TAGS
Parecido a un lápiz de memoria con una pantalla integrada, un prototipo de dispositivo USB desarrollado en el Laboratorio de Investigación de IBM en Zurich aporta un nuevo nivel de seguridad de la banca en línea para los consumidores. dispositivos piloto están listos y disposición de los bancos para los ensayos.
El canal de información de zona de confianza (ZTIC) se conecta al puerto USB de cualquier ordenador y crea un canal directo y seguro a servidor de transacciones en línea de un banco, sin pasar por el PC y que podría estar infectado por software malicioso (malware) o es susceptible a ataques de piratas informáticos.
El consumidor puede utilizar el palo de seguridad para iniciar sesión y validar todas las transacciones a través de una pantalla, mientras que el dispositivo USB está conectado correctamente al servidor, la salvaguardia contra las formas diabólicas de ataques que pueden manipular datos en segundo plano, ocultos por el consumidor y el banco. El dispositivo USB añade un nivel adicional de seguridad a las soluciones de autenticación existentes proporcionados por la tarjeta inteligente, un PIN o código de validación de una sola vez, con el fin de contrarrestar las amenazas más recientes y más altamente manipuladoras de seguridad.
Casi el 90 por ciento de los ataques de identidad en línea están dirigidos al sector de los servicios financieros. Un estudio internacional de 2007 por el Centro de Información y Análisis de Suiza para el Aseguramiento de la Información (MELANI), encontró que las intrusiones de malware exitosas han aumentado y que los sistemas actualmente establecidas "autenticación de dos factores (por ejemplo, números de autenticación de transacción, SecurID, etc.) no protejan contra tales ataques y debe ser visto como inseguros una vez que el equipo del cliente ha sido infectado con malware ".
"En presencia de una escena de crimen electrónico cada vez que opera de forma más profesional, se hizo evidente que las soluciones de autenticación basados en software para PC eran potencialmente vulnerables y que tenía que innovar para mantenerse a la vanguardia. Ese fue el punto de partida para el desarrollo de la ZTIC ", explicó el Dr. Peter Buhler, Gerente de Informática de Laboratorio de Investigación de IBM en Zurich. "El diseño de la solución se regirá y se basa en el análisis de los pros y los contras de presente y anunció soluciones alternativas."
Esta solución se mueve de manera efectiva todos los procesos de interfaz de usuario criptográficas y críticos de distancia de PC de un consumidor en el dispositivo ZTIC, la creación de un punto final de la comunicación de confianza entre el servidor bancario y el usuario. Con el nuevo dispositivo, un usuario puede comunicarse de forma segura con servicios en línea sensibles, tales como un servidor bancario. En combinación con una tarjeta inteligente, que se puede insertar en el dispositivo, esta nueva solución aporta un nuevo nivel de seguridad de extremo a extremo de la banca en línea.
Después de los primeros prototipos de laboratorio habían sido realizado por los investigadores, dispositivos piloto primeros ahora se han fabricado industrialmente y están listos para los ensayos.
Incluso si el PC de un usuario debería ser infectado por malware que manipula el flujo de información en el PC, el usuario puede cancelar la operación mientras se muestren en el dispositivo ZTIC. Lo que el usuario ve en la pantalla ZTIC es idéntica a la que el servidor "ve", no importa lo que la intervención maliciosa puede ocurrir en el PC o en cualquier lugar en Internet. "Debido a la conexión segura directa entre ZTIC y el servidor, el dispositivo proporciona esencialmente una ventana segura al servidor", afirma Buhler.
Por otra parte, el ZTIC ha sido diseñado de tal manera que no se requiere ningún cambio ni en el software del servidor o el software que se ejecuta en el PC del cliente. Se ejecuta en todos los principales sistemas operativos de informática doméstica.
Los investigadores diseñaron el ZTIC como un dispositivo USB de aproximadamente el mismo tamaño que una tarjeta de memoria. Se ejecuta el protocolo / SSL comúnmente usados TLS. El hardware ZTIC consiste conceptualmente, como mínimo, de una unidad de procesamiento, memoria volátil y persistente, una pequeña pantalla y al menos dos botones de control (OK y Cancelar), así como un lector de tarjeta inteligente opcional. El software está configurado mínimamente con un motor TLS completo que incluye todos los algoritmos criptográficos requeridos por los servidores SSL / TLS, un analizador de HTTP para el análisis de los datos intercambiados entre el cliente y el servidor, además del software de sistemas a medida implantación del perfil de dispositivo de almacenamiento masivo USB y un proxy de red para que se ejecuta en un PC. Es compatible con la autenticación de clientes TLS / SSL, así como los protocolos de desafío / respuesta de base común con tarjetas electrónicas.
.
