Med en egen smartkortleser kan IBMs ZTIC legitimere brukeren overfor nettbanken, i tillegg til å kontrollere at selve transaksjonen er korrekt. (foto: IBM) (Bilde: IBM)

IBM tetter sikkerhetshullet i BankID

IBMs nye «ZTIC» verner mot «man in the middle»-angrep som også BankID lar seg lure av.

Den norske ordningen for å legitimere brukere overfor nettbanker, BankID, har vært kritisert fordi den kan lures av en avansert form for et angrep kjent som «man in the middle». Bergen-professor Kjell Jørgen Hole har påvist dette gjennom forsøk i felten. Det sveitsiske instituttet for informasjonssikkerhet, Melani, har trukket samme konklusjon for tilsvarende løsninger i andre land.

I «mannen i midten angrep» kommuniserer offeret bare indirekte med nettbanken. Nettsiden som vises på offerets pc er på en prikk lik den faktiske nettbanken, men banken mottar en annen informasjon i feltene for blant annet betalingsmottakers kontonummer og overført beløp enn det offeret har tastet inn: «Mannen i midten» endrer dem, til egen fordel. Engangskoden som knyttes til transaksjonen videreformidles raskt nok til at banken ikke avslører falskneriet. Offeret merker ingenting før han sjekker kontoutskriften.

Den eneste måten å avsløre «mannen i midten»-angrep, er å gi brukeren anledning til å kontrollere direkte at banken mottar den samme informasjonen som brukeren sender.

IBMs utviklingsavdeling i den sveitsiske byen Zürich hevder å ha funnet en løsning på dette problemet i form av et apparat de kaller ZTIC, (uttales «stikk») for «Zone Trusted Information Channel».

ZTIC-en omgår alt i pc-en utenom selve nettkoplingen for å etablere en direkte kontakt med nettbankens server. Siden den ikke anvender pc-ens prosessor, disk eller minne, kan den ikke kapres gjennom en «mannen i midten»-angrep. En egen skjerm på ZTIC-en viser transaksjonen slik banken oppfatter den. I tilfellet ovenfor er kontonummeret 1-2345-6, og det overførte beløp er 23,45 sveitsiske francs (CHF).

Brukeren må sammenlikne kontonummer og beløp på ZTIC-en med det han selv har tastet inn i sin nettbank.

Stemmer de overens, kan han trykke på «ok»-knappen på ZTIC-en. Ellers må han velge «x»-knappen som annullerer hele transaksjonen.

Denne videoen på Youtube viser hva som skjer når beløpet som banken forholder seg til er et helt annet enn det brukeren har tastet inn, og som «mannen i midten» har sørget for å bekrefte i sin kopi av brukerens nettbank.

Bildet ovenfor viser hvordan en ZTIC kan utvides med en smartkortleser, slik at banken kan bruke enheten også i en egen totrinns autentiseringsprosess.

Bruken av ZTIC krever ingen endring i verken nettbank eller brukerens pc. ZTIC kan brukes på alle kurante pc-plattformer. IBM melder at de har produsert et tilstrekkelig antall til å kunne sette i gang pilottester med interesserte banker.

    Les også:

Til toppen