IBM kijkt naar veilig internetbankieren met USB-stick

IBM's onderzoekslaboratorium in Zürich een USB-stick heeft ontwikkeld waarvan het bedrijf zegt dat het veilige banktransacties kan waarborgen, zelfs als een pc vol zit met malware.

Een prototype van het apparaat, genaamd ZTIC (Zone Trusted Information Channel), is deze week voor het eerst te zien op de Cebit-beurs. IBM hoopt banken ertoe aan te zetten het voor online bankieren te kopen, wat banken geld bespaart op personeelskosten, maar wordt voortdurend onder vuur genomen door hackers.

Wanneer ZTIC op een computer is aangesloten, is het geconfigureerd om een ​​veilige SSL-verbinding (Secure Sockets Layer) te openen met de servers van een bank, zei Michael Baentsch, productmanager voor BlueZ Business Computing bij het labo in Zürich.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

ZTIC is ook een smartcard-lezer en kan accepteren iemands bankkaart ter verificatie. Nadat een PIN-code (persoonlijk identificatienummer) is geverifieerd, kan een transactie worden gestart via een webbrowser.

Webbrowsers vormen echter een zwakte voor online bankieren vanwege zogenaamde man-in-the-middle-aanvallen.

Hackers hebben kwaadaardige softwareprogramma's gemaakt die gegevens kunnen wijzigen wanneer deze naar de webserver van een bank worden verzonden, maar vervolgens de informatie weergeven die de consument in de browser heeft bedoeld. Als gevolg hiervan kan iemands bankrekening worden geleegd. Man-in-the-middle-aanvallen zijn ook effectief, zelfs als de klant van de bank een eenmalige wachtwoordgenerator gebruikt.

De ZTIC omzeilt echter de browser en gaat rechtstreeks naar de bank. Het zorgt ervoor dat de uitgewisselde gegevens kloppen.

Stel bijvoorbeeld dat een bankklant geld wil overboeken. De klant voert US $ 100 in een formulier in de browser in. De servers van de bank proberen vervolgens het bedrag te bevestigen. Tijdens een man-in-the-middle-aanval kan de aanvaller $ 1.000 overboeken, maar kan het bevestigingsbericht wijzigen om nog steeds $ 100 te tonen.

Omdat het een directe beveiligde verbinding heeft met de servers van de bank, geeft de ZTIC het bedrag weer die daadwerkelijk is gevraagd om te worden verzonden. Dus zelfs als de browser een bevestiging voor $ 100 geeft, toont de ZTIC $ 1.000, wat aangeeft dat er een man-in-the-middle aanval gaande is, zei Baentsch. De gebruiker zou het weten om de transactie te weigeren en op de rode "x" -knop op de ZTIC te drukken.

"Als malware uw online banktransactie aan het aanvallen is, zal het u laten zien dat er iets vreemds is gebeurd," zei Baentsch.

IBM heeft veel moeite gedaan om een ​​SSL-sessie op een USB-stick te starten, zei Baentsch. Het kost wat processorkracht en aangezien de USB onafhankelijk van de pc werkt, heeft deze geen toegang tot de processor van de computer.

ZTIC gebruikt een chip van microprocessor-ontwerper ARM en de software is zo ontworpen dat het snel een SSL-sessie, zei Baentsch. Hoewel het een geheugenstick is, kunnen er geen gegevens op worden opgeslagen, waardoor ook wordt voorkomen dat schadelijke software deze infecteert.

Het gebruik van ZTIC zou ook phishing-aanvallen voorkomen, waarbij een frauduleuze website gevoelige details van een gebruiker probeert te ontlokken, en pharming-aanvallen, waarbij geknoeid is met DNS-instellingen (Domain Name System), zei Baentsch. ZTIC controleert of de website een geldig beveiligingscertificaat heeft.

IBM heeft interne cijfers over hoeveel de ZTIC voor banken zou kunnen kosten, maar Baentsch zou ze niet prijsgeven en zei dat dit afhing van de definitieve ontwerpspecificaties van de ZTIC en andere factoren.