Simile a un memory stick con un display integrato, il prototipo di dispositivo USB sviluppato presso il centro di ricerca IBM di Zurigo introduce un nuovo livello di sicurezza nell’online banking. I dispositivi pilota sono già pronti e a disposizione delle banche per le prove.
Zone Trusted Information Channel (ZTIC) si collega alla porta USB di qualsiasi computer e crea un canale diretto e sicuro al server per le transazioni online della banca, escludendo il PC che potrebbe essere infetto da software maligno (malware) o vulnerabile agli attacchi dall’esterno. Il cliente può utilizzare il security stick per collegarsi e validare tutte le transazioni tramite un display, mentre il dispositivo USB è connesso in modo sicuro al software, proteggendolo dalle forme di attacchi sempre più evolute. Il dispositivo USB aggiunge un livello supplementare di sicurezza alle soluzioni di autenticazione esistenti, fornite da smart card, PIN o codice di validazione “usa e gettaâ€.
La soluzione trasferisce efficacemente tutti i processi crittografici e di interfaccia utente critici dal PC del cliente al dispositivo ZTIC, consentendo una comunicazione sicura tra il server della banca e l’utente. Con il nuovo dispositivo, un utente può comunicare in sicurezza con i servizi online sensibili, ad esempio il server di una banca. Abbinata a una smart card, che può essere inserita nel dispositivo, questa nuova soluzione porta un nuovo livello di sicurezza end-to-end all’online banking.
Anche se il PC di un utente dovesse essere infettato da malware che manipola il flusso delle informazioni all’interno del computer, l’utente può annullare la transazione mentre viene visualizzata sul dispositivo ZTIC. Ciò che l’utente vede sul display di ZTIC è identico a ciò che “vede†il server, indipendentemente dall’intervento maligno che può verificarsi sul PC o in qualsiasi altro punto di internet. Grazie alla connessione sicura diretta tra ZTIC e il server, il dispositivo fornisce essenzialmente una finestra sicura al server. Inoltre, ZTIC è stato progettato in modo tale da non richiedere alcuna modifica, né nel software del server né nel software che gira sul PC del cliente. Funziona su tutti i principali sistemi operativi per l’home computing. I primi dispositivi pilota ora sono prodotti a livello industriale e sono pronti per la prova.
Specifiche tecniche
I ricercatori hanno progettato ZTIC come un dispositivo USB, di dimensioni più o meno equivalenti a quelle di un memory stick. Gestisce il protocollo TLS/SSL comunemente utilizzato. L’hardware di ZTIC consiste concettualmente, come minimo, di un’unità di elaborazione, memoria volatile e persistente, un piccolo display e almeno due pulsanti di comando (OK e Annulla), oltre a un lettore di smart card opzionale. La configurazione minima del software prevede un motore TLS completo, comprendente tutti gli algoritmi crittografici richiesti dai server SSL/TLS attuali, un parser HTTP per l’analisi dei dati scambiati tra client e server, più un software di sistema personalizzato, che implementa il profilo dell’USB mass storage device e un networking proxy per girare su un PC. Supporta l’autenticazione client TLS/SSL oltre ai comuni protocolli challenge/response basati su una chip card.
di Vincenzo Ciaglia - TuxJournal.net