image

Banken willen Chip en PIN-beveiligingslek censureren

maandag 27 december 2010, 15:02 door Redactie, 9 reacties

De Britse bankorganisatie heeft de universiteit van Cambridge gevraagd om een rapport over beveiligingslekken in 'Chip en PIN' bankpassen offline te halen. Volgens de Cards Association zou de publicatie in strijd met het op verantwoorde wijze melden van problemen zijn, omdat het rapport teveel details over de "No-PIN-aanval" op bankpassen bevat. Ook klaagde de bankorganisatie over een blogposting van één van de onderzoekers.

"Onnodig om te zeggen zijn we hier niet erg onder de indruk van en dit heb ik in mijn antwoord aan de bankiers duidelijk gemaakt", zegt Ross Anderson, één van de onderzoekers die onderzoek naar de Britse betaalpassen verrichtte.

Anderson haalt in zijn antwoordbrief hard uit naar de banken. Die stellen dat de student die de betaalpassen onderzocht een transactie vervalste zonder de winkelier eerst te waarschuwen. "Ik begrijp niet de basis voor deze vraag. De banken in Frankrijk beweerden, net als jullie, dat hun systemen veilig zijn. Een Franse televisieprogramma wilde dit ontkrachten."

Censuur
De banken klagen volgens Anderson dat het werk van de onderzoekers het publieke vertrouwen in het betaalsysteem ondermijnt. "Wat het vertrouwen van het publiek in het betaalsysteem ondersteunt is bewijs dat de banken eerlijk en open zijn in het toegeven van beveiligingslekken als die worden onthuld, om die vervolgens op te lossen." De brief van de banken zou echter aantonen dat banken hun uiterste best doen om het werk van partijen buiten hun "gezellige club" af te keuren en zelfs te censureren.

Anderson merkt op dat de bankpassen van Barclays niet meer kwetsbaar voor de aanval zijn. De bankiers laten weten dat ze ook toekomstig onderzoek vrezen. Een nieuw onderzoek van Anderson en zijn collega's is inmiddels geaccepteerd voor Financial Cryptography 2011. "Dit is ons kerstcadeau voor de bankiers: het betekent dat jullie allemaal naar deze conferentie moeten komen om te horen wat we te zeggen hebben."

Reacties (9)
27-12-2010, 15:11 door Anoniem
"Onderzoekers zouden vertrouwen in betaalsysteem ondermijnen."

Verhelp de problemen dan om het vertrouwen terug te winnen. De reactie van de banken ondermijnt mijn vertrouwen *veel* meer dan de aanwezigheid van zwakheden in het systeem.
27-12-2010, 16:38 door Eerde
Het ging niet over een rapport over beveiligingslekken maar om Omar Choudary's 'thesis' voor zijn MPhil (Master of Philosophy).

Verder een briljant antwoord van Ross Anderson !
27-12-2010, 16:50 door Syzygy
Ook "MoneyLeaks" (bedenk ik net zelf hoor) wordt NIET gewaardeerd .
27-12-2010, 21:10 door Anoniem
Door Anoniem: "Onderzoekers zouden vertrouwen in betaalsysteem ondermijnen."

Verhelp de problemen dan om het vertrouwen terug te winnen. De reactie van de banken ondermijnt mijn vertrouwen *veel* meer dan de aanwezigheid van zwakheden in het systeem.
+1

Banken leggen gelijk de schuld bij de ander..
28-12-2010, 00:45 door Bitwiper
Ross Anderson is de auteur van een bekend boek getiteld "Security Engineering". Van de second edition kun je enkele voorbeeldhoofdstukken downloaden vanaf http://www.cl.cam.ac.uk/~rja14/book.html.

De first edition kun je (gratis) geheel van diezelfde page downloaden (het makkelijkst als 1 PDF (zie "Finally, here's a single pdf of the whole book. It's 17Mb, but a number of people asked me for it").
28-12-2010, 07:05 door WhizzMan
Wordt het niet eens tijd dat we deze info in Nederland ook opvragen? Zolang we als overheid via de Nederlandse Bank verantwoordelijk zijn voor het niet omvallen van de banken, lijkt me dit onder de WOB vallen.
28-12-2010, 10:30 door wizzkizz
Door Bitwiper: Ross Anderson is de auteur van een bekend boek getiteld "Security Engineering". Van de second edition kun je enkele voorbeeldhoofdstukken downloaden vanaf http://www.cl.cam.ac.uk/~rja14/book.html.

De first edition kun je (gratis) geheel van diezelfde page downloaden (het makkelijkst als 1 PDF (zie "Finally, here's a single pdf of the whole book. It's 17Mb, but a number of people asked me for it").
Dank!
28-12-2010, 10:56 door TheShield
Gaan ze dan ook meteen alle twitter accounts offline proberen te halen die vermelden dat hun bank account is gehackt? Als je eerlijk bent dan ben je gewoon open en transparant en huur je juist hackers en onderzoekers in om achter de problemen te komen in plaats van het proberen weg te moffelen om maar een zo groot mogelijke bonus te ontvangen, die je anders kwijt was aan dit soort onderzoeken.
28-12-2010, 15:41 door Dev_Null
De banken klagen dat het werk van de onderzoekers het publieke vertrouwen in het betaalsysteem ondermijnt

En de door hen zelf veroorzaakte krediet-crisis.. dat wekt wel vertrouwen bij het publiek??
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.