Divízia IBM Research predstavila „bezpečnosť na kľúči“ na ochranu spotrebiteľov a bánk pred najsofistikovanejšími útokmi počítačových pirátov
Tlačový servis / 14. 11. 2008, 00:00
Prototyp USB zariadenia, ktorý sa podobá na pamäťový kľúč so vstavaným displejom a ktorý bol vyvinutý vo výskumnom laboratóriu spoločnosti IBM (NYSE:IBM) v Zürichu prináša spotrebiteľom novú úroveň bezpečnosti v online bankovníctve. Prvé zariadenia sú už vyrobené a pripravené na skúšobnú prevádzku v bankách.
Zone Trusted Information Channel (ZTIC) sa zasúva do USB portu v počítači a vytvára priamy, zabezpečený kanál na bankový server pre online operácie premostením počítača, ktorý môže byť infikovaný škodlivým softvérom (malware) alebo náchylný na útoky počítačových pirátov.
Spotrebiteľ má možnosť použiť bezpečnostný kľúč na prihlásenie sa a overenie všetkých operácií na displeji, keď je USB zariadenie bezpečne pripojené na server a chráni pred dnešnými stále zlomyseľnejšími formami útokov, ktoré dokážu upravovať dáta na pozadí a skrývať sa pred očami spotrebiteľa a bankou. USB zariadenie pridáva dodatočnú úroveň zabezpečenia k existujúcim overovacím riešeniam typu Smart Card, PIN kód alebo jednorazový overovací kód, s cieľom čeliť najnovším bezpečnostným hrozbám využívajúcim vysokú úroveň manipulácie s dátami.
Počítačoví piráti sú stále vynaliezavejší pri pokusoch o útok na finančné operácie prebiehajúce na internete. Medzi stále viac prominentné hrozby patria tzv. útoky „s človekom v strede“, pri ktorých počítačový pirát nenápadne zachytí a upraví správy vymieňané medzi používateľom a finančnou inštitúciou. Upravené správy sa javia ako oficiálne operácie z finančnej inštitúcie a správy prúdiace do finančnej inštitúcie sa javia ako keby boli od zákazníka.
Škodlivý softvér je ešte viac zlomyseľná forma útoku, pri ktorej sa počítačovému pirátovi podarí nainštalovať vírus alebo trójskeho koňa do osobného počítača používateľa, a tým získať možnosť voľne upravovať správy zobrazené a posielané používateľom. Vďaka tomu môže v reálnom čase presmerovať komunikáciu a upraviť údaje zobrazované v internom prehliadači, keď používateľ používa službu internetového bankovníctva, pričom táto manipulácia je skrytá pred očami používateľa.
Takmer 90 percent online útokov na identitu sa sústredí na sektor finančných služieb. Medzinárodná štúdia vypracovaná agentúrou Swiss Reporting and Analysis Centre pre Information Assurance (MELANI) v roku 2007 zistila, že počet prípadov úspešného preniknutia škodlivého softvéru sa zvýšil, a že v súčasnosti používané „systémy dvojfaktorového overovania (napr. overovacie čísla operácií, SecurID a pod.) neposkytujú ochranu pred takýmito útokmi a musia byť považované za nezabezpečené po napadnutí počítača škodlivým softvérom.
ZTIC poskytuje dodatočnú vrstvu zabezpečenia pri oboch týchto útokoch.
„S výskytom ešte profesionálnejšie prebiehajúcich elektronických trestných činov vychádza najavo, že overovacie riešenia postavené na počítačovom softvéri sú v podstate zraniteľné, a že musíme inovovať, aby sme si udržali náskok. Toto bolo začiatočným bodom vývoja zariadenia ZTIC,“ vysvetľuje Dr. Peter Buhler, Manager Computer Science z výskumného laboratória v Zürichu a dodáva: „Technické riešenie zariadenia vychádza z analýzy kladov a záporov súčasných a ohlásených alternatívnych riešení.“
Toto riešenie efektívne presúva všetky kryptografické procesy a kritické procesy prebiehajúce medzi používateľom a rozhraním mimo osobného počítača spotrebiteľa do zariadenia ZTIC, čím vytvára dôveryhodný komunikačný koncový bod medzi bankovým serverom a používateľom. Nové zariadenie umožňuje používateľovi bezpečne komunikovať s citlivými online službami, ako napr. bankovým serverom. V spojení s kartou Smart Card, ktorá sa môže zasunúť do zariadenia, toto nové riešenie prináša novú úroveň koncového zabezpečenia pre online bankovníctvo.
Po vyrobení úvodných laboratórnych prototypov výskumníkmi sa prvé zariadenia dostali do priemyselnej výroby a sú pripravené na absolvovanie skúšok v praxi.
Aj keď je osobný počítač používateľa infikovaný škodlivým softvérom, ktorý upravuje tok informácií v osobnom počítači, používateľ môže zrušiť operáciu, keď je zobrazená na zariadení ZTIC. Na displeji ZTIC sa zobrazuje presne to, čo vidí „server“, bez ohľadu na skutočnosť, či sa v osobnom počítači alebo na internete objavujú prípady pôsobenia škodlivého softvéru. „Keďže medzi ZTIC a serverom existuje priame zabezpečené spojenie, zariadenie v podstate vytvára bezpečné okno na server,“ konštatuje Buhler.
Zariadenie ZTIC je navyše vyrobené tak, že nie je potrebné vykonať žiadnu zmenu softvéru na serveri, ani softvéru bežiaceho na osobnom počítači klienta. Zariadenie funguje so všetkými hlavnými počítačovými operačnými systémami používanými v domácnostiach.
Technická špecifikácia
Výskumníci skonštruovali ZTIC ako USB zariadenie s rozmermi zodpovedajúcimi približne rozmerom pamäťového kľúča. Zariadenie používa bežne používaný protokol TLS/SSL. Hardvér ZTIC je po technickej stránke v základnej výbave tvorený procesorom, nestálou a trvalou pamäťou, malým displejom a najmenej dvoma ovládacími tlačidlami (OK a Cancel (Zrušiť)) a ďalej doplnkovou čítačkou kariet Smart Card. Základný softvér podporuje minimálne kompletnú technológiu TLS, vrátane všetkých kryptografických algoritmov požadovaných dnešnými servermi SSL/TLS, analyzátor HTTP pre analýzu dát vymieňaných medzi klientom a serverom, plus špeciálny systémový softvér implementujúci profil veľkokapacitného pamäťového zariadenia USB a sieťové služby proxy umožňujúce použitie s osobným počítačom. Podporuje overovanie klienta pomocou technológie TLS/SSL a zároveň aj bežne používané protokoly typu výzva/odozva používajúce čipovú kartu.