IBM chce zabezpieczyć bankowość internetową za pomocą USB Stick

Laboratorium badawcze IBM w Zurychu opracowało pamięć USB, która według firmy może zapewnić bezpieczne transakcje bankowe, nawet jeśli komputer jest zainfekowany złośliwym oprogramowaniem.

Prototyp urządzenia o nazwie ZTIC (Zone Trusted Information Channel), jest wyświetlany po raz pierwszy na targach Cebit w tym tygodniu. IBM ma nadzieję, że zachęci banki do zakupu go na bankowość online, co oszczędza bankom pieniędzy na koszty osobowe, ale jest nieustannie atakowane przez hakerów.

Po podłączeniu do komputera, ZTIC jest skonfigurowany do otwierania bezpiecznego połączenia SSL (Secure Sockets Layer) z serwerami banku, powiedział Michael Baentsch, menedżer produktu dla BlueZ Business Computing w laboratorium w Zurychu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

ZTIC jest również czytnikiem kart inteligentnych i może akceptować karta bankowa osoby do weryfikacji. Po zweryfikowaniu numeru PIN (osobistego numeru identyfikacyjnego) można zainicjować transakcję za pomocą przeglądarki internetowej.

Przeglądarki internetowe są jednak słabością bankowości internetowej z powodu tak zwanych ataków typu "man-in-the-middle".

Hakerzy stworzyli złośliwe oprogramowanie, które może modyfikować dane podczas wysyłania ich na serwer internetowy banku, a następnie wyświetlać informacje, które konsument zamierzał umieścić w przeglądarce. W rezultacie można opróżnić konto bankowe osoby. Ataki typu "man-in-the-middle" są skuteczne nawet wtedy, gdy klient banku używa jednorazowego generatora haseł.

ZTIC jednak omija przeglądarkę i trafia bezpośrednio do banku. Zapewnia to dokładność danych.

Na przykład, powiedz, że klient banku chce przelać pieniądze. Klient wprowadzi 100 USD do formularza w przeglądarce. Serwery banku następnie spróbują potwierdzić kwotę. Podczas ataku man-in-the-middle atakujący może przelać 1000 $, ale może zmodyfikować komunikat potwierdzający, aby nadal pokazywać 100 $.

Ponieważ ma bezpośrednie bezpośrednie połączenie z serwerami banku, ZTIC pokaże kwotę który faktycznie został wysłany. Więc nawet jeśli przeglądarka wyświetli potwierdzenie za 100 USD, ZTIC pokaże 1000 USD, wskazując na trwający atak pośredniczący, powiedział Baentsch. Użytkownik wiedziałby, że odrzucił transakcję i wcisnął czerwony przycisk "x" w ZTIC.

"Jeśli złośliwe oprogramowanie atakuje twoją transakcję bankową online, pokaże ci coś dziwnego," powiedział Baentsch.

IBM Poświęcili wiele wysiłku, aby dowiedzieć się, jak zainicjować sesję SSL w pamięci USB, powiedział Baentsch. To zajmuje trochę przetwarzania mięśni, a ponieważ USB działa niezależnie od komputera, nie ma dostępu do procesora komputera.

ZTIC używa chipa od mikroprocesora projektanta ARM, a oprogramowanie zostało tak zaprojektowane, aby mogło szybko ustanowić Sesja SSL, powiedział Baentsch. Mimo że jest to pamięć przenośna, nie można na niej przechowywać żadnych danych, co również zapobiega infekowaniu go przez złośliwe oprogramowanie.

Używanie ZTIC zapobiegałoby również atakom typu phishing, w przypadku których fałszywa witryna internetowa próbuje uzyskać poufne dane od użytkownika, oraz ataki typu "pharming", w których ustawienia DNS (Domain Name System) zostały zmodyfikowane, powiedział Baentsch. ZTIC sprawdza, czy witryna sieci Web ma ważny certyfikat bezpieczeństwa.

IBM posiada wewnętrzne dane na temat tego, ile ZTIC może kosztować banki, ale firma Baentsch nie ujawnia ich, twierdząc, że będzie to zależało od ostatecznych specyfikacji projektu. ZTIC i inne czynniki.