IBM Terlihat untuk Mengamankan Internet Banking Dengan USB Stick

Laboratorium penelitian Zurich IBM telah mengembangkan USB stick yang menurut perusahaan dapat memastikan transaksi perbankan yang aman bahkan jika PC penuh dengan malware.

Prototipe perangkat, yang disebut ZTIC (Zona Saluran Informasi Tepercaya), dipajang untuk pertama kalinya di pameran dagang Cebit minggu ini. IBM berharap untuk menarik bank agar membeli untuk perbankan online, yang menghemat uang bank untuk biaya personil tetapi terus-menerus dikepung oleh peretas.

Ketika terhubung ke komputer, ZTIC dikonfigurasi untuk membuka koneksi SSL (Secure Sockets Layer) yang aman dengan server bank, kata Michael Baentsch, manajer produk untuk BlueZ Business Computing di laboratorium Zurich.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

ZTIC juga merupakan pembaca kartu pintar dan dapat menerima kartu bank seseorang untuk verifikasi. Setelah PIN (nomor identifikasi pribadi) diverifikasi, transaksi dapat dimulai melalui browser Web.

Browser web, bagaimanapun, adalah titik kelemahan untuk perbankan online karena serangan man-in-the-middle.

Peretas telah membuat program perangkat lunak berbahaya daripada yang dapat memodifikasi data saat dikirim ke server Web bank, tetapi kemudian menampilkan informasi yang diinginkan konsumen di browser. Akibatnya, rekening bank seseorang dapat dikosongkan. Serangan man-in-the-middle juga efektif bahkan jika pelanggan bank menggunakan generator kata sandi satu kali.

Namun, ZTIC mengabaikan browser dan langsung menuju bank. Ini memastikan bahwa pertukaran data akurat.

Misalnya, pelanggan bank ingin mentransfer uang. Pelanggan akan memasukkan US $ 100 ke formulir di browser. Server bank kemudian akan mencoba untuk mengkonfirmasi jumlahnya. Selama serangan man-in-the-middle, penyerang mampu mentransfer $ 1.000 tetapi dapat memodifikasi pesan konfirmasi untuk tetap menunjukkan $ 100.

Karena memiliki koneksi aman langsung dengan server bank, ZTIC akan menunjukkan jumlah yang sebenarnya telah diminta untuk dikirim. Jadi bahkan jika browser menunjukkan konfirmasi untuk $ 100, ZTIC akan menunjukkan $ 1.000, menunjukkan serangan man-in-the-middle sedang berlangsung, kata Baentsch. Pengguna akan tahu untuk menolak transaksi dan menekan tombol "x" merah pada ZTIC.

"Jika malware menyerang transaksi perbankan online Anda, itu akan menunjukkan sesuatu yang aneh telah terjadi," kata Baentsch.

IBM mengeluarkan banyak upaya untuk mencari cara memulai sesi SSL dalam USB stick, kata Baentsch. Dibutuhkan beberapa pemrosesan otot, dan karena USB berjalan independen dari PC, ia tidak memiliki akses ke prosesor komputer.

ZTIC menggunakan chip dari perancang mikroprosesor ARM, dan peranti lunak telah dirancang sehingga dapat dengan cepat membuat Sesi SSL, kata Baentsch. Meskipun ini adalah memory stick, tidak ada data yang dapat disimpan di dalamnya, yang juga mencegah perangkat lunak jahat menginfeksinya.

Menggunakan ZTIC juga akan mencegah serangan phishing, di mana situs Web palsu mencoba untuk memperoleh detail sensitif dari pengguna, dan serangan pharming, di mana pengaturan DNS (Domain Name System) telah dirusak, kata Baentsch. ZTIC memeriksa untuk memastikan bahwa situs Web tersebut memiliki sertifikat keamanan yang valid.

IBM memiliki angka internal tentang seberapa banyak biaya ZTIC untuk bank, tetapi Baentsch tidak akan mengungkapkannya, mengatakan bahwa itu akan bergantung pada spesifikasi desain akhir dari ZTIC dan faktor lainnya.