Η IBM ψάχνει για ασφαλή Internet Banking με USB Stick

Το ερευνητικό εργαστήριο της Ζυρίχης της IBM έχει αναπτύξει ένα stick USB που η εταιρεία λέει ότι μπορεί να εξασφαλίσει ασφαλείς τραπεζικές συναλλαγές ακόμη και αν ένας υπολογιστής είναι γεμάτος με κακόβουλο λογισμικό.

Ένα πρωτότυπο της συσκευής, που ονομάζεται Ζώνη Trusted Information Channel. παρουσιάζεται για πρώτη φορά στην εμπορική έκθεση Cebit αυτή την εβδομάδα. Η IBM ελπίζει να προσελκύσει τις τράπεζες να την αγοράσουν για ηλεκτρονική τραπεζική, η οποία εξοικονομεί χρήματα στις τράπεζες για τα έξοδα προσωπικού, αλλά είναι συνεχώς υπό πολιορκία από τους χάκερς.

Όταν συνδεθεί σε έναν υπολογιστή, το ZTIC έχει ρυθμιστεί ώστε να ανοίγει μια ασφαλή σύνδεση SSL (Secure Sockets Layer) με τους διακομιστές μιας τράπεζας, δήλωσε ο Michael Baentsch, υπεύθυνος προϊόντων για το BlueZ Business Computing στο εργαστήριο της Ζυρίχης.

Το ZTIC είναι επίσης ένας αναγνώστης έξυπνων καρτών και μπορεί να δεχθεί την τραπεζική κάρτα ενός ατόμου για επαλήθευση. Μόλις επαληθευτεί ένας αριθμός PIN (προσωπικός αριθμός αναγνώρισης), μια συναλλαγή μπορεί να ξεκινήσει μέσω ενός προγράμματος περιήγησης στο Web.

Τα προγράμματα περιήγησης στο Web αποτελούν, ωστόσο, σημείο αδυναμίας για ηλεκτρονικές τραπεζικές συναλλαγές λόγω των λεγόμενων επιθέσεων "man-in-the-middle".

Οι χάκερ έχουν δημιουργήσει προγράμματα κακόβουλου λογισμικού από ό, τι μπορούν να τροποποιήσουν δεδομένα καθώς αποστέλλονται στον εξυπηρετητή Web μιας τράπεζας, αλλά στη συνέχεια εμφανίζουν τις πληροφορίες που προορίζονται για τον καταναλωτή στο πρόγραμμα περιήγησης. Ως αποτέλεσμα, ο τραπεζικός λογαριασμός ενός ατόμου θα μπορούσε να εκκενωθεί. Οι επιθέσεις "man-in-the-middle" είναι επίσης αποτελεσματικές ακόμη και αν ο πελάτης της τράπεζας χρησιμοποιεί μια γεννήτρια κωδικού πρόσβασης μία φορά.

Το ZTIC παρακάμπτει το πρόγραμμα περιήγησης και πηγαίνει κατευθείαν στην τράπεζα. Εξασφαλίζει ότι τα δεδομένα που ανταλλάσσονται είναι ακριβή.

Για παράδειγμα, λέτε ότι ένας πελάτης της τράπεζας θέλει να μεταφέρει χρήματα. Ο πελάτης θα εισάγει US $ 100 σε μια φόρμα στο πρόγραμμα περιήγησης. Οι διακομιστές της τράπεζας θα προσπαθήσουν στη συνέχεια να επιβεβαιώσουν το ποσό. Κατά τη διάρκεια μιας επίθεσης από τον άνθρωπο στη μέση, ο εισβολέας μπορεί να μεταφέρει $ 1.000, αλλά μπορεί να τροποποιήσει το μήνυμα επιβεβαίωσης για να εμφανίσει ακόμα $ 100.

Δεδομένου ότι έχει άμεση ασφαλή σύνδεση με τους διακομιστές της τράπεζας, το ZTIC θα εμφανίσει το ποσό ότι έχει πράγματι ζητηθεί να σταλεί. Έτσι, ακόμη και αν το πρόγραμμα περιήγησης παρουσιάσει μια επιβεβαίωση για $ 100, το ZTIC θα δείξει $ 1.000, υποδεικνύοντας ότι η επίθεση του ανθρώπου στη μέση βρίσκεται σε εξέλιξη, δήλωσε ο Baentsch. Ο χρήστης θα ήξερε να απορρίψει τη συναλλαγή και να πατήσει το κόκκινο κουμπί "x" στο ZTIC.

"Αν το κακόβουλο λογισμικό επιτεθεί στην ηλεκτρονική τραπεζική σας συναλλαγή, θα σας δείξει κάτι παράξενο", δήλωσε ο Baentsch. κατέβαλε μεγάλη προσπάθεια για να καταλάβει πώς να ξεκινήσει μια συνεδρία SSL μέσα σε ένα stick USB, δήλωσε ο Baentsch. Χρειάζεται κάποια επεξεργασία των μυών και δεδομένου ότι το USB τρέχει ανεξάρτητα από τον υπολογιστή, δεν έχει πρόσβαση στον επεξεργαστή του υπολογιστή.

Το ZTIC χρησιμοποιεί ένα τσιπ από σχεδιαστή ARM του μικροεπεξεργαστή και το λογισμικό έχει σχεδιαστεί έτσι ώστε να μπορεί να δημιουργήσει γρήγορα SSL, είπε ο Baentsch. Παρόλο που πρόκειται για ένα Memory Stick, δεν μπορούν να αποθηκευτούν δεδομένα, τα οποία επίσης αποτρέπουν την προσβολή του κακόβουλου λογισμικού.

Η χρήση του ZTIC θα μπορούσε επίσης να αποτρέψει επιθέσεις phishing, όπου μια πλατφόρμα Web προσπαθεί να αποσπάσει ευαίσθητα στοιχεία από έναν χρήστη pharming επιθέσεις, όπου DNS (Domain Name System) ρυθμίσεις έχουν αλλοιωθεί, Baentsch είπε. Το ZTIC ελέγχει για να βεβαιωθεί ότι η τοποθεσία Web διαθέτει έγκυρο πιστοποιητικό ασφαλείας.

Η IBM έχει εσωτερικά στοιχεία για το πόσο μπορεί να κοστίσει το ZTIC για τις τράπεζες, αλλά η Baentsch δεν θα τους αποκαλύψει, λέγοντας ότι θα εξαρτηθεί από τις τελικές προδιαγραφές σχεδιασμού το ZTIC και άλλους παράγοντες.