IBM стремится защитить интернет-банкинг с помощью USB-Stick

Исследовательская лаборатория IBM в Цюрихе разработала USB-накопитель, который, по словам компании, может обеспечить безопасные банковские операции, даже если компьютер пронизан вредоносным ПО.

Прототип устройства, называемый ZTIC (защищенный информацией о зоне) впервые демонстрируется на выставке Cebit на этой неделе. IBM надеется побудить банки покупать ее для онлайн-банкинга, что экономит деньги банков на расходах на персонал, но постоянно находится в осаде хакеров.

При подключении к компьютеру ZTIC настроен на открытие безопасного SSL (Secure Sockets Layer) соединения с серверами банка, сказал Майкл Баенш (Michael Baentsch), менеджер по продуктам BlueZ Business Computing в лаборатории Цюриха.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

ZTIC также является устройством для чтения смарт-карт и может принимать банковскую карточку человека для проверки. После того, как будет подтвержден PIN-код (персональный идентификационный номер), транзакция может быть инициирована через веб-браузер.

Однако веб-браузеры являются слабым местом для онлайн-банкинга из-за так называемых атак типа «человек в центре».

Хакеры создали вредоносные программные программы, чем могут модифицировать данные, поскольку они отправляются на веб-сервер банка, но затем отображают информацию, предназначенную для пользователя в браузере. В результате может быть опустошен банковский счет человека. Атаки «человек в середине» также эффективны, даже если клиент банка использует одноразовый генератор паролей.

ZTIC, однако, обходит браузер и переходит непосредственно в банк. Это гарантирует, что обмен данными будет точным.

Например, скажем, клиент банка хочет перевести деньги. Клиент внесет 100 долларов США в форму в браузере. Затем серверы банка попытаются подтвердить сумму. Во время атаки «человек-в-середине» злоумышленник способен переносить 1000 долларов США, но может модифицировать подтверждающее сообщение, чтобы показать 100 долларов США.

Поскольку он имеет прямое защищенное соединение с серверами банка, ZTIC покажет сумму который был запрошен для отправки. Поэтому, даже если браузер отобразит подтверждение в размере 100 долларов США, ZTIC отобразит 1000 долларов США, указывая на то, что атака «человек в середине» продолжается, сказал Баенц. Пользователь будет знать, чтобы отклонить транзакцию и нажать красную кнопку «x» на ZTIC.

«Если вредоносная программа атакует вашу транзакцию в онлайн-банке, она покажет вам, что произошло что-то странное», - сказал Бэнтш.

IBM потратил много усилий на то, чтобы понять, как инициировать сеанс SSL в USB-накопителе, сказал Баенц. Это требует некоторой обработки мышц, и поскольку USB работает независимо от ПК, он не имеет доступа к процессору компьютера.

ZTIC использует чип от микропроцессорного ARM-проектора, и программное обеспечение было разработано таким образом, что оно может быстро установить SSL, сказал Baentsch. Несмотря на то, что это карта памяти, на ней не может храниться никаких данных, что также предотвращает ее заражение вредоносным программным обеспечением.

Использование ZTIC также предотвратит фишинг-атаки, когда мошеннический веб-сайт пытается выявить конфиденциальные данные у пользователя и аптечных атак, в которых были изменены настройки DNS (Domain Name System), сказал Баенц. ZTIC проверяет, имеет ли веб-сайт действующий сертификат безопасности.

IBM имеет внутренние данные о том, сколько ZTIC может стоить для банков, но Baentsch не будет их раскрывать, заявив, что это будет зависеть от окончательных спецификаций дизайна ZTIC и другие факторы.