Banken willen Chip en PIN-beveiligingslek censureren
De Britse bankorganisatie heeft de universiteit van Cambridge gevraagd om een rapport over beveiligingslekken in 'Chip en PIN' bankpassen offline te halen. Volgens de Cards Association zou de publicatie in strijd met het op verantwoorde wijze melden van problemen zijn, omdat het rapport teveel details over de "No-PIN-aanval" op bankpassen bevat. Ook klaagde de bankorganisatie over een blogposting van één van de onderzoekers.
"Onnodig om te zeggen zijn we hier niet erg onder de indruk van en dit heb ik in mijn antwoord aan de bankiers duidelijk gemaakt", zegt Ross Anderson, één van de onderzoekers die onderzoek naar de Britse betaalpassen verrichtte.
Anderson haalt in zijn antwoordbrief hard uit naar de banken. Die stellen dat de student die de betaalpassen onderzocht een transactie vervalste zonder de winkelier eerst te waarschuwen. "Ik begrijp niet de basis voor deze vraag. De banken in Frankrijk beweerden, net als jullie, dat hun systemen veilig zijn. Een Franse televisieprogramma wilde dit ontkrachten."
Censuur
De banken klagen volgens Anderson dat het werk van de onderzoekers het publieke vertrouwen in het betaalsysteem ondermijnt. "Wat het vertrouwen van het publiek in het betaalsysteem ondersteunt is bewijs dat de banken eerlijk en open zijn in het toegeven van beveiligingslekken als die worden onthuld, om die vervolgens op te lossen." De brief van de banken zou echter aantonen dat banken hun uiterste best doen om het werk van partijen buiten hun "gezellige club" af te keuren en zelfs te censureren.
Anderson merkt op dat de bankpassen van Barclays niet meer kwetsbaar voor de aanval zijn. De bankiers laten weten dat ze ook toekomstig onderzoek vrezen. Een nieuw onderzoek van Anderson en zijn collega's is inmiddels geaccepteerd voor Financial Cryptography 2011. "Dit is ons kerstcadeau voor de bankiers: het betekent dat jullie allemaal naar deze conferentie moeten komen om te horen wat we te zeggen hebben."
Verhelp de problemen dan om het vertrouwen terug te winnen. De reactie van de banken ondermijnt mijn vertrouwen *veel* meer dan de aanwezigheid van zwakheden in het systeem.
Verder een briljant antwoord van Ross Anderson !
Verhelp de problemen dan om het vertrouwen terug te winnen. De reactie van de banken ondermijnt mijn vertrouwen *veel* meer dan de aanwezigheid van zwakheden in het systeem.
Banken leggen gelijk de schuld bij de ander..
De first edition kun je (gratis) geheel van diezelfde page downloaden (het makkelijkst als 1 PDF (zie "Finally, here's a single pdf of the whole book. It's 17Mb, but a number of people asked me for it").
De first edition kun je (gratis) geheel van diezelfde page downloaden (het makkelijkst als 1 PDF (zie "Finally, here's a single pdf of the whole book. It's 17Mb, but a number of people asked me for it").
En de door hen zelf veroorzaakte krediet-crisis.. dat wekt wel vertrouwen bij het publiek??
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
