Mondo
Simile a un memory stick con un display integrato, il prototipo di dispositivo USB sviluppato presso il centro di Zurigo introduce un nuovo livello di sicurezza nell’online banking. I dispositivi pilota sono pronti e a disposizione delle banche per le prove.
Zone Trusted Information Channel (ZTIC) si collega alla porta USB di qualsiasi computer e crea un canale diretto e sicuro al server per le transazioni online della banca, escludendo il PC che potrebbe essere infetto da software maligno (malware) o vulnerabile agli attacchi degli hacker.
Il cliente può utilizzare il security stick per collegarsi e validare tutte le transazioni tramite un display, mentre il dispositivo USB è connesso in modo sicuro al software, proteggendolo dalle forme di attacchi sempre più evolute. Il dispositivo USB aggiunge un livello supplementare di sicurezza alle soluzioni di autenticazione esistenti, fornite da smart card, PIN o codice di validazione “usa e getta”.
Gli hacker diventano sempre più ingegnosi nei loro tentativi di colpire le transazioni finanziarie su internet. Tra le minacce di maggiore gravità vi sono i cosiddetti attacchi “Man In The Middle”, in cui un hacker intercetta e modifica, in modo invisibile, i messaggi scambiati tra un utente e un istituto finanziario. I messaggi modificati sembrano transazioni ufficiali provenienti dall’istituto finanziario, e i messaggi diretti all’istituto sembrano provenire dal cliente.
Il “malware” è una forma di attacco ancora più insidiosa, in cui l’hacker riesce a installare un virus o un trojan nel computer di un utente ed è poi libero di manipolare i messaggi visualizzati e inviati. Ciò consente all’hacker di reindirizzare le comunicazioni e manipolare i dati visualizzati dal browser internet in tempo reale, durante le sessioni di online banking, in modo totalmente invisibile agli occhi dell’utente.
Circa il 90% degli attacchi alle identità online prende di mira il settore dei servizi finanziari. Uno studio internazionale del 2007, a cura della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) svizzera, ha riscontrato che vi è stato un aumento delle intrusioni di malware andate a buon fine e che “i sistemi di autenticazione a due fattori attualmente utilizzati (ad es. numeri di autenticazione delle transazioni, SecurID, ecc.) non consentono la protezione da tali attacchi e devono essere considerati non sicuri una volta che il computer dell’utente sia stato infettato dal malware”.
ZTIC fornisce uno strato supplementare di sicurezza in presenza di entrambi questi attacchi.
Questa soluzione trasferisce efficacemente tutti i processi crittografici e di interfaccia utente critici dal PC del cliente al dispositivo ZTIC, consentendo una comunicazione sicura tra il server della banca e l’utente. Con il nuovo dispositivo, un utente può comunicare in sicurezza con i servizi online sensibili, ad esempio il server di una banca. Abbinata a una smart card, che può essere inserita nel dispositivo, questa nuova soluzione porta un nuovo livello di sicurezza end-to-end all’online banking.
Anche se il PC di un utente dovesse essere infettato da malware che manipola il flusso delle informazioni all’interno del computer, l’utente può annullare la transazione mentre viene visualizzata sul dispositivo ZTIC. Ciò che l’utente vede sul display di ZTIC è identico a ciò che “vede” il server, indipendentemente dall’intervento maligno che può verificarsi sul PC o in qualsiasi altro punto di internet. Grazie alla connessione sicura diretta tra ZTIC e il server, il dispositivo fornisce essenzialmente una finestra sicura al server.
Inoltre, ZTIC è stato progettato in modo tale da non richiedere alcuna modifica, né nel software del server né nel software che gira sul PC del cliente. Funziona su tutti i principali sistemi operativi per l’home computing.
I primi dispositivi pilota ora sono prodotti a livello industriale e sono pronti per la prova.
I ricercatori hanno progettato ZTIC come un dispositivo USB, di dimensioni più o meno equivalenti a quelle di un memory stick. Gestisce il protocollo TLS/SSL comunemente utilizzato. L’hardware di ZTIC consiste concettualmente, come minimo, di un’unità di elaborazione, memoria volatile e persistente, un piccolo display e almeno due pulsanti di comando (OK e Annulla), oltre a un lettore di smart card opzionale. La configurazione minima del software prevede un motore TLS completo, comprendente tutti gli algoritmi crittografici richiesti dai server SSL/TLS attuali, un parser HTTP per l’analisi dei dati scambiati tra client e server, più un software di sistema personalizzato, che implementa il profilo dell’USB mass storage device e un networking proxy per girare su un PC. Supporta l’autenticazione client TLS/SSL oltre ai comuni protocolli challenge/response basati su una chip card.
