ZTIC koples til pc-en gjennom en USB-forbindelse. Pålogging til nettbank skjer utelukkende i ZTIC, utenfor rekkevidde av programvare på pc-en. Alle transaksjoner må godkjennes ved å trykke på en grønn knapp på ZTIC. Skjermen på ZTIC viser det faktiske kontonummeret som overføringen skjer til, og beløpet, her 23,45 sveitsiske franc. (Bilde: IBM)

Norske nettbanker snuser på IBMs «ZTIC»

Løsningen tetter et sikkerhetshull i BankID, og er nettopp tatt i bruk i Sveits.

Det er kjent at ordninger for tofaktorautentisering i nettbank, hvorav den norske ordningen BankID, er sårbare for en type angrep kjent som «mannen i midten». Sårbarheten er demonstrert av flere: I Norge av professor Kjell Jørgen Hole i Bergen, og i Sveits av Melani, et offentlig institutt for nettsikkerhet.

I oktober 2008 viste IBM en løsning for pålogging og kontroll av nettbankforbindelser som tetter sikkerhetshullet i BankID. Løsningen ble døpt «ZTIC» for «zone trusted information channel». Den er utviklet av IBMs forskningslaboratorium i Zürich, i samarbeid med representanter for det lokale bankvesenet.

Denne uken ble det meldt at den sveitsiske banken UBS har begynt å tilby ZTIC til både private og bedriftskunder, under betegnelsen UBS Access Key.

Morten Garvik, som leder markedsføringen mot bank og finans i IBM Norge, sier til digi.no at han har vist løsningen til potensielle kunder, og at disse har vist en klar interesse. Mer ønsker han ikke å kommentere.

ZTIC består av en enhet som koples til en pc – også Mac – over USB. Den har egen skjerm, og to knapper merket med henholdsvis rødt kryss og grønn hake Ved tilkopling installerer den seg selv, oppretter en forbindelse til nettbanken, og setter i gang påloggingsprosessen. Pålogging er avhengig av et smartkort som stikkes inn i ZTIC. Pc-ens nettleser brukes til å taste inn brukeridentitet og en pin-kode. Påloggingen er avhengig av at man trykker på den grønne hakeknappen på ZTIC.

– Det viktige her er at det der selve enheten som står for påloggingen. Påloggingen er ikke avhengig av noen form for programvare på pc-en, og kan følgelig ikke manipuleres gjennom en nettforbindelse til pc-en, sier Garvik.

Knappene på ZTIC brukes også til å godkjenne hver transaksjon. I utgaven som IBM viste for halvannet år siden, viste ZTIC-skjermen både mottakerens kontonummer og beløp. Elektronikken i ZTIC sørger for at det er den kontoen overføring faktisk vil skje til, som vises. En «mann i midten» kan tenkes å kunne manipulere pc-ens nettleser, men kan ikke skaffe seg tilgang til ZTIC for å forfalske det som vises på sikkerhetspinnen.

I implementasjonen som UBS har valgt, vises bare kontonummeret. Ideen er uansett at dersom kontonummeret på ZTIC-skjermen ikke stemmer overens med kontonummeret på pc-skjermen, er det et tegn på at noen «i midten» har kapret forbindelsen. Da kan – og skal – man nulle transaksjonen ved å trykke på den røde knappen på ZTIC, og umiddelbart varsle banken.

Systemkravene oppgitt for UBS Access Key går i korthet ut på at Windows-brukere trenger enten Internet Explorer eller Firefox, og at Mac-brukere trenger Safari eller Firefox.

UBS tilbyr Access Key gratis til sine bedriftskunder. Private må betale 65 sveitsiske franc, tilsvarende 360 kroner.

    Les også:

Til toppen