IBM hledá bezpečný internetový bankovnictví s USB stick

Výzkumná laboratoř IBM v Zurichu vyvinula USB klíčenku, kterou společnost říká, že může zajistit bezpečné bankovní transakce, i když je počítač plný malwaru.

Prototyp zařízení nazývaného ZTIC (Zone Trusted Information Channel) je poprvé vystaven na veletrhu Cebit tento týden. IBM doufá, že přiláká banky, aby je koupily pro online bankovnictví, což šetří banky penězům na personální náklady, ale je stále obklíčeno hackery.

Když je počítač zapojen do počítače, ZTIC je nakonfigurován tak, aby otevřel zabezpečené připojení SSL (Secure Sockets Layer) s bankovními servery, uvedl Michael Baentsch, produktový manažer společnosti BlueZ Business Computing v laboratoři v Curychu.

ZTIC je také čtečka čipových karet a může přijímat bankovní kartu osoby k ověření. Jakmile je ověřen PIN (osobní identifikační číslo), transakce může být iniciována prostřednictvím webového prohlížeče.

Webové prohlížeče jsou však slabým bodem pro on-line bankovnictví kvůli takzvaným útokům typu man-in-the-middle.

Hackeři vytvořili programy škodlivého softwaru, než mohou modifikovat data, když jsou odesílány na webový server banky, ale pak zobrazují informace, které spotřebitel zamýšlel v prohlížeči. V důsledku toho může být bankovní účet osoby vyprázdněn. Man-in-the-middle útoky jsou efektivní i v případě, že zákazník banky používá jednorázový generátor hesel.

ZTIC však obchází prohlížeč a jde přímo do banky. Zajišťuje přesnost vyměňovaných dat.

Například řekněte, že zákazník banky chce přenést peníze. Zákazník zadá 100 USD do formuláře v prohlížeči. Servery banky se poté pokusí potvrdit částku. Během útoku "man-in-the-middle" útočník je schopen převést 1000 dolarů, ale může měnit potvrzovací zprávu, aby stále zobrazoval 100 dolarů.

Protože má přímo zabezpečené spojení se servery banky, ZTIC ukáže částku které bylo skutečně vyžádáno k odeslání. Takže i když prohlížeč zobrazí potvrzení za 100 dolarů, ZTIC ukáže $ 1,000, což naznačuje, že se jedná o útok na člověka ve středu, řekl Baentsch. Uživatel by věděl, že transakci odmítne a stiskne červené tlačítko "x" na ZTIC.

"Pokud malware napadne vaši online bankovní transakci, ukáže vám, že se stalo něco divného," uvedl Baentsch. vynaložil spoustu úsilí, aby zjistil, jak zahájit relaci SSL v USB klíči, řekl Baentsch. Některé svalové procesy zabírají, a protože USB běží nezávisle na počítači, nemá přístup k procesoru počítače.

ZTIC používá čip z mikroprocesorového designeru ARM a software byl navržen tak, aby mohl rychle vytvořit SSL relace, řekl Baentsch. Ačkoli je to paměťová karta, na něm nelze ukládat žádná data, která také zabraňuje infikování škodlivého softwaru.

Použití ZTIC by také zabránilo phishingovým útokům, kdy se podvodný webový server pokusí vyndat citlivé detaily od uživatele a pharming útoky, kde bylo poškozeno nastavení DNS (Domain Name System), řekl Baentsch. ZTIC kontroluje, zda má webový server platný bezpečnostní certifikát.

IBM má interní údaje o tom, kolik by ZTIC mohl stát za banky, ale Baentsch by je nezjistila, že by to záviselo na konečných specifikacích návrhu ZTIC a další faktory.