IBM, USB Stick ile İnternet Bankacılığını Güvene Aldı

IBM'in Zürih araştırma laboratuvarı, bir bilgisayarın zararlı yazılımlarla dolu olsa bile güvenli bankacılık işlemlerini sağlayabileceğini söyleyen bir USB çubuğu geliştirdi.

Cihazın prototipi olan ZTIC (Bölge Güvenilir Bilgi Kanalı), Bu hafta Cebit fuarında ilk kez sergileniyor. IBM, bankaları çevrimiçi bankacılık için kullanmaya ikna etmeyi umuyor; bu da bankaların parasını personel maliyetlerinden kurtarıyor, ancak sürekli olarak bilgisayar korsanları tarafından kuşatılıyor.

ZTIC bir bilgisayara takıldığında güvenli bir SSL (Güvenli Yuva Katmanı) bağlantısı açacak şekilde yapılandırıldı. Bir bankanın sunucuları ile, Zürih Laboratuvarı'nda BlueZ Business Computing ürün yöneticisi Michael Baentsch.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

ZTIC ayrıca bir akıllı kart okuyucusudur ve kabul edebilir Doğrulama için bir kişinin banka kartı. Bir PIN (kişisel kimlik numarası) doğrulandıktan sonra, bir Web tarayıcısı üzerinden bir işlem başlatılabilir.

Web tarayıcıları, ortadaki adam saldırıları olarak adlandırılan çevrimiçi bankacılık için bir zayıflık noktasıdır.

Hackerlar, bir bankanın Web sunucusuna gönderildiği, ancak daha sonra tarayıcıda hedeflenen tüketiciyi görüntüleyen verileri değiştirebileceklerinden daha kötü niyetli yazılım programları oluşturdular. Sonuç olarak, bir kişinin banka hesabı boşaltılabilir. Ortadaki adam saldırıları, bankanın müşterisi bir kerelik şifre üreticisi kullanıyor olsa da etkilidir.

ZTIC, tarayıcıyı atlayıp doğrudan bankaya gider. Değiş tokuş edilen verilerin doğru olmasını sağlar.

Örneğin, bir banka müşterisinin para transfer etmek istediğini söyleyin. Müşteri, tarayıcıda bir formda 100 ABD doları girecektir. Bankanın sunucuları daha sonra miktarı doğrulamaya çalışır. Bir ortadaki adam saldırısı sırasında, saldırgan 1,000 $ transfer edebilir, ancak onay mesajını 100 $ göstermeye devam edebilir.

Banka sunucuları ile doğrudan güvenli bir bağlantıya sahip olduğundan, ZTIC tutarı gösterecektir. Aslında gönderilmesi talep edildi. Baentsch, tarayıcının 100 $ 'lık bir onay göstermesine rağmen, ZTIC'nin ortadaki adamdaki bir saldırıyı gösteren 1000 $ göstereceğini söyledi. Kullanıcı, işlemi reddeder ve ZTIC'deki kırmızı "x" düğmesine basın.

"Kötü amaçlı yazılım çevrimiçi bankacılık işleminize saldırıyorsa, size garip bir şey geldiğini gösterecek," dedi Baentsch.

IBM Baentsch, bir USB çubuğunda bir SSL oturumu başlatmanın nasıl bir yol olduğunu bulmak için çok çaba harcadı. Bazı işlem kasları gerektirir ve USB PC'den bağımsız çalıştığı için bilgisayarın işlemcisine erişemez.

ZTIC mikroişlemci tasarımcısı ARM'den bir çip kullanır ve yazılım hızlı bir şekilde kurulabilmesi için tasarlanmıştır. SSL oturumu, Baentsch dedi. Bir bellek çubuğu olmasına rağmen, üzerinde herhangi bir veri saklanamaz, bu da kötü amaçlı yazılımların onu enfekte etmesini engeller.

ZTIC kullanımı, hileli bir Web sitesinin bir kullanıcıdan hassas ayrıntıları ortaya çıkarmaya çalıştığı kimlik avı saldırılarını da önler ve Baentsch, DNS (Etki Alanı Adı Sistemi) ayarlarının değiştirildiği pharming saldırılarını söyledi. ZTIC, Web sitesinin geçerli bir güvenlik sertifikasına sahip olduğundan emin olmak için kontrol eder.

IBM, ZTIC'nin bankalar için ne kadar mal olabileceğine dair içsel rakamlara sahiptir, ancak Baentsch, bunların nihai tasarım özelliklerine bağlı olacağını söyleyerek bunları açıklamamaktadır. ZTIC ve diğer faktörler.