IT-NORGE

Norske nettbanker snuser på IBMs «ZTIC»

Løsningen tetter et sikkerhetshull i BankID, og er nettopp tatt i bruk i Sveits.

ZTIC koples til pc-en gjennom en USB-forbindelse. Pålogging til nettbank skjer utelukkende i ZTIC, utenfor rekkevidde av programvare på pc-en. Alle transaksjoner må godkjennes ved å trykke på en grønn knapp på ZTIC. Skjermen på ZTIC viser det faktiske kontonummeret som overføringen skjer til, og beløpet, her 23,45 sveitsiske franc.
ZTIC koples til pc-en gjennom en USB-forbindelse. Pålogging til nettbank skjer utelukkende i ZTIC, utenfor rekkevidde av programvare på pc-en. Alle transaksjoner må godkjennes ved å trykke på en grønn knapp på ZTIC. Skjermen på ZTIC viser det faktiske kontonummeret som overføringen skjer til, og beløpet, her 23,45 sveitsiske franc. Bilde: IBM
26. feb. 2010 - 11:59

Det er kjent at ordninger for tofaktorautentisering i nettbank, hvorav den norske ordningen BankID, er sårbare for en type angrep kjent som «mannen i midten». Sårbarheten er demonstrert av flere: I Norge av professor Kjell Jørgen Hole i Bergen, og i Sveits av Melani, et offentlig institutt for nettsikkerhet.

I oktober 2008 viste IBM en løsning for pålogging og kontroll av nettbankforbindelser som tetter sikkerhetshullet i BankID. Løsningen ble døpt «ZTIC» for «zone trusted information channel». Den er utviklet av IBMs forskningslaboratorium i Zürich, i samarbeid med representanter for det lokale bankvesenet.

Denne uken ble det meldt at den sveitsiske banken UBS har begynt å tilby ZTIC til både private og bedriftskunder, under betegnelsen UBS Access Key.

Morten Garvik, som leder markedsføringen mot bank og finans i IBM Norge, sier til digi.no at han har vist løsningen til potensielle kunder, og at disse har vist en klar interesse. Mer ønsker han ikke å kommentere.

ZTIC består av en enhet som koples til en pc – også Mac – over USB. Den har egen skjerm, og to knapper merket med henholdsvis rødt kryss og grønn hake Ved tilkopling installerer den seg selv, oppretter en forbindelse til nettbanken, og setter i gang påloggingsprosessen. Pålogging er avhengig av et smartkort som stikkes inn i ZTIC. Pc-ens nettleser brukes til å taste inn brukeridentitet og en pin-kode. Påloggingen er avhengig av at man trykker på den grønne hakeknappen på ZTIC.

– Det viktige her er at det der selve enheten som står for påloggingen. Påloggingen er ikke avhengig av noen form for programvare på pc-en, og kan følgelig ikke manipuleres gjennom en nettforbindelse til pc-en, sier Garvik.

Knappene på ZTIC brukes også til å godkjenne hver transaksjon. I utgaven som IBM viste for halvannet år siden, viste ZTIC-skjermen både mottakerens kontonummer og beløp. Elektronikken i ZTIC sørger for at det er den kontoen overføring faktisk vil skje til, som vises. En «mann i midten» kan tenkes å kunne manipulere pc-ens nettleser, men kan ikke skaffe seg tilgang til ZTIC for å forfalske det som vises på sikkerhetspinnen.

I implementasjonen som UBS har valgt, vises bare kontonummeret. Ideen er uansett at dersom kontonummeret på ZTIC-skjermen ikke stemmer overens med kontonummeret på pc-skjermen, er det et tegn på at noen «i midten» har kapret forbindelsen. Da kan – og skal – man nulle transaksjonen ved å trykke på den røde knappen på ZTIC, og umiddelbart varsle banken.

Systemkravene oppgitt for UBS Access Key går i korthet ut på at Windows-brukere trenger enten Internet Explorer eller Firefox, og at Mac-brukere trenger Safari eller Firefox.

UBS tilbyr Access Key gratis til sine bedriftskunder. Private må betale 65 sveitsiske franc, tilsvarende 360 kroner.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra