IBM se străduiește să asigure Internet Banking cu USB stick

Laboratorul de cercetare IBM din Zurich a dezvoltat un stick USB despre care compania spune că poate asigura tranzacții bancare în siguranță chiar dacă un PC este plin de malware.

Un prototip al dispozitivului, denumit ZTIC (Zone Trusted Information Channel) este afișat pentru prima dată la expoziția Cebit săptămâna aceasta. IBM speră să atragă băncile să-l cumpere pentru servicii bancare online, ceea ce economisește bani băncilor cu privire la costurile de personal, dar este constant ascutat de hackeri.

Când este conectat la un computer, ZTIC este configurat să deschidă o conexiune securizată SSL (Secure Sockets Layer) cu serverele unei bănci, a declarat Michael Baentsch, manager de produs pentru BlueZ Business Computing la laboratorul din Zurich.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

ZTIC este de asemenea un cititor de carduri inteligente cardul unei persoane pentru verificare. Odată ce un PIN (număr de identificare personală) este verificat, o tranzacție poate fi inițiată printr-un browser web.

Navigatorii web sunt totuși un punct de slăbiciune pentru serviciile bancare online din cauza așa-numitelor atacuri man-in-the-middle.

Hackerii au creat programe software rău intenționate decât pot modifica datele în timp ce sunt trimise la serverul Web al unei bănci, dar apoi afișează informațiile pe care consumatorul le-a intenționat în browser. În consecință, contul bancar al unei persoane ar putea fi golit. Atacurile de tip "man-in-the-middle" sunt de asemenea eficiente chiar dacă clientul băncii utilizează un generator de parole unice.

ZTIC, totuși, ocolește browser-ul și merge direct la bancă. Se asigură că datele schimbate sunt corecte.

De exemplu, spuneți că un client bancar dorește să transfere bani. Clientul va introduce US $ 100 într-un formular din browser. Serverele băncii vor încerca apoi să confirme suma. În timpul unui atac la mijloc, atacatorul poate transfera 1.000 $, dar poate modifica mesajul de confirmare pentru a afișa încă 100 $.

Deoarece are o conexiune directă securizată cu serverele băncii, ZTIC va afișa suma că de fapt a fost cerut să fie trimis. Deci, chiar dacă browserul arată o confirmare de 100 USD, ZTIC va afișa 1.000 de dolari, indicând un atac de tip "man-in-the-middle" în desfășurare, a spus Baentsch. Utilizatorul ar ști să respingă tranzacția și să apese butonul roșu "x" de pe ZTIC.

"Dacă malware-ul atacă tranzacția dvs. bancar online, vă va arăta ceva ciudat", a spus Baentsch. a depus o mulțime de eforturi pentru a stabili cum să inițieze o sesiune SSL în cadrul unui stick USB, a spus Baentsch. Este nevoie de o prelucrare a mușchiului și, deoarece USB rulează independent de PC, nu are acces la procesorul calculatorului.

ZTIC utilizează un chip de la designerul microprocesor ARM, iar software-ul a fost proiectat astfel încât să poată stabili rapid Sesiune SSL, a spus Baentsch. Deși este un stick de memorie, nu pot fi stocate date, ceea ce previne și infectarea software-ului rău intenționat.

Utilizarea ZTIC ar împiedica, de asemenea, atacurile phishing, în cazul în care un site web fraudulos încearcă să obțină detalii delicate de la un utilizator; atacurile de tip pharming, unde setările DNS (Domain Name System) au fost modificate, a spus Baentsch. ZTIC verifică dacă site-ul web are un certificat de securitate valabil.

IBM are cifre interne cu privire la cât de mult ar putea costa ZTIC pentru bănci, dar Baentsch nu le-ar dezvălui, spunând că ar depinde de specificațiile finale de proiectare ZTIC și alți factori.