Berta Sándor
USB-kulcs a biztonságos online bankolásért
Az IBM zürichi kutatólaboratóriumának munkatársai egy, az online banki eljárásokban hasznos adattárolót fejlesztettek ki. A Zone Trusted Information Channel (ZTIC) nevű eszköz leginkább egy kijelzővel és irányítógombokkal ellátott Memory-Stick memóriakártyára hasonlít.
A vállalat szakemberei szerint a készülék alkalmazásával sikeresen kivédhetők a e-banki tranzakciók elleni támadások, sőt ezek még akkor is eredményesen lebonyolíthatók, hogy ha ismeretlenek magát a PC-t vagy a laptopot támadják. Az USB-kulcsot elég csatlakoztatni egy szabad USB-porthoz és közvetlen, biztos kapcsolatot épít ki az adott bank vagy pénzintézet szerveréhez. A ZTIC így megkerüli a felhasználó számítógépét és akkor is eredményesen használható, ha a PC-t vagy a laptopot kémprogramokkal fertőzték meg a támadók.
Az eszköz nemcsak a sikeres bejelentkezést és pénzátutalásokat teszi lehetővé, hanem a segítségével ellenőrizhető és jóvá hagyható a folyószámlán végrehajtott vagy a jövőben végrehajtandó minden pénzmozgás. A ZTIC így jóval biztonságosabb a PIN-kódokat vagy a chipkártyákat használó online banki rendszereknél és véd az úgynevezett Man-In-The-Middle támadásokkal szemben is. Ezekben az akciókban a bűnözők az otthoni PC és a bank szervere közötti adatfolyamot fogják el és csapolják meg, illetve módosítják. A manipulált adatokat a bank az ügyfél általi tranzakciókként könyveli el.
"Az egyre professzionálisabb módon működő hackertársadalom miatt nyilvánvalóvá vált a számunkra, hogy a kizárólag a PC-s szoftvereken alapuló jelenlegi azonosítási eljárások potenciálisan veszélyeztettek és új, innovatív megoldásokra van szükség. Ezt adta a lendületet a ZTIC megalkotására" - mondta dr. Peter Buhler, a IBM zürichi kutatólaboratóriumának munkatársa. Az eszköznek köszönhetően nincs szükség PIN-kódokra, titkosításokra vagy egy tranzakció külön, akár jelszó megadásával történő megerősítésére. Az USB-kulcs kijelzője megmutatja a banki szervertől érkező adatokat.
"A védett kapcsolatnak köszönhetően a ZTIC egy biztonságos ablak a szerverhez. Így a felhasználó megerősítheti a tranzakciós adatokat, de akár vissza is vonhatja az átutalást" - tette hozzá a szakember. A megoldás minden operációs rendszerrel kompatibilis, s bárhol, akár útközben, idegen számítógépeken is alkalmazható és a használatához nincs szükség kiegészítő szoftver telepítésére sem.
Az első prototípusokat már tesztelhetik a bankok, míg a cég a felhasználók és az érdeklődők számára nyilvánosságra hozott egy DivX formátumú videót és egy felvételt a YouTube-on, amely a ZTIC működését mutatja be.
A vállalat szakemberei szerint a készülék alkalmazásával sikeresen kivédhetők a e-banki tranzakciók elleni támadások, sőt ezek még akkor is eredményesen lebonyolíthatók, hogy ha ismeretlenek magát a PC-t vagy a laptopot támadják. Az USB-kulcsot elég csatlakoztatni egy szabad USB-porthoz és közvetlen, biztos kapcsolatot épít ki az adott bank vagy pénzintézet szerveréhez. A ZTIC így megkerüli a felhasználó számítógépét és akkor is eredményesen használható, ha a PC-t vagy a laptopot kémprogramokkal fertőzték meg a támadók.
Az eszköz nemcsak a sikeres bejelentkezést és pénzátutalásokat teszi lehetővé, hanem a segítségével ellenőrizhető és jóvá hagyható a folyószámlán végrehajtott vagy a jövőben végrehajtandó minden pénzmozgás. A ZTIC így jóval biztonságosabb a PIN-kódokat vagy a chipkártyákat használó online banki rendszereknél és véd az úgynevezett Man-In-The-Middle támadásokkal szemben is. Ezekben az akciókban a bűnözők az otthoni PC és a bank szervere közötti adatfolyamot fogják el és csapolják meg, illetve módosítják. A manipulált adatokat a bank az ügyfél általi tranzakciókként könyveli el.
"Az egyre professzionálisabb módon működő hackertársadalom miatt nyilvánvalóvá vált a számunkra, hogy a kizárólag a PC-s szoftvereken alapuló jelenlegi azonosítási eljárások potenciálisan veszélyeztettek és új, innovatív megoldásokra van szükség. Ezt adta a lendületet a ZTIC megalkotására" - mondta dr. Peter Buhler, a IBM zürichi kutatólaboratóriumának munkatársa. Az eszköznek köszönhetően nincs szükség PIN-kódokra, titkosításokra vagy egy tranzakció külön, akár jelszó megadásával történő megerősítésére. Az USB-kulcs kijelzője megmutatja a banki szervertől érkező adatokat.
"A védett kapcsolatnak köszönhetően a ZTIC egy biztonságos ablak a szerverhez. Így a felhasználó megerősítheti a tranzakciós adatokat, de akár vissza is vonhatja az átutalást" - tette hozzá a szakember. A megoldás minden operációs rendszerrel kompatibilis, s bárhol, akár útközben, idegen számítógépeken is alkalmazható és a használatához nincs szükség kiegészítő szoftver telepítésére sem.
Az első prototípusokat már tesztelhetik a bankok, míg a cég a felhasználók és az érdeklődők számára nyilvánosságra hozott egy DivX formátumú videót és egy felvételt a YouTube-on, amely a ZTIC működését mutatja be.