IBM的苏黎世研究实验室已开发出一种USB存储棒,该公司表示该公司称可确保安全的银行交易,即使PC存在恶意软件也是如此。
该设备的原型称为ZTIC(Zone Trusted Information Channel)本周在Cebit贸易展上首次展出。 IBM希望诱使银行购买网上银行,这可以节省银行的人力成本,但却不断受到黑客的攻击。<
当插入计算机时,ZTIC被配置为打开安全SSL(安全套接字层)连接与苏黎世实验室的BlueZ商业计算机产品经理Michael Baentsch说:“进一步阅读:如何从Windows PC中移除恶意软件”
ZTIC也是一款智能卡读卡器,可以接受一个人的银行卡进行验证。一旦验证了PIN码(个人识别号码),就可以通过网络浏览器启动交易。然而,由于所谓的中间人攻击,网络浏览器是网上银行的一个弱点黑客创建了恶意软件程序,而不是在数据发送到银行的Web服务器时修改数据,但随后显示消费者在浏览器中预期的信息。结果,一个人的银行账户可能被清空。即使银行客户使用一次性密码生成器,中间人攻击也很有效。
然而,ZTIC绕过浏览器并直接进入银行。它确保交换的数据是准确的。
例如,假设一位银行客户想要转账。客户将在浏览器中输入100美元到表单中。银行的服务器将尝试确认金额。在中间人攻击期间,攻击者可以转移$ 1,000美元,但可以修改确认消息仍显示$ 100。
由于它与银行的服务器有直接的安全连接,ZTIC将显示金额实际上已被请求发送。因此,即使浏览器显示100美元的确认,ZTIC也会显示1000美元,表明中间人正在进行攻击,Baentsch说。用户知道拒绝交易并按下ZTIC上的红色“x”按钮
“如果恶意软件攻击您的网上银行交易,它会向您显示出一些奇怪的事情发生,”Baentsch说。花费了大量的精力来计算如何在U盘中启动SSL会话,Baentsch说。它需要一些处理能力,并且由于USB运行独立于PC,因此它无法访问计算机的处理器。
ZTIC使用来自微处理器设计人员ARM的芯片,并且该软件的设计使其能够快速建立SSL会话,Baentsch说。尽管它是一个记忆棒,但它不能存储任何数据,这也可以防止恶意软件感染它。
使用ZTIC还可以防止欺诈性网站试图从用户身上获取敏感细节的钓鱼式攻击,以及欺骗攻击,其中DNS(域名系统)设置已被篡改,Baentsch说。 ZTIC检查以确保该网站具有有效的安全证书。
IBM有关于ZTIC可能为银行支付多少费用的内部数字,但Baentsch不会透露这些数据,并表示它将取决于最终设计规范ZTIC等因素。