IBM odottaa suojaavan Internet-pankkitoimintaa USB-muistilla

IBM: n Zürichin tutkimuslaboratorio on kehittänyt USB-muistitikun, jonka avulla yritys voi varmistaa turvallisen pankkitoiminnan, vaikka tietokoneessa olisi haittaohjelmia.

Laitteen prototyyppi, ZTIC (Zone Trusted Information Channel) on esillä ensimmäistä kertaa Cebit-messuilla tällä viikolla.

Tietokoneen ollessa kytkettynä ZTIC on määritetty avaamaan suojattu SSL (Secure Sockets Layer) -yhteys pankin palvelimilla, sanoi Michael Baentsch, BlueZ Business Computingin tuotepäällikkö Zurich-laboratoriossa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

ZTIC on myös älykortinlukija ja voi hyväksyä henkilön pankkikortti vahvistusta varten. Kun PIN-koodi (henkilökohtainen tunnistenumero) on vahvistettu, liiketoimi voidaan aloittaa verkkoselaimen avulla.

Verkkoselaimet ovat kuitenkin heikko verkkopankin takia ns. Man-in-the-middle-hyökkäyksissä.

Hakkerit ovat luoneet haittaohjelmia, jotka voivat muokata tietoja, kun ne lähetetään pankin Web-palvelimelle, mutta näyttävät selaimelle tarkoitetut tiedot. Tämän seurauksena henkilön pankkitili voidaan tyhjentää. Man-in-the-middle-hyökkäykset ovat myös tehokkaita, vaikka pankin asiakas käyttää yhtäaikaista salasanasuojainta.

ZTIC kuitenkin ohittaa selaimen ja siirtyy suoraan pankkiin. Se varmistaa, että vaihdetut tiedot ovat tarkkoja.

Esimerkiksi sanotaan, että pankin asiakas haluaa siirtää rahaa. Asiakas syöttää US $ 100 lomakkeen selaimeen. Pankin palvelimet yrittävät sitten vahvistaa määrän. Hyökkääjä pystyy siirtämään 1000 dollaria, mutta voi muokata vahvistusviestiä vielä 100 dollarin verran.

Koska pankilla on suora suojattu yhteys pankin palvelimiin, ZTIC näyttää summan joka todella on pyydetty lähettämään. Joten vaikka selaimessa näytetään 100 dollarin vahvistus, ZTIC näyttää 1000 dollaria, mikä viittaa meneillään olevaan mies-in-the-middle-hyökkäykseen, Baentsch sanoi.

"Jos haittaohjelmat hyökkäävät verkkopankkisi tapahtumaa, se näyttää, että jotain outoa on tapahtunut", Baentsch sanoi.

IBM käytti paljon työtä hahmottaakseen SSL-istunnon käynnistämisen USB-muistissa, Baentsch sanoi. Se vie jonkin verran jalostuslihaa, ja koska USB toimii tietokoneesta riippumatta, sillä ei ole pääsyä tietokoneen prosessoriin.

ZTIC käyttää sirua mikroprosessorin suunnittelija ARM: ltä ja ohjelmisto on suunniteltu siten, että se pystyy nopeasti luomaan SSL-istunto, Baentsch sanoi. Vaikka se on muistitikku, sille ei voi tallentaa tietoja, mikä estää myös haittaohjelmien tarttumisen.

ZTIC: n käyttö estäisi myös phishing-hyökkäykset, joissa petollinen verkkosivusto yrittää saada aikaan arkaluonteisia tietoja käyttäjältä. Pharming-hyökkäyksiä, joissa DNS (Domain Name System) -asetuksia on vioittunut, Baentsch sanoi.

IBM: llä on sisäiset luvut siitä, kuinka paljon ZTIC saattaa maksaa pankeille, mutta Baentsch ei paljasta niitä, sanoen, että se riippuisi lopullisista suunnittelutavoitteista ZTIC ja muut tekijät.