IBM will Internet-Banking mit USB-Stick sichern

Das IBM Forschungszentrum in Zürich hat einen USB-Stick entwickelt, der nach Angaben des Unternehmens sichere Banktransaktionen auch dann gewährleisten kann, wenn ein PC mit Malware durchsetzt ist.

Ein Prototyp des Geräts namens ZTIC (Zone Trusted Information Channel) wird diese Woche erstmals auf der Cebit Messe gezeigt. IBM hofft, die Banken dazu zu bringen, es für das Online-Banking zu kaufen, was den Banken Geld für Personalkosten spart, aber ständig von Hackern belagert wird.

Wenn ZTIC an einen Computer angeschlossen wird, wird eine sichere SSL-Verbindung (Secure Sockets Layer) eingerichtet mit den Servern einer Bank, sagte Michael Baentsch, Produktmanager für BlueZ Business Computing im Labor Zürich.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

ZTIC ist auch ein Smartcard-Leser und kann akzeptieren die Bankkarte einer Person zur Überprüfung. Sobald eine PIN (persönliche Identifikationsnummer) verifiziert ist, kann eine Transaktion über einen Web-Browser ausgelöst werden.

Web-Browser sind jedoch ein Schwachpunkt für Online-Banking aufgrund sogenannter Man-in-the-Middle-Angriffe.

Hacker haben bösartige Softwareprogramme erstellt, die die Daten nicht ändern können, wenn sie an den Webserver einer Bank gesendet werden, sondern sie zeigen dann die Informationen an, die der Verbraucher im Browser beabsichtigt hat. Infolgedessen konnte das Bankkonto einer Person geleert werden. Man-in-the-Middle-Angriffe sind auch dann wirksam, wenn der Kunde der Bank einen einmaligen Passwortgenerator verwendet.

Der ZTIC umgeht jedoch den Browser und geht direkt zur Bank. Es stellt sicher, dass die ausgetauschten Daten korrekt sind.

Sagen Sie beispielsweise, ein Bankkunde möchte Geld überweisen. Der Kunde wird 100 US-Dollar in ein Formular im Browser eingeben. Die Server der Bank versuchen dann, den Betrag zu bestätigen. Während eines Man-in-the-Middle-Angriffs kann der Angreifer $ 1.000 übertragen, aber die Bestätigungsnachricht so ändern, dass immer noch 100 $ angezeigt werden.

Da der ZTIC eine direkte sichere Verbindung mit den Servern der Bank hat, zeigt er den Betrag an das wurde tatsächlich angefordert, um gesendet zu werden. Selbst wenn der Browser eine Bestätigung für $ 100 zeigt, wird der ZTIC $ 1.000 anzeigen, was auf einen Man-in-the-Middle-Angriff hindeutet, sagte Baentsch. Der Benutzer würde die Transaktion ablehnen und die rote "x" -Taste am ZTIC drücken.

"Wenn Malware Ihre Online-Banking-Transaktion angreift, wird Ihnen zeigen, dass etwas Seltsames passiert ist", sagte Baentsch.

IBM Englisch: www.germnews.de/archive/dn/1996/02/12.html Um eine SSL - Sitzung auf einem USB - Stick zu initiieren, habe Baensch viel Aufwand betrieben. Es braucht etwas Verarbeitung Muskel, und da der USB-unabhängig von dem PC läuft, hat es keinen Zugriff auf den Computer-Prozessor.

ZTIC verwendet einen Chip von Mikroprozessor-Designer ARM, und die Software wurde so konzipiert, dass sie schnell ein SSL-Sitzung, sagte Baentsch. Obwohl es sich um einen Memory Stick handelt, können keine Daten darauf gespeichert werden, wodurch auch eine Infektion durch bösartige Software verhindert wird.

Die Verwendung von ZTIC würde auch Phishing-Angriffe verhindern, bei denen eine betrügerische Website sensible Details von einem Benutzer auslöst Pharming-Angriffe, bei denen DNS (Domain Name System) -Einstellungen manipuliert wurden, sagte Baentsch. ZTIC prüft, ob die Website ein gültiges Sicherheitszertifikat besitzt.

IBM hat interne Zahlen, wie viel die ZTIC für Banken kosten könnte, aber Baentsch würde sie nicht preisgeben, da dies von den endgültigen Designspezifikationen abhängen würde die ZTIC und andere Faktoren.