IBM ser ut til å sikre Internett-banking med USB-stick

IBMs Zürichs forskningslaboratorium har utviklet en USB-pinne som selskapet sier kan sikre sikre banktransaksjoner, selv om en PC er utryddet med skadelig programvare.

En prototype av enheten, kalt ZTIC (Zone Trusted Information Channel) er på displayet for første gang på Cebit messeshow denne uken. IBM håper å lokke bankene til å kjøpe den til nettbank, noe som sparer banker penger på personalkostnader, men er stadig i strid med hackere.

Når den er koblet til en datamaskin, er ZTIC konfigurert til å åpne en sikker SSL-forbindelse (Secure Sockets Layer) med en banks servere, sa Michael Baentsch, produktleder for BlueZ Business Computing ved Zürich-lab.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

ZTIC er også en smartkortleser og kan akseptere En persons bankkort for bekreftelse. Når en PIN-kode (personlig ID-nummer) er bekreftet, kan en transaksjon startes via en nettleser.

Nettlesere er imidlertid et svakhetspunkt for nettbank på grunn av såkalte man-i-midten-angrep.

Hackere har opprettet skadelige programmer enn kan modifisere data som det sendes til en banks webserver, men deretter vise informasjonen forbrukeren hadde til hensikt i nettleseren. Som et resultat kan en persons bankkonto tømmes. Man-i-midten-angrepene er også effektive, selv om bankens kunde bruker en engangspassordgenerator.

ZTIC bytter imidlertid nettleseren og går direkte til banken. Det sikrer at dataene som er utvekslet, er nøyaktige.

For eksempel, si at en bankkund ønsker å overføre penger. Kunden vil legge inn USD 100 i et skjema i nettleseren. Bankens servere vil da prøve å bekrefte beløpet. Under et man-i-midten-angrep er angriperen i stand til å overføre $ 1000, men kan endre bekreftelsesmeldingen for å fortsatt vise $ 100.

Siden den har en direkte sikker forbindelse med bankens servere, viser ZTIC beløpet som faktisk har blitt bedt om å bli sendt. Så selv om nettleseren viser en bekreftelse på $ 100, vil ZTIC vise $ 1000, noe som indikerer et mann-i-midten-angrep pågår, sa Baentsch. Brukeren vil vite om å avvise transaksjonen og trykke på den røde "x" -knappen på ZTIC.

"Hvis malware angriper din banktransaksjon, vil det vise deg noe merkelig har skjedd," sa Baentsch.

IBM utgjorde mye arbeid for å finne ut hvordan man starter en SSL-økt i en USB-pinne, sa Baentsch. Det krever litt behandlingsmuskulatur, og siden USB går uavhengig av PCen, har den ikke tilgang til datamaskinens prosessor.

ZTIC bruker en chip fra mikroprosessor designer ARM, og programvaren er designet slik at den raskt kan etablere en SSL-økten, sa Baentsch. Selv om det er en minnepinne, kan ingen data lagres på den, noe som også hindrer ondsinnet programvare fra å infisere det.

Bruke ZTIC vil også forhindre phishing-angrep, der et bedragerisk nettsted forsøker å fremkalle følsomme detaljer fra en bruker, og pharming angrep, der DNS-innstillinger (Domain Name System) har blitt manipulert, sa Baentsch. ZTIC kontrollerer at nettstedet har et gyldig sikkerhetssertifikat.

IBM har interne tall om hvor mye ZTIC kan koste for banker, men Baentsch vil ikke avsløre dem, og sier at det vil avhenge av de endelige designspesifikasjonene for ZTIC og andre faktorer.