Az IBM úgy tervezi, hogy biztonságos internetes banki szolgáltatást biztosít

Az IBM zürichi kutató laboratóriumában olyan USB-állományt fejlesztett ki, amelyet a vállalat biztonságos banki tranzakciókat biztosít, még akkor is, ha egy számítógép rosszindulatú programokkal rendelkezik.

Az eszköz prototípusa, a ZTIC (zóna megbízható információs csatorna) első alkalommal jelenik meg a Cebit szakkiállításon ezen a héten. Az IBM arra buzdítja a bankokat, hogy megvásárolják azt az online banki szolgáltatásokért, ami pénzt takarít meg a személyi költségekre, de folyamatosan ostromolják a hackerek.

A számítógéphez csatlakoztatva a ZTIC biztonságos SSL (Secure Sockets Layer) egy bank szerverével - mondta Michael Baentsch, a BlueZ Business Computing termékmenedzsere a zürichi laboratóriumban.

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

A ZTIC egy intelligens kártyaolvasó is, egy személy bankkártyája az ellenőrzéshez. Miután a PIN kódot (személyi azonosítószám) ellenőrizték, a tranzakció egy webböngészőn keresztül kezdeményezhető.

A webböngészők azonban az online banki szolgáltatások gyengeségei közé tartoznak az úgynevezett "man-in-the-middle" támadások miatt.

A hackerek rosszindulatú szoftvereket hoztak létre, mint amelyek módosíthatják az adatokat, mivel a bank webszerverére küldenek, de ezután megjelenik a böngésző által a fogyasztónak szánt információk. Ennek eredményeképpen egy személy bankszámláját ki lehet üríteni. Középső támadások akkor is hatékonyak, ha a bank ügyfele egyszeri jelszavas generátort használ.

A ZTIC azonban megkerüli a böngészőt, és közvetlenül a bankhoz lép. Biztosítja, hogy a kicserélt adatok pontosak legyenek.

Például azt mondja, hogy a banki ügyfél pénzeket kíván átutalni. Az ügyfél 100 USD-t fog bevinni egy űrlapba a böngészőben. A bank szerverei ezután megpróbálják megerősíteni az összeget. Középső támadás esetén a támadó képes 1000 dollár átvitelére, de módosíthatja a megerősítő üzenetet, hogy továbbra is 100 dollár értéket mutasson.

Mivel közvetlen kapcsolat áll rendelkezésre a bank szervereivel, a ZTIC megmutatja az összeget amelyet ténylegesen megkértek, hogy elküldjék. Tehát még akkor is, ha a böngésző 100 dollárra vonatkozó visszaigazolást mutat, a ZTIC 1000 dollárt mutat, jelezve, hogy a támadás folyamatban van - mondta a Baentsch. A felhasználó tudta, hogy elutasítja a tranzakciót, és megnyomja a piros "x" gombot a ZTIC-en.

"Ha rosszindulatú program támadja az online banki tranzakciót, megmutatja valami furcsa történést" - mondta Baentsch. sok erőfeszítést fordítottak arra, hogy megmutassák, hogyan kezdeményezhetnek SSL-ülést egy USB-eszközön belül, mondta Baentsch. Néhány feldolgozó izom vesz igénybe, és mivel az USB a számítógéptől függetlenül működik, nem fér hozzá a számítógép processzorához.

A ZTIC chipet használ a mikroprocesszoros tervező ARM-től, és a szoftvert úgy tervezték, hogy gyorsan létrehozhasson egy SSL session, mondta Baentsch. Bár ez egy memóriakártya, az adatok nem tárolhatók rajta, ami megakadályozza a rosszindulatú szoftverek fertőzését is.

A ZTIC használata megakadályozná az adathalászati ​​támadást is, ahol a csaló webhely megpróbálja kiszűrni a felhasználó érzékeny részleteit, és pharming támadások, ahol a DNS (Domain Name System) beállításokat manipulálták, Baentsch mondta. A ZTIC ellenőrzi, hogy a webhely érvényes biztonsági tanúsítvánnyal rendelkezik-e.

Az IBM-nek van belső adatai arra vonatkozóan, hogy a ZTIC mennyit költ a bankok számára, de a Baentsch nem árulja el őket, azt állítva, hogy ez függ a végleges tervezési előírásoktól a ZTIC és egyéb tényezők.