Banken bedreigen hacker wegens lek in geldautomaten
Een Italiaanse hacker die tijdens Hack in the Box Amsterdam wilde vertellen hoe de Maffia via lekken in geldautomaten grote sommen geld steelt, heeft onder druk van de banken zijn lezing geannuleerd. Raoul Chiesa zou met zijn lezing "The Underground Economy" de twee dagen durende hackerconferentie in de hoofdstad afsluiten. Als hij volgens insiders op het podium was gekomen, zou hij direct door politie zijn gearresteerd. Chiesa wilde duidelijk maken hoe het Europese geldwezen onder fraude en criminaliteit heeft te lijden. Uit cijfers van het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) blijkt dat pinpasfraude en fraude met geldautomaten criminelen jaarlijks meer dan 500 miljoen euro oplevert.
Bij sommige pinautomaten zou het mogelijk zijn om de beveiliging te omzeilen en zo grote sommen geld te roven. Iets waar criminelen zich ook mee bezighouden en waar de Italiaanse hacker al lange tijd voor waarschuwt. Dezelfde presentatie werd ook tijdens CONFidence 09 en Nullcon 2010 gegeven, alleen zijn sommige slides over fraude met geldautomaten uit de online versie verwijderd.
Daarnaast is Chiesa betrokken bij het United Nations Interregional Crime & Justice Research Institute. Dat houdt zich bezig met het in kaart brengen van cybercrime, door staten gesponsorde aanvallen, industriële spionage, internationaal witwassen van geld en de "ondergrondse economie." De presentaties van Chiesa zijn echter op persoonlijke titel.
Geheimhouding
Chiesa zou de banken al geruime tijd over de problemen hebben gewaarschuwd. Toch mocht hij niet in Amsterdam op het podium verschijnen, tot grote teleurstelling van de organisatie. "Gewoon klote, omdat het ons in een zeer lastige positie brengt", zegt Dhillon Kannabhiran, organisator van Hack in the Box, tegenover Security.nl. De annulering werd pas op het allerlaatste moment bekend.
"Als het lek waarover hij zou spreken echt zo belangrijk is als de banken en leveranciers denken, dan moet het publiek hierover weten." Kwetsbaarheden in niche-producten treffen volgens Kannabhiran slechts een kleine groep. "Maar een lek in een geldautomaat, waardoor je bijvoorbeeld geld op kunt nemen, dat raakt iedereen", aldus de organisator. Beveiligingslekken in producten die zo'n grote impact hebben moeten volgens hem gemeld worden. "Misschien op verantwoorde wijze, maar ze moeten worden gemeld. Het is geen goede oplossing om het lek via juridische stappen geheim te houden. Het moet worden opgelost. Het misbruikt verdwijnt niet omdat een paar advocaten zeggen dat ze je arresteren. Dat betekent niet dat het lek is opgelost."
Kannabhiran merkt op dat Chiesa de banken op verantwoorde wijze en lang van tevoren over de problemen heeft ingelicht. "Maar hoe lang is voldoende tijd?" stelt de organisator. Dat het publiek er nog niet van weet, wil niet zeggen dat criminelen het wel weten en er misbruik van maken. Volgens Kannabhiran is er een goede kans dat ook anderen van het lek weten. "Maar misschien hebben die andere belangen waarom ze het niet bekend maken." Om te stellen dat alleen Chiesa er vanaf weet, hem aan te klagen en zo het probleem op te lossen, is dom, aldus Kannabhiran.
Censuur
Het is niet de eerste keer dat een beveiligingsonderzoeker onder dwang een lezing annuleert en zal volgens Kannabhiran ook niet de laatste keer zijn. "Zolang er advocaten zijn en mensen denken zo problemen geheim te kunnen houden, zullen ze dat doen. Niemand wil worden aangeklaagd." Vorig jaar werd een demonstratie van onderzoeker Barnaby Jack, die zou laten zien hoe je geldautomaten kunt hacken, verboden. De leverancier van de geldautomaten was ingelicht, maar wilde dat de informatie geheim bleef en zette de werkgever van Jack, Juniper Networks, onder druk.
Het bekendste incident waarbij geprobeerd werd een onderzoeker de mond te snoeren was met Michael Lynn tijdens de Black Hat 2005 conferentie in de Verenigde Staten. Lynn, destijds onderzoeker bij de X-Force afdeling van Internet Security Systems, nam zelfs ontslag bij zijn werkgever om de presentatie over lekken in het Cisco IOS te kunnen houden. Wat hem uiteindelijk op een aanklacht kwam te staan.
Een ander geval van censuur vond plaats bij Charles Edge. Hij zou een demonstratie geven over een zero-day lek in Apple's FileVault disk encryptie, maar na het ondertekenen van een geheimhoudingsovereenkomst ging dat niet door.
Wat betreft Hack in the Box Amsterdam had Kannabhiran ook nog goed nieuws. "Volgend jaar zijn we er zeker weten weer."
Stelliger ik vind het een plicht om dit soort zaken openbaar te maken, b.v. na 3 maanden na melding bij de betreffende instanties. Natuurlijk op een manier die het trucje niet openbaar maakt voor de rest van het boevengilde...
Verder vind ik dat banken en andere fin instellingen per maand moeten melden hoe vaak er geslaagde incidenten zijn geweest met bedrag en wat men heeft gedaan aan oplossen van het probleem.
^o^
Laat staan ingevoerd.
Hack een geldautomaat
Submitted by Classity Securi... on 05/2010
Voor velen een jongsdroom, voor Barnaby Jack de normaalste zaak van de wereld: geldautomaten kraken. Tijdens de komende Blackhat USA (één van de jaarlijkse beveiligingsconferenties, traditioneel gehouden in Caesars Palace, Las Vegas) presenteert hij hoe je verschillende geldautomaten zo ver kunt krijgen verkeerde bedragen uit te spugen. Of zelfs hun volledige voorraad papiergeld aan te bieden.
Geinspireerd door een scene uit Terminator 2 zou Barnaby eigenlijk vorig jaar al op de beveiligingsconferentie spreken over kwetsbaarheden in een bepaald type ATM. Zijn toenamlige werkgever Juniper besloot echter op het laatste moment zijn presentatie te verbieden. Ongetwijfeld onder druk van de banken, die tevens belangrijke klanten zijn van Juniper.
Inmiddels is Barnaby Jack van werkgever gewisseld en staat hij opnieuw op de sprekerslijst. Met een jaar extra onderzoekstijd beschikt hij nu naar eigen zeggen over zowel over lokale aanvallen, alswel over aanvallen via het netwerk (remote). Hoewel beveiligingsexperts normaliter het meest gealarmeerd raken van remote aanvallen, zou dit in dit geval lokale aanvallen wel eens een grotere impact kunnen hebben.
De conferentie start eind juli.
In het verleden was er ook een leuke fout.
http://www.security.nl/artikel/14462/1/Geldautomaten_te_hacken_via_wachtwoord_'123456'.html
De politie die iemand arresteert die het podium oploopt ? Met welke rechtsgrond zou dat zijn ?
"U bent gearresteerd omdat U van plan zou zijn ergens over te gaan praten" ?
Lijkt me alleen mogelijk in heel extreme of exotische gevallen (niet een hackerslezing). En een eventuele opdracht tot arrestatie komt van een Officier van Justitie, en niet van een bank. De bank kan klagen of vragen bij justitie, maar niet sturen.
Arrestatie na afloopt, als het vermeende strafbare feit gepleegd is lijkt me nog steeds een kleine kans. De grond waarop dat zou moeten gebeuren is in het bovenstaande artikel niet genoemd.
Als een bank 'm civielrechtelijk zou willen aanklagen dan wordt er helemaal niemand gearresteerd. Totaal geen drama van eenstrepers die iemand van het podium sleuren, alleen een hoop aangetekende brieven en misschien een deurwaarder die stukken bezorgt.
Die "insiders" die visioenen hebben van een arrestatie "meteen bij het beklimmen van het podium" snappen iets niet, of iets anders (oppimpen van niet zo spannend nieuws) juist erg goed.
"advocaten die je arresteren" Totale nonsens. Advocaten zijn doodgewone burgers die in dit opzicht even veel of weinig mogen als andere burgers. Een burger arrestatie bestaat, maar rondom dit onderwerp? Lijkt me dat de advocaat hiermee zich meteen schuldig zou maken aan aanranding.
Nu zou het kunnen dat de spreker (of diens werkgever/opdrachtgever) wel erg duidelijk (civiel)rechtelijk fout zit als hij zou spreken, en dat bij voorbaat verloren gevecht niet aan wil gaan.
Als hij bijvoorbeeld een aantal dingen onder non-disclosure agreement ontdekt heeft, compleet met een fiks boetebeding, en die overeenkomst willens en wetens zou schenden door te spreken, ja, dat wordt een dure grap. Geen arrestatie op het podium, ook niet later, maar wel een duur probleem.
Dit is nu al de tweede opklopperij rondom Hack In The Box. (dat 'lek in de HTTP protocol' was ook wel veel lawaai voor het feitelijke probleem).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
