Llegamos a ustedes gracias a:



Noticias

IBM busca asegurar la banca por Internet con un USB

[03/03/2009] El laboratorio de investigación de IBM en Zurich ha desarrollado un USB que la compañía afirma puede asegurar transacciones bancarias, incluso si la PC se encuentra llena de malware.

Un prototipo del dispositivo, llamado ZTIC (Zone Trusted Information Channel), se encuentra en exhibición por primera vez en el Cebit Trade Show en esta semana. IBM espera persuadir a los bancos de que compren el dispositivo para su banca en línea, lo cual ahorraría dinero a los bancos en costos de personal que se encuentra constantemente bajo amenaza de los hackers.
Cuando se conecta a una computadora, el ZTIC se encuentra configurado para abrir una conexión segura SSL (Secure Sockets Layer) con los servidores de los bancos, señala Michael Baentsch, product manager de BlueZ Business Computing en el laboratorio de Zurich.
El ZTIC es también una lectora de tarjetas inteligentes y puede aceptar la tarjeta bancaria de una persona para verificarla. Una vez que se identifica el PIN (personal identification number), se puede iniciar una transacción a través de un navegador web.
Sin embargo, los navegadores web son un punto débil de la banca en línea debido a los denominados ataques del hombre de en medio.
Los hackers han creado programas de software malicioso que pueden modificar los datos cuando éstos son enviados al servidor web de un banco, y luego mostrar la información que el consumidor deseaba en el navegador. Como resultado, la cuenta bancaria de una persona podría ser vaciada. Los ataques bajo la modalidad del hombre de en medio son también efectivos incluso si el cliente del banco está utilizando un generador de contraseñas.
Sin embargo, el ZTIC, evita el navegador y va directamente al banco. Asegura que los datos intercambiados sean exactos.
Por ejemplo, digamos que el cliente de un banco desea transferir dinero. El cliente va a llenar 100 dólares en un formulario en el navegador. Los servidores del banco entonces intentarán confirmar la cantidad. Durante un ataque de hombre de en medio, el atacante puede transferir mil dólares y modificar el mensaje de confirmación para que aún muestre 100 dólares.
Ya que tiene una conexión segura directa con los servidores del banco, el ZTIC mostrará la cantidad que realmente ha sido solicitada para el envío. Así que incluso si el navegador muestra una confirmación por 100 dólares, el ZTIC, mostrará mil dólares, lo cual indicaría que se está produciendo un ataque de hombre de en medio, señala Baentsch. El usuario sabría que tendría que rechazar la transacción y presionar el botón con la X roja en el ZTIC.
Si el malware ataca tu transacción bancaria en línea, te mostrará que algo raro está sucediendo, sostiene Baentsch.
IBM utilizó muchos de sus esfuerzos para ingeniar una forma de iniciar una sesión SSL sin un USB, dijo Baentsch. Se necesita de mucho procesamiento, y ya que el USB corre de forma independiente de la PC, no tiene acceso al procesador de la computadora.
ZTIC usa un chip del diseñador de microprocesadores ARM, y el software ha sido diseñado de tal forma que pueda establecer rápidamente una sesión SSL, sostiene Baentsch. Aunque es un memory stick, no se puede guardar información en él, lo cual también evita que algún software malicioso lo infecte.
La utilización del ZTIC también evita los ataques de phishing, en donde un sitio web fraudulento intenta obtener información valiosa de un usuario, y los ataques pharming, en donde los settings de un DNS (Domain Name System) han sido alterados, afirma Baentsch. El ZTIC se asegura que el sitio web tenga un certificado de seguridad válido.
IBM tiene cifras internas de cuánto podría costarle los ZTIC a un banco, pero Baentsch no los va a revelar, afirmando que depende de las especificaciones del diseño final del ZTIC y otros factores.
Jeremy Kirk, IDG News Service