Notícias

Lisboa, 29 de Outubro de 2008

Os Laboratórios de Investigação da IBM em Zurique disponibilizam um novo patamar de segurança aos clientes da banca online através de um dispositivo USB. O protótipo assemelha-se a um dispositivo de armazenamento de dados (pen). As primeiratou xeias unidades fabricados em série estão já disponíveis para serem testados.

O Zone Trusted Information Channel (ZTIC), que se conecta a uma porta USB, pode ser activado em qualquer computador, criando uma ligação directa e segura com o servidor de transacções da banca online. O dispositivo vem, assim, permitir contornar o problema dos PCs infectados por malwares ou susceptíveis a ataques de hackers.

O consumidor pode usar o dispositivo de segurança para registar-se e validar todas as transacções através do ecrã, enquanto que o stick USB está ligado ao servidor de tal forma, que salvaguarda a operação de qualquer ataque que pudesse manipular os dados a que só o cliente e o banco têm acesso. Este dispositivo USB acrescenta um novo nível de segurança às soluções já existentes de autenticação, como o smart card, PIN, ou códigos de acesso, de forma a conter as mais recentes e perversas ameaças à segurança.

Os ataques feitos às transacções financeiras, na internet, estão mais inventivos de dia para dia. Entre os ataques mais conhecidos estão os “Man-In-The-Middle”, em que o hacker intercepta e modifica as mensagens que correm entre o utilizador e a instituição financeira. As mensagens alteradas aparentam ser transacções oficiais da instituição financeira, enquanto que as mensagens que são enviadas para esta, aparentam vir do consumidor.

O malware é uma forma de ataque ainda mais sofisticada, em que o hacker instala um vírus ou Trojan Horse no computador do utilizador para poder manipular as mensagens lidas e enviadas. Este processo permite redireccionar a comunicação e manipular a informação fornecida pelo browser em tempo real, durante a sessão de e-banking, de uma forma totalmente invisível aos olhos do consumidor.

Cerca de 90 por cento dos ataques de identidade feitos online são direccionados ao sector de serviços financeiros. O estudo feito em 2007 pela Swiss Reporting and Analysis Centre for Information Assurance (MELANI) demonstra que as intrusões de malware têm vindo a aumentar de uma forma bem sucedida e que “a actual autenticação a dois níveis, por exemplo através de número de autenticação de transacção ou SecurID, não é suficiente para proteger as transacções, uma vez que o computador do consumidor está já infectado pelo malware”

A ZTIC fornece segurança em qualquer um dos ataques apresentados, em que os métodos do banco e das opções de autenticação incluindo os smart cards, PINs e códigos de acesso de utilização única, acabam por ser ineficazes.

“Num cenário de crime cibernético organizado, torna-se óbvio que não há solução de segurança baseada no software do PC capaz de ser considerada verdadeiramente eficaz. Este pressuposto foi o ponto de partida para o desenvolvimento do ZTIC”, afirma Dr. Peter Buhler, Director de Ciência Computacional nos Laboratórios de Investigação de Zurique.

Esta solução passa todos os processos, críticos e criptográficos, do PC para o dispositivo ZTIC, criando uma comunicação fiável entre o servidor do banco e o utilizador. Ao utilizar o ZTIC o utilizador pode comunicar de forma segura mesmo nos serviços online mais sensíveis, como é o caso do banco online. Em combinação com um smart card, que pode ser inserido no ZTIC, o dispositivo fornece os maiores níveis de segurança disponíveis actualmente.

Depois de os investigadores terem concebido os protótipos iniciais de laboratório, estão agora disponíveis os primeiros dispositivos produzidos em série e preparados para os primeiros testes.

No caso de o computador estar infectado com um malware que manipule o fluxo da informação no PC, continua a ser possível cancelar a transacção enquanto esta estiver a decorrer no visor do ZTIC. O que o utilizador vê no ecrã é o mesmo que o servidor “vê”, ainda que ocorra uma intervenção no PC ou na Internet. “Tendo em conta que a ligação entre o ZTIC e o servidor é directa e segura, podemos dizer que o ZTIC fornece uma janela segura para o servidor,” afirma Buhler.

De salientar que o ZTIC foi ainda criado de forma a não ser necessário fazer nenhuma alteração no software do servidor ou no computador do cliente, podendo ser utilizado na maioria dos sistemas operativos dos computadores pessoais.

Especificações Tecnológicas

Os investigadores desenharam o ZTIC à semelhança de um USB com o mesmo tamanho de um dispositivo de armazenamento de dados. Recorrendo ao protocolo comum de TLS/SSL para seu funcionamento. O hardware é mínimo, consistindo numa unidade de processamento, em memória volátil e permanente, com um pequeno visor e, pelo menos, dois botões de comando (OK e Cancelar), bem como um leitor de smartcard opcional. O software está configurado com o completo sistema TLS incluindo todos os algoritmos criptográficos hoje exigidos pelos servidores SSL/TLS, um parser http para analisar as trocas de informação entre o cliente e o servidor, além de software personalizado para suporte do dispositivo USB de armazenamento em massa e uma proxy para utilizar no PC. Suporta autenticação de cliente TLS/SSL, bem como um chip-card baseado nos protocolos challenge/response.

Acerca da Divisão IBM Research

A IBM Research é uma unidade de investigação altamente avançada e prolifica, detentora de cinco Prémios Nobel e 15 anos de liderança em registo de patentes nos EUA. A IBM Research está envolvida com muitos investigadores privados e estatais a nível global, de forma a melhor compreender a e endereçar alguns dos grandes desafios do nosso tempo. Para mais informação consulte,
www.zurich.ibm.com.