IBM Tumingin sa Secure Internet Banking Sa USB Stick

Ang laboratoryo ng Zurich sa pananaliksik ng IBM ay nakagawa ng isang USB stick na sinasabing ang kumpanya ay maaaring matiyak ang mga ligtas na transaksyon sa pagbabangko kahit na ang PC ay puno ng malware.

Isang prototype ng device, na tinatawag na ZTIC (Zone Trusted Information Channel) ay ipinapakita sa unang pagkakataon sa Cebit trade show ngayong linggo. Ang IBM ay nagnanais na hikayatin ang mga bangko na bilhin ito para sa online banking, na nagse-save ng mga bangko sa pera sa mga gastos sa tauhan ngunit patuloy na napipigilan ng mga hacker.

Kapag naka-plug sa isang computer, ang ZTIC ay naka-configure upang buksan ang isang secure na koneksyon sa SSL (Secure Sockets Layer) sa mga server ng bangko, sinabi ni Michael Baentsch, tagapamahala ng produkto para sa BlueZ Business Computing sa Zurich lab.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

ZTIC ay isa ring smart-card reader at maaaring tanggapin bank card ng isang tao para sa pag-verify. Sa sandaling ang isang PIN (personal identification number) ay napatunayan, ang isang transaksyon ay maaaring sinimulan sa pamamagitan ng isang Web browser. Gayunpaman, ang mga web browser, ay isang punto ng kahinaan para sa online banking dahil sa tinatawag na man-in-the-middle attacks.

Nagtatag ang mga Hacker ng mga malisyosong program ng software kaysa sa maaaring baguhin ang data dahil ipinadala ito sa Web server ng isang bangko ngunit pagkatapos ay ipapakita ang impormasyon na inilalapat ng mamimili sa browser. Bilang isang resulta, ang bank account ng isang tao ay maaaring mawalan ng laman. Epektibo rin ang pag-atake ng tao sa gitna kahit na ang customer ng bangko ay gumagamit ng isang isang beses na password generator.

Gayunpaman, ang ZTIC ay nag-bypass sa browser at direktang pumupunta sa bangko. Tinitiyak nito na tumpak ang data na ipinagpapalit.

Halimbawa, sabihin ng isang customer ng bangko na nais na maglipat ng pera. Ang customer ay magpasok ng US $ 100 sa isang form sa browser. Pagkatapos ay susubukan ng mga server ng bangko na kumpirmahin ang halaga. Sa panahon ng pag-atake ng tao sa gitna, ang magsasalakay ay may kakayahang maglipat ng $ 1,000 ngunit maaaring baguhin ang mensahe ng pagkumpirma upang magpakita pa rin ng $ 100.

Dahil mayroon itong direktang secure na koneksyon sa mga server ng bangko, ipapakita ng ZTIC ang halaga na talagang hiniling na maipadala. Kaya kahit na nagpapakita ang browser ng isang pagkumpirma para sa $ 100, ang ZTIC ay magpapakita ng $ 1,000, na nagpapahiwatig ng pag-atake ng isang tao sa gitna, sinabi ni Baentsch. Alam ng gumagamit na tanggihan ang transaksyon at pindutin ang pindutan ng red "x" sa ZTIC.

"Kung ang malware ay sinasalakay ang iyong transaksyon sa online banking, ipapakita nito sa iyo ang isang bagay na kakaiba ay nangyari," sinabi ni Baentsch. naglaan ng maraming pagsisikap upang malaman kung paano magsimula ng sesyon ng SSL sa loob ng USB stick, sinabi ni Baentsch. Ito ay tumatagal ng ilang pagproseso ng kalamnan, at dahil ang USB ay nagpapatakbo ng independyente sa PC, wala itong access sa processor ng computer.

ZTIC ay gumagamit ng isang maliit na tilad mula sa microprocessor designer ARM, at ang software ay dinisenyo upang mabilis itong makapagtatag ng isang Session ng SSL, sinabi ni Baentsch. Kahit na ito ay isang memory stick, walang data ang maaaring maimbak dito, na pinipigilan din nito ang malisyosong software na maipasok nito.

Ang paggamit ng ZTIC ay makakaapekto rin sa pag-atake sa phishing, kung saan ang isang mapanlinlang na Web site ay sumusubok na makakuha ng mga sensitibong detalye mula sa isang gumagamit, at ang mga pag-atake ng pag-aatake, kung saan ang mga setting ng DNS (Domain Name System) ay binago, sinabi ni Baentsch. Ang mga pagsusuri sa ZTIC upang matiyak na ang Web site ay may wastong sertipiko ng seguridad.

IBM ay may panloob na mga numero kung gaano ang gastos ng ZTIC para sa mga bangko, ngunit hindi ibunyag ni Baentsch ang mga ito, na nagsasabi na ito ay depende sa huling mga pagtutukoy ng disenyo ang ZTIC at iba pang mga kadahilanan.