Ricerca
IBM: un’innovazione per proteggere consumatori e banche dagli attacchi
più sofisticati degli hacker
Uno speciale
stick USB protegge le transazioni bancarie online. Simile a un memory stick
con un display integrato, il prototipo di dispositivo USB sviluppato presso
il centro di Zurigo introduce un nuovo livello di sicurezza nell’online
banking. I dispositivi pilota sono pronti e a disposizione delle banche per
le prove.
Zone Trusted Information
Channel (ZTIC) si collega alla porta USB di qualsiasi computer e crea un canale
diretto e sicuro al server per le transazioni online della banca, escludendo
il PC che potrebbe essere infetto da software maligno (malware) o vulnerabile
agli attacchi degli hacker.
Il cliente può utilizzare
il security stick per collegarsi e validare tutte le transazioni tramite un
display, mentre il dispositivo USB è connesso in modo sicuro al software,
proteggendolo dalle forme di attacchi sempre più evolute. Il dispositivo
USB aggiunge un livello supplementare di sicurezza alle soluzioni di autenticazione
esistenti, fornite da smart card, PIN o codice di validazione "usa e getta".
Gli hacker diventano sempre
più ingegnosi nei loro tentativi di colpire le transazioni finanziarie
su internet. Tra le minacce di maggiore gravità vi sono i cosiddetti
attacchi “Man In The Middle”, in cui un hacker intercetta e modifica,
in modo invisibile, i messaggi scambiati tra un utente e un istituto finanziario.
I messaggi modificati sembrano transazioni ufficiali provenienti dall’istituto
finanziario, e i messaggi diretti all’istituto sembrano provenire dal
cliente.
Il “malware”
è una forma di attacco ancora più insidiosa, in cui l’hacker
riesce a installare un virus o un trojan nel computer di un utente ed è
poi libero di manipolare i messaggi visualizzati e inviati. Ciò consente
all’hacker di reindirizzare le comunicazioni e manipolare i dati visualizzati
dal browser internet in tempo reale, durante le sessioni di online banking,
in modo totalmente invisibile agli occhi dell’utente.
Circa il 90 per cento degli
attacchi alle identità online prende di mira il settore dei servizi finanziari.
Uno studio internazionale del 2007, a cura della Centrale d’annuncio e
d’analisi per la sicurezza dell’informazione (MELANI) svizzera,
ha riscontrato che vi è stato un aumento delle intrusioni di malware
andate a buon fine e che “i sistemi di autenticazione a due fattori attualmente
utilizzati (ad es. numeri di autenticazione delle transazioni, SecurID, ecc.)
non consentono la protezione da tali attacchi e devono essere considerati non
sicuri una volta che il computer dell’utente sia stato infettato dal malware”.
ZTIC fornisce uno strato
supplementare di sicurezza in presenza di entrambi questi attacchi.
Questa soluzione
trasferisce efficacemente tutti i processi crittografici e di interfaccia utente
critici dal PC del cliente al dispositivo ZTIC, consentendo una comunicazione
sicura tra il server della banca e l’utente. Con il nuovo dispositivo,
un utente può comunicare in sicurezza con i servizi online sensibili,
ad esempio il server di una banca. Abbinata a una smart card, che può
essere inserita nel dispositivo, questa nuova soluzione porta un nuovo livello
di sicurezza end-to-end all’online banking.
Anche se il PC
di un utente dovesse essere infettato da malware che manipola il flusso delle
informazioni all’interno del computer, l’utente può annullare
la transazione mentre viene visualizzata sul dispositivo ZTIC. Ciò che
l’utente vede sul display di ZTIC è identico a ciò che “vede”
il server, indipendentemente dall’intervento maligno che può verificarsi
sul PC o in qualsiasi altro punto di internet. Grazie alla connessione sicura
diretta tra ZTIC e il server, il dispositivo fornisce essenzialmente una finestra
sicura al server.
Inoltre, ZTIC è stato
progettato in modo tale da non richiedere alcuna modifica, né nel software
del server né nel software che gira sul PC del cliente. Funziona su tutti
i principali sistemi operativi per l’home computing.
Specifiche
tecniche
I ricercatori hanno progettato ZTIC come un dispositivo USB, di dimensioni più
o meno equivalenti a quelle di un memory stick. Gestisce il protocollo TLS/SSL
comunemente utilizzato. L’hardware di ZTIC consiste concettualmente, come
minimo, di un’unità di elaborazione, memoria volatile e persistente,
un piccolo display e almeno due pulsanti di comando (OK e Annulla), oltre a
un lettore di smart card opzionale. La configurazione minima del software prevede
un motore TLS completo, comprendente tutti gli algoritmi crittografici richiesti
dai server SSL/TLS attuali, un parser HTTP per l’analisi dei dati scambiati
tra client e server, più un software di sistema personalizzato, che implementa
il profilo dell’USB mass storage device e un networking proxy per girare
su un PC. Supporta l’autenticazione client TLS/SSL oltre ai comuni protocolli
challenge/response basati su una chip card.
