USB-stick voor veilig internetbankieren
IBM heeft een nieuwe oplossing ontwikkeld die moet voorkomen dat virusschrijvers rekeningen plunderen. Probeerde malware voorheen zich nog via man-in-the-middle aanvallen tussen de bank en het slachtoffer te plaatsen, nu richten steeds meer Trojaanse paarden zich op de browser en het besturingssysteem. De zogeheten “man-in-the-browser” of “man-in-the-endpoint" aanvallen zorgen ervoor dat bijna alle bestaande authenticatie en autorisatie processen waarbij een browser komt kijken, te omzeilen zijn. "Via een combinatie van social engineering en geavanceerd webapplicatie ontwerp, hebben aanvallers zelfs manieren ontwikkeld om multi-factor en "out-of-band" authenticatie systemen te verslaan", zegt Gunter Ollman van IBM's Internet Security Systems.
Onderzoekers van IBM hebben een oplossing voor het probleem bedacht, namelijk de ZTIC. De afkorting staat voor "Zone Trusted Information Channel" en is een "gespecialiseerd USB beveiligingsapparaat", ontwikkeld voor het beveiligen van banktransacties, waarbij de geïnfecteerde PC in principe wordt vermeden. Door belangrijke onderdelen van het authenticeren en autoriseren van transacties bij de browser weg te halen, is het onmogelijk voor een banking Trojan, en diens man-in-the-browser proxy functionaliteit, om de datastroom te manipuleren. Daarnaast versleutelt de ZTIC ook alle communicatie via zijn eigen SSL/TLS processen die zich binnen het apparaatje bevinden, wat betekent dat ook vertrouwelijke communicatie niet via klassieke man-in-the-middle vectoren veranderd of bekeken kan worden. "Wat ik ook zo mooi van deze oplossing vind, is dat die er zo cool uitziet", grapt Ollmann.
Een ander belangrijk onderdeel van de ZTIC is dat die "smartcard vriendelijk" is, en gebruik kan maken van betere authenticatie processen dan de wachtwoorden die sommige banken nog steeds gebruiken. Ollmann merkt op dat het apparaat flexibel is en voor meerdere bankrekeningen is toe te passen. "Het is een nieuwe uitvinding, waarvan ik hoop dat mijn eigen bank hem zal gaan gebruiken, aangezien ik niet van die speciale lezers en rekenmachines hou, die al via man-in-the-browser aanvallen zijn te verslaan." De presentatie van de ZTIC is op deze pagina te bekijken.
En het lijkt mij erom gaan dat de bank een standaard oplossing kan geven aan de klanten om de transaktie te beveiligen, waarbij het overgrote deel van die klanten geen security.nl lezer is, en niet zelf met een oplossing (zoals bijv. een livecd) zal komen.
Ik snap je punt niet helemaal. Moeten we dit hier niet lezen, omdat we snappen hoe een livecd werkt ofzo ?
"En dan nou allemaal massaal onze USB-sticks verliezen. Ook geen oplossing dus."
Goed punt ;)
"Hallo, ik wil graag mijn usb stick laaten blokkeren"
hahaha
Ik snap je punt niet helemaal. Moeten we dit hier niet lezen, omdat we snappen hoe een livecd werkt ofzo ?
Ik reageerde eigenlijk op Eerde die aangeeft dat je net zo goed een LiveCD kunt gebruiken. Ja, een LiveCD is ook goed, maar voor veel gebruikers te ingewikkeld. En ik neem aan dat de lezers van security.nl daar geen last van hebben.
Ik denk ook dat de gadget makkelijker is dan telkens met een LiveCD te starten.
Btw op deze Roadstarter staat ook Live versie van Damn Small Linux en Hirens.
Hirens is een boot cd met allerhande tools als cpu/video/hd/ramm testers , en disk clone/partition tools.
Laad je hirens tijdens windows dan heb je de beschikking over CCleaner/Rootkit scanners /adaware enz enz
Voor iedereen een aanrader ?
zodra ik bij de balie kom mag ik elke keer weer aanhoren dat het zo makkelijk is, en dat overstappen gratis is, en dat weet ik allemaal wel maar dat wil niet zeggen dat ik er gebruik van wil maken...
het aantal keren dat ik iets over moet maken per jaar is met gemak te doen via overschrijvingen, en die ene keer in de 3 jaar dat ik eens wat naar een buitenlandse rekening over moet maken wil ik wel even voor naar de bank lopen, als ik mij op die manier kan redden waarom niet?
betere beveiliging is alleen maar een pluspunt en voor wie het gebruikt ook alleen maar vooruitgang, maar houd toch eens op met dat pushen, ik ben tevreden met wat ik heb laat mij dat ook mooi zo houden ;)
livecd's enz klinkt wel mooi, maar daar ontbreekt de kennis gewoon voor, en ik vind dat bij de meeste standaard gebruikers ook de kennis ontbreekt om veilig te kunnen bankieren via de thuispc.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.