IBM ser till att säkra Internetbank med USB-stick

IBMs Zürichs forskningslaboratorium har utvecklat en USB-pinne som företaget säger kan säkerställa säkra banktransaktioner, även om en dator är spridd med skadlig kod.

En prototyp av enheten, kallad ZTIC (Zone Trusted Information Channel) visas för första gången på Cebit-mässan den här veckan. IBM hoppas att locka bankerna att köpa det för internetbank, vilket sparar banker pengar på personalkostnader men ständigt är belägrat av hackare.

När den är ansluten till en dator är ZTIC konfigurerad för att öppna en säker SSL-anslutning (Secure Sockets Layer) med en banks servrar, säger Michael Baentsch, produktchef för BlueZ Business Computing i Zürichs lab.

[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]

ZTIC är också en smart-kortläsare och kan acceptera en persons bankkort för verifiering. När en PIN-kod (personligt identifieringsnummer) har verifierats kan en transaktion initieras via en webbläsare.

Webbläsare är dock en svag punkt för onlinebanker på grund av så kallade man-i-mitten attacker.

Hackers har skapat skadliga program än vad som kan modifiera data som det skickas till en banks webbserver men sedan visa den information som konsumenten tänkt sig i webbläsaren. Som ett resultat kan en persons bankkonto tömmas. Man-i-mitten attacker är också effektiva även om bankens kund använder en engångs lösenordsgenerator.

ZTIC övergår dock webbläsaren och går direkt till banken. Det säkerställer att de utbytta uppgifterna är korrekta.

T.ex. säg att en bankkund vill överföra pengar. Kunden matar in USD 100 till en blankett i webbläsaren. Bankens servrar försöker sedan bekräfta beloppet. Under ett man-i-mitten attack kan angriparen överföra $ 1000, men kan ändra bekräftelsemeddelandet för att fortfarande visa $ 100.

Eftersom ZTIC har en direkt säker anslutning med bankens servrar, visar ZTIC beloppet som faktiskt har begärts att skickas. Så även om webbläsaren visar en bekräftelse på $ 100, kommer ZTIC att visa $ 1000, vilket indikerar en man-i-mitten attack pågår, sa Baentsch. Användaren skulle veta att avvisa transaktionen och trycka på den röda "x" -knappen på ZTIC.

"Om skadlig programvara angriper din online-banktransaktion kommer det att visa dig att något märkligt har hänt," sa Baentsch. utgjorde mycket ansträngning för att räkna hur man initierar en SSL-session inom en USB-minne, sa Baentsch. Det tar lite bearbetningsmuskulatur, och eftersom USB körs oberoende av datorn har den inte åtkomst till datorns processor.

ZTIC använder ett chip från mikroprocessor designer ARM, och mjukvaran har utformats så att den snabbt kan upprätta en SSL-sessionen sa Baentsch. Även om det är en minnepinne, kan ingen data lagras på den, vilket också förhindrar att skadlig programvara infekterar den.

Användning av ZTIC skulle också hindra phishing-attacker, där en bedräglig webbplats försöker framkalla känsliga detaljer från en användare och pharming-attacker, där DNS-inställningar (Domain Name System) har manipulerats, sa Baentsch. ZTIC kontrollerar att webbplatsen har ett giltigt säkerhetscertifikat.

IBM har interna siffror om hur mycket ZTIC kan kosta för banker, men Baentsch skulle inte avslöja dem och säger att det skulle bero på de slutliga konstruktionsspecifikationerna för ZTIC och andra faktorer.