Gepubliceerd: Woensdag 29 oktober 2008
IBM introduceert ZTIC, een USB-gadget dat direct contact maakt met de bankserver om transacties te voltooien. Malware op de pc of het netwerk is zo kansloos.
Toon volledig artikel
Ja ja, geen extra software. Dan ben ik toch heel benieuwd hoe ze vanuit de browser een USB apparaat willen aansturen (zie filmpje).
Als de browser en de usb stick beide met de bank kunnen communiceren is het goed. Maar waarschijnlijk zul je nog een plugin moeten gebruiken.
Wel grappig dit systeem, omdat ik precies zo'n systeem paar weken geleden had bedacht. Dit echt de enige manier is om veilig op een computer te kunnen bankieren.
Wel belangrijk dat het apparaat zelf natuurlijk niet te kraken/flashen is. Het mooi is dat het apparaat zo weinig doet dat dat wel moet lukken. (Als je fysieke toegang tot het systeem hebt dan kun je het natuurlijk altijd kraken).
Dit systeem word alleen niet ingevoerd als de kosten hoger zijn dan het geld wat ze nu verliezen aan verkeerde transacties. Volgens mij is de beveiliging die de meeste nederlandse banken namelijk wel afdoende.
Als de browser en de usb stick beide met de bank kunnen communiceren is het goed. Maar waarschijnlijk zul je nog een plugin moeten gebruiken.
Waar maak je dat uit op..?
Wel grappig dit systeem, omdat ik precies zo'n systeem paar weken geleden had bedacht. Dit echt de enige manier is om veilig op een computer te kunnen bankieren.
Waar kan men kennisnemen van jou concept ontwerp...
Wel belangrijk dat het apparaat zelf natuurlijk niet te kraken/flashen is. Het mooi is dat het apparaat zo weinig doet dat dat wel moet lukken. (Als je fysieke toegang tot het systeem hebt dan kun je het natuurlijk altijd kraken).
USB...?
Dit systeem word alleen niet ingevoerd als de kosten hoger zijn dan het geld wat ze nu verliezen aan verkeerde transacties.
De kosten die het actief bestrijden van (dit soort) fraude met zich mee brengt zijn idd vele malen hoger dan het vergoeden van de kosten die zijn ontstaan door frauduleuze afboekingen bij hun cliënten, je zal maar een fraude (of krediet crisis) slachtoffer zijn en maanden op je geld moeten wachten van je bank/overheid, dan sta je al snel bij de draaideur van je buurtsuper om een daklozen-krant aan te bieden.
Plof...
"" Waar kan men kennisnemen van jou concept ontwerp...
Het idee is zo generiek en voor de hand liggend dat het waarschijnlijk door miljoenen mensen al een keer bedacht is.
Ik had het zelf al jaren geleden bedacht om een generieke usb microcontroller stick als trusted computer te gebruiken om een veilige verbinding met ssh te kunnen opzetten bij een internet cafe.
Is bijvoorbeeld heel handig als een reporter of wat dan ook ff snel zijn stukjes wil inleveren.
Daarnaast heb je ook al heel veel de ssh key op de usb microcontroller stick om daar redelijk secure je eigen keys op te laten.
Zoals ook uit het filmpje opgemaakt kan worden, wordt er vanuit het device een directe verbinding gemaakt met de server van de bank.
Denk dat het principe ongeveer gelijk is aan het principe van de zogenaamde Mobikey
Data van de gebruiker wordt geverifieerd op een verificatie-server en na akkoord wordt er een VPN verbinding opgezet met de bank. Hierbij is een man-in-the-middle attack niet mogelijk.
Ben benieuwd of het inderdaad zo veilig is, als dat de makers aangeven.
Spoofing heeft in ieder geval geen nut, omdat de daadwerkelijke transactie zichtbaar gemaakt wordt in het schermpje. Vraag mij alleen af hoelang het display van het apparaatje blijft werken.
Er schijnt een onderzoek geweest te zijn waarvan ik dus op het internet niets heb kunnen vinden, waardoor sommige instellingen het niet toestaan dat netwerkprinters, aangesloten op het bedrijfsnetwerk, eveneens via usb worden aangesloten op een 'normale' internetcomputer.
Men schijnt uitgevonden te hebben dat het mogelijk moet zijn om de printer te gebruiken als een doorgeefluik vwb data tussen netwerkinterface en usb-port.
Als dit daadwerkelijk mogelijk is, dan is, lijkt mij, de stap naar een usb-man-in-the-middle natuurlijk snel gemaakt.
Is er iemand in dit forum die weet waar info vwb het netwerkinterface <-> usb fenomeen op het net gevonden kan worden?
@sjonnie48; Dat maakt niet uit; er staat geen persoonlijke info op. Het is net zoiets een losse kaartlezer die de saldo van je chipknip uitleest.
Ben benieuwd of in dit mechanisme zwakheden/gaten worden gevonden. Het principe is wel ideaal en wenselijk om zo spoedig mogelijk ingevoerd te worden.
Ben benieuwd of in dit mechanisme zwakheden/gaten worden gevonden.
Eerder deze week werd al vastgesteld dat niets onkraakbaar is.
Hoe maakt de usb stick verbinding met de bank om aan te geven dat het om de goede klant gaat? Direct via een signaal dat niet langs de processor loopt, of hoe moet ik me dat voorstellen? Als het alsnog de een of andere (softwarematige) tussenweg naar het internet gebruikt is het toch alsnog mogelijk om dit met bijvoorbeeld een virus te beïnvloeden of begrijp ik dan iets nog niet?
Je kan er van uit gaan dat de verbinding tussen de stick en de server gewoon veilig opgezet kan worden. Dat gedeelte met virussen enzo dat moet je gewoon zien als standaard internet, dus dat gaat wel goed.
Helaas heeft de stick geen veilige verbinding met de gebruiker, en kan de man-in-the-browser dus iets heel anders tonen op het scherm dan wat naar de stick gestuurd wordt.
Het is dus niet veel anders gesteld met de beveiliging als nu met internetbankieren, alleen hoef je nu niet goed op te letten op je scherm, alleen maar op het groene knopje op je usb stick te drukken.
Pas als die usb stick gaat voorlezen waarvoor je op het groene knopje drukt, of dat op een andere wijze duidelijk maakt (bedenk dat een USB mp3 speler met OLED display heel goedkoop is, en genoeg knopjes heeft, en dus beter geschikt is om dat te doen) dan mag men pas over een vooruitgang spreken.
Hmmm, toch eens kijken of er al een USB mp3 speler met display gehackt is. Ow wacht, gewoon een ipod met linux ofzo. Beetje duur, maar wel een mooie proof-of-concept, en ideaal om mijn ssh keys te bewaren ;-).
Op de een of andere manier communiceert het toetsenbord met de USB stick. Die data kan niet encrypted zijn, en zo ja, dan kan men de USB stack backdooren.
Ik denk dat we hier te maken hebben met een smartcard op USB stick. Met TAN code principe zou het beter zijn. Bovendien mogen mensen zo'n USB stick niet laten slingeren. En dat gaat wel gebeuren... het is ook lastiger te verstoppen dan je pinpas...
Wat ik me afvraag is de afhankelijkheid van een Operating System en hardware?
Werkt het onder Windows, Mac, Linux?
Onder welke versies werkt het dan? Het werkt nu onder Vista en werkt het straks onder Windows 7?
Voordeel van de huidige kaartlezers is dat je het op alles met Internet toegang kan doen. Ook als je niet bij de externe poorten kan.
Dan vind ik het SMS-TAN systeem van de Postbank beter. Als een transactie wilt maken krijg je eerst een SMS op je mobieltje. Hierop staat wat het bedrag hoogste is. En indien dit bedrag dacht ik hoger is dan 1000 euro zie je tevens de laatste 3 cijfers waar het naar toe gaat.
Dit is een gescheiden systeem, terwijl de USB-stick hier op het systeem naast de malware zit. Vroeg of laat zal er malware komen die ook deze stick zal hacken.
www.totse.com/e...guid179191.html
www.motron.com/...DataLogger.html
www.isaac.cs.be...ac/gsm-faq.html
Plof...
Dit lijkt mij geen goede oplossing. Er is niet aan gedacht hoe gebruikers omgaan met zo'n "Ja/Nee" antwoord, als ze 99.99999% van de tijd op "Ja" moeten drukken. De kans dat je bij de 0.00001% van de gevallen, dat je op "Nee" had willen drukken, dat ook daadwerkelijk doet lijkt mij niet echt groot. Dat is een simpele regel van ergonomisch ontwerpen. Als het apparaat technisch een verbetering zal zijn wordt dat teniet gedaan door de slecht ontworpen interface.
Goed concept, ik hoop alleen dat het gehele productieproces nauwlettend word gevolgd en de kwaliteitscontrole op een hoger niveau staat dan een decennia geleden het geval was.
In March 1999, several thousand IBM Aptivas shipped with the CIH virus, just one month before the virus would trigger.
Plof...
yoggie.com/pico-personal
www.opensc-project.org/
www.debian-admi...rg/articles/179
Veiliger kan niet.
Je live cd zal toch een verbinding via het grote boze internet moeten opbouwen. Voor zover ik het bericht begrijp zorgt deze stick voor de veiligheid van die verbinding.
Ik schrijf wel live-CD maar hetzelfde grapje kan je ook met een (live)-USB stick of met een (live)-CF kaartje doen.
Voorbeeld in mijn eBox zit geen HDD die draai ik vanaf CF, leuk om te kunnen kiezen welke OS je wilt draaien (ik heb er 6, zelfs eentje met XP, schaam, schaam.... alleen om te testen hoor !), daarnaast heb ik (is iets trager) nog een 4-tal USB sticks met div distro's erop.
Ik heb nooit begrepen waarom banken voor de mensen die zich niet veilig voelen, b.v. omdat ze window$ gebruiken, een mini-cd discje die 8cm doorsnee dingetjes, gratis uitdelen.
Gewoon een uitgeklede GNU/Linux distro erop (zoals b.v. Puppy 4.0) met een veilige browser b.v. Chrome, start in 45 seconden op en bankier maar raak. Samen met wat veiligheidstools die op de achtergrond draaien lijkt mij dat DE oplossing.
Kost geen drol en de PR functie is giga ;)
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
