Nieuws
image

USB-stick voor veilig internetbankieren

woensdag 29 oktober 2008, 18:12 door Redactie, 10 reacties

IBM heeft een nieuwe oplossing ontwikkeld die moet voorkomen dat virusschrijvers rekeningen plunderen. Probeerde malware voorheen zich nog via man-in-the-middle aanvallen tussen de bank en het slachtoffer te plaatsen, nu richten steeds meer Trojaanse paarden zich op de browser en het besturingssysteem. De zogeheten “man-in-the-browser” of “man-in-the-endpoint" aanvallen zorgen ervoor dat bijna alle bestaande authenticatie en autorisatie processen waarbij een browser komt kijken, te omzeilen zijn. "Via een combinatie van social engineering en geavanceerd webapplicatie ontwerp, hebben aanvallers zelfs manieren ontwikkeld om multi-factor en "out-of-band" authenticatie systemen te verslaan", zegt Gunter Ollman van IBM's Internet Security Systems.

Onderzoekers van IBM hebben een oplossing voor het probleem bedacht, namelijk de ZTIC. De afkorting staat voor "Zone Trusted Information Channel" en is een "gespecialiseerd USB beveiligingsapparaat", ontwikkeld voor het beveiligen van banktransacties, waarbij de geïnfecteerde PC in principe wordt vermeden. Door belangrijke onderdelen van het authenticeren en autoriseren van transacties bij de browser weg te halen, is het onmogelijk voor een banking Trojan, en diens man-in-the-browser proxy functionaliteit, om de datastroom te manipuleren. Daarnaast versleutelt de ZTIC ook alle communicatie via zijn eigen SSL/TLS processen die zich binnen het apparaatje bevinden, wat betekent dat ook vertrouwelijke communicatie niet via klassieke man-in-the-middle vectoren veranderd of bekeken kan worden. "Wat ik ook zo mooi van deze oplossing vind, is dat die er zo cool uitziet", grapt Ollmann.

Een ander belangrijk onderdeel van de ZTIC is dat die "smartcard vriendelijk" is, en gebruik kan maken van betere authenticatie processen dan de wachtwoorden die sommige banken nog steeds gebruiken. Ollmann merkt op dat het apparaat flexibel is en voor meerdere bankrekeningen is toe te passen. "Het is een nieuwe uitvinding, waarvan ik hoop dat mijn eigen bank hem zal gaan gebruiken, aangezien ik niet van die speciale lezers en rekenmachines hou, die al via man-in-the-browser aanvallen zijn te verslaan." De presentatie van de ZTIC is op deze pagina te bekijken.

Reacties (10)
29-10-2008, 18:19 door Lamaar
En dan nou allemaal massaal onze USB-sticks verliezen. Ook geen oplossing dus.
29-10-2008, 18:34 door [Account Verwijderd]
[Verwijderd]
29-10-2008, 20:13 door Eerde
Het zelfde effect kan je bereiken door gewoon een live CD te nemen, Knoppix is erg goed maar n'importe welke dan ook, voldoet.
29-10-2008, 23:25 door [Account Verwijderd]
[Verwijderd]
30-10-2008, 07:51 door RobertoG
Deze gadgets zijn niet voor de gemiddelde security.nl lezer die toch wel weet hoe je met een live-cd omgaat, maar voor computergebruikers die alleen de aan/uit knop echt begrijpen.
30-10-2008, 10:47 door Anoniem
"Deze gadgets zijn niet voor de gemiddelde security.nl lezer die toch wel weet hoe je met een live-cd omgaat, maar voor computergebruikers die alleen de aan/uit knop echt begrijpen."

En het lijkt mij erom gaan dat de bank een standaard oplossing kan geven aan de klanten om de transaktie te beveiligen, waarbij het overgrote deel van die klanten geen security.nl lezer is, en niet zelf met een oplossing (zoals bijv. een livecd) zal komen.

Ik snap je punt niet helemaal. Moeten we dit hier niet lezen, omdat we snappen hoe een livecd werkt ofzo ?

"En dan nou allemaal massaal onze USB-sticks verliezen. Ook geen oplossing dus."

Goed punt ;)
30-10-2008, 14:00 door Anoniem
"En dan nou allemaal massaal onze USB-sticks verliezen. Ook geen oplossing dus."

"Hallo, ik wil graag mijn usb stick laaten blokkeren"

hahaha
30-10-2008, 14:02 door RobertoG
Door Anoniem"
Ik snap je punt niet helemaal. Moeten we dit hier niet lezen, omdat we snappen hoe een livecd werkt ofzo ?

Ik reageerde eigenlijk op Eerde die aangeeft dat je net zo goed een LiveCD kunt gebruiken. Ja, een LiveCD is ook goed, maar voor veel gebruikers te ingewikkeld. En ik neem aan dat de lezers van security.nl daar geen last van hebben.
Ik denk ook dat de gadget makkelijker is dan telkens met een LiveCD te starten.
30-10-2008, 16:06 door Anoniem
Ehmm als je op internet zoekt naar Roadstarter BootCD dan heb je live cd van XP :) , voor de mensen die Live CD van linux te moeilijk vinden.
Btw op deze Roadstarter staat ook Live versie van Damn Small Linux en Hirens.
Hirens is een boot cd met allerhande tools als cpu/video/hd/ramm testers , en disk clone/partition tools.
Laad je hirens tijdens windows dan heb je de beschikking over CCleaner/Rootkit scanners /adaware enz enz
Voor iedereen een aanrader ?
30-10-2008, 18:36 door Anoniem
ik vind alles prima, zolang ik nog maar gewoon op mijn oude manier kan bankieren, ik wil geen internetbankieren, ik heb het niet nodig, ik vertrouw het niet, en ik vertrouw google en de dataverzamelde overheden ook niet...

zodra ik bij de balie kom mag ik elke keer weer aanhoren dat het zo makkelijk is, en dat overstappen gratis is, en dat weet ik allemaal wel maar dat wil niet zeggen dat ik er gebruik van wil maken...

het aantal keren dat ik iets over moet maken per jaar is met gemak te doen via overschrijvingen, en die ene keer in de 3 jaar dat ik eens wat naar een buitenlandse rekening over moet maken wil ik wel even voor naar de bank lopen, als ik mij op die manier kan redden waarom niet?

betere beveiliging is alleen maar een pluspunt en voor wie het gebruikt ook alleen maar vooruitgang, maar houd toch eens op met dat pushen, ik ben tevreden met wat ik heb laat mij dat ook mooi zo houden ;)
livecd's enz klinkt wel mooi, maar daar ontbreekt de kennis gewoon voor, en ik vind dat bij de meeste standaard gebruikers ook de kennis ontbreekt om veilig te kunnen bankieren via de thuispc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure