IBM cerca di proteggere Internet Banking con chiavetta USB

Il laboratorio di ricerca di Zurigo di IBM ha sviluppato una chiavetta USB che secondo l'azienda può garantire transazioni bancarie sicure anche se un PC è pieno di malware.

Un prototipo del dispositivo, chiamato ZTIC (Zone Trusted Information Channel), è in mostra per la prima volta alla fiera Cebit questa settimana. IBM spera di invogliare le banche a comprarlo per l'online banking, risparmiando denaro sulle banche, ma è costantemente sotto assedio dagli hacker.

Quando collegato a un computer, ZTIC è configurato per aprire una connessione SSL sicura (Secure Sockets Layer) con i server di una banca, ha dichiarato Michael Baentsch, product manager per BlueZ Business Computing al laboratorio di Zurigo.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

ZTIC è anche un lettore di smart card e può accettare la carta di credito di una persona per la verifica. Una volta verificato il PIN (numero di identificazione personale), una transazione può essere avviata tramite un browser Web.

I browser Web, tuttavia, sono un punto debole per il banking online a causa dei cosiddetti attacchi man-in-the-middle.

Gli hacker hanno creato programmi software dannosi che possono modificare i dati mentre vengono inviati al server Web di una banca, ma poi visualizzare le informazioni che l'utente intende nel browser. Di conseguenza, il conto bancario di una persona potrebbe essere svuotato. Gli attacchi man-in-the-middle sono efficaci anche se il cliente della banca utilizza un generatore di password monouso.

Lo ZTIC, tuttavia, ignora il browser e va direttamente alla banca. Garantisce che i dati scambiati siano accurati.

Ad esempio, supponiamo che un cliente di una banca desideri trasferire denaro. Il cliente inserirà $ 100 in un modulo nel browser. I server della banca cercheranno quindi di confermare l'importo. Durante un attacco man-in-the-middle, l'attaccante è in grado di trasferire $ 1,000 ma può modificare il messaggio di conferma per mostrare ancora $ 100.

Dal momento che ha una connessione sicura diretta con i server della banca, lo ZTIC mostrerà l'importo che in realtà è stato richiesto di essere inviato. Quindi, anche se il browser mostra una conferma per $ 100, lo ZTIC mostrerà $ 1.000, indicando un attacco man-in-the-middle in corso, ha detto Baentsch. L'utente saprebbe rifiutare la transazione e premere il pulsante rosso "x" sullo ZTIC.

"Se il malware sta attaccando la tua transazione bancaria online, ti mostrerà qualcosa di strano è successo", ha detto Baentsch.

IBM ha speso un sacco di sforzi per capire come avviare una sessione SSL all'interno di una chiavetta USB, ha affermato Baentsch. Ci vuole un po 'di elaborazione muscolare, e dal momento che l'USB funziona indipendentemente dal PC, non ha accesso al processore del computer.

ZTIC usa un chip dal ARM del microprocessore, e il software è stato progettato in modo da poter stabilire rapidamente un Sessione SSL, ha detto Baentsch. Anche se si tratta di una memory stick, non è possibile archiviare alcun dato, che impedisce anche al software dannoso di infettarlo.

L'uso di ZTIC previene anche gli attacchi di phishing, laddove un sito Web fraudolento tenta di ottenere dettagli sensibili da un utente e attacchi di pharming, in cui le impostazioni DNS (Domain Name System) sono state manomesse, ha affermato Baentsch. ZTIC verifica che il sito Web abbia un certificato di sicurezza valido.

IBM ha dati interni su quanto potrebbe essere il costo della ZTIC per le banche, ma Baentsch non li rivelerebbe, dicendo che dipenderebbe dalle specifiche di progetto finali di il ZTIC e altri fattori.