geografias. Nos países em desenvolvimento, que não têm uma infraestrutura de pagamento com cartões bancários, os sistemas de Mobile Money são o mecanismo de pagamento mais utilizado no dia-a-dia.
A WIT fornece sistemas e aplicações para operadores de telecomunicações, onde se incluem aplicações de Mobile Money em países onde este sistema de pagamentos é mais usado para transacções comerciais.
Através da experiência na operação destes sistemas, estão frequentemente a ser reportados ataques, tanto de um ponto de vista técnico, com ataques de engenharia social.
A implementação de mecanismos de detecção de padrões em ataques numa plataforma de Mobile Money é uma funcionalidade muito importante para a criação de um sistema seguro e que transmita confiança. Este é o objectivo deste estágio: estudar a validar técnicas para detecção de padrões de ataques de segurança numa plataforma de micro-pagamentos mobile.
Sobre a Empresa:
A WIT desenvolve software para Operadores de Telecomunicações de vários continentes, tais como o Grupo Vodafone (Europa), Deutsche Telekom (Alemanha), Reliance Jio (India), KDDI, Softbank, NTT Docomo (Japão), Verizon, AT&T, T-Mobile, Sprint (USA), Singtel (Singapura), Telstra (Australia), Unitel (Angola), Eir (Irlanda) e Everything Everywhere (UK). O software desenvolvido pela WIT está presente em 42 países. A WIT tem escritórios em Portugal e Reino Unido e os seus centros de desenvolvimentos estão localizados em Coimbra, Porto, Leiria e Aveiro.
Objetivo
Este estágio irá fazer uso da informação que tem sido recolhida numa plataforma de mobile Money, que é desenvolvida pela WIT e operado em vários países, de forma a implementar um protótipo de um conjunto de mecanismos para detecção de padrões de ataques.
Os dados que são registados incluem informação sobre acesso geral à aplicação, inscrição no serviço e alteração do dispositivo usado, dados sobre o utilizador e toda a informação sobre as micro-transacções.
Esses dados deverão ser processados para que sejam definidas regras de detecção de ataques, tendo em consideração alguma informação adicional que possa ser acrescentada que seja considerada relevante, como por exemplo a localização, as horas típicas de utilização, a periodicidade das transações, ou informação sobre o dispositivo usado para fazer a transação.
Espera-se que o aluno tenha a autonomia e capacidade crítica necessárias para recolher, analisar e estruturar toda a informação acerca de soluções existentes no mercado. Esta informação deverá ser depois aplicada no desenvolvimento do protótipo, que deverá conter processos devidamente justificados.
De forma a ganhar contexto total, o estagiário será enquadrado no departamento de segurança da WIT e acompanhado pela equipa de segurança. Para que possa ganhar contextualização, durante o processo de estudo do estado-da-arte, deverá também participar no processo de auditoria e elaborar sobre aplicabilidade de certas normas, em especial sobre as seguintes áreas:
1. GDPR: Nos mercados onde o sistema actualmente opera apenas agora a adoptar normas de protecção de dados, pelo que existe a oportunidade de avaliar os processos actuais, no que diz ao processamento de dados pessoais.
2. PCI-DSS: Alguns dos sistemas de Mobile Money já oferecerem serviços de “Cartões Virtuais” para compras online. No entanto, a norma PCI-DSS oferece um conjunto de recomendações bastante relevante para a implementação de um sistema seguro.
3. Revised Directive on Payment Services (PSD2): Como parte da investigação, deverá ser feita uma análise sobre a aplicabilidade das recomendações de PSD2, em particular sobre possíveis alterações ao sistema para migrar de “Two Factor Authentication” para “Multi-Factor Authentication” de acordo com as recomendações na directiva de SCA.
4. OWASP (Open Web Application Security Project): Contexto geral sobre segurança de software com forte incidência nos Mobile Top Ten issues (OWASP Mobile Top Ten). Deverá conhecer os melhores protocolos e algoritmos de forma a assegurar a integridade, confidencialidade e disponibilidade dos dados em trânsito, e localmente.
No final do estágio, espera-se um protótipo funcional com implementação de um conjunto de padrões, que seja facilmente demonstrável e que mostre bem os conceitos explorados durante o estágio.
Plano de Trabalhos - Semestre 1
Para o 1º semestre estão planeadas as seguintes tarefas:
• Estudo sobre o estado da arte.
• Estudo sobre os ataques mais comuns em aplicações de mobile banking (incluindo ataques tendo por base engenharia social).
• Levantamento dos dados actuais e aplicabilidade desses dados para detecção de padrões.
• Relacionamento com casos específicos de ataques.
• Levantamento de potenciais ferramentas de “Complex event processing” que possam ser utilizadas.
• Participação em processos de security assessment.
• Estudo sobre os pontos (GDPR, PCI-DSS, PSD2).
• Elaboração do plano de desenvolvimento.
• Prototipagem de um sistema com regras simples, que possa ser colocado na intersecção de uma transação.
• Preparação dos protótipos para demonstrações internas.
• Documentação intermédia do estágio.
Plano de Trabalhos - Semestre 2
Para o 2º semestre estão planeadas as seguintes tarefas:
• Desenvolvimento de alterações à App móvel para colecção de dados adicionais que possam ser considerados relevantes.
• Implementação de um conjunto de casos especificados durante o 1º semestre, a ser detectados em tempo-real ou em background para alertas ou restrição de transacções.
• Implementação de um dashboard web simples com listagem das condições e dos casos detectados.
• Possibilidade de configuração das percentagens de confiança associadas a cada regra.
• Avaliação do impacto da detecção de padrões na performance do sistema e qual o potencial atraso que adiciona à transacção.
• Preparação do protótipo para demonstrações.
• Testes funcionais.
• Testes de usabilidade.
• Avaliação de requisitos não funcionais.
• Documentação final de estágio.
Condições
O estágio é remunerado. Se o desempenho do aluno ao longo do mês for positivo, terá direito a receber uma bolsa mensal.
Durante o estágio o aluno terá ao seu dispor todos os equipamentos necessários para desempenhar as suas tarefas.
Terá ainda acesso às formações da WIT Academy (que inclui tópicos como: iOS Programming, Android Programming, Arquitecturas de Software, Software Quality, Metodologias de Desenvolvimento de Software).
No final do estágio, será feita uma avaliação do desempenho e dos conhecimentos adquiridos. Se o resultado for positivo o estagiário será convidado para fazer parte da equipa de desenvolvimento.
Neste momento, os colaboradores da WIT encontram-se maioritariamente a trabalhar remotamente e assim prevemos continuar nos próximos meses. Como tal o local de trabalho será o que for definido pelo aluno em concordância com a empresa.
Observações
O acompanhamento do estágio será feito não só pelo orientador mas também por um tutor técnico que dará ao aluno todo o apoio necessário. O Orientador define os requisitos do estágio, define as prioridades do Backlog e acompanha os resultados parciais do projecto. O Tutor dá todo o suporte técnico necessário, garante o cumprimento das tarefas e promove as meetings de acompanhamento do cumprimento dos objectivos.
Será usado SCRUM, como metodologia de desenvolvimento.
Orientador
Antonio Mendes
antonio.mendes@wit-software.com 📩