Banken bedreigen beveiligingsonderzoeker

De lezing van security-onderzoeker Raoul Chiesa met de titel "The Underground Economy" had inzicht moeten geven in zaken zoals oplichting, het witwassen van geld en het misbruik van geldautomaten. De expert, die onder andere onderzoek doet voor de Verenigde Naties (het United Nations Interregional Crime & Justice Research Institute), staat erom bekend de werking van de onderwereld uit te pluizen.

Niet nieuw

Zijn eerder geplande toespraak is een meer up-to-date versie van een in februari gegeven lezing op de Nullcon-conferentie. Ook in die presentatie spreekt hij over de zwakheden in geldautomaten, waarbij de nu gewraakte slides toen wel zijn getoond maar niet online staan. Dit verhaal vertelt hij vaker (pdf).

Volgens insiders was nu het plan om te laten zien hoe het mogelijk is bij bepaalde pinautomaten geld in handen te krijgen door de beveiliging te omzeilen. De methodes zouden bij criminelen reeds bekend zijn. Jaarlijks zou 500 miljoen euro worden gestolen, waarbij het niet onwaarschijnlijk is dat een deel van dit bedrag wordt buitgemaakt via dezelfde of vergelijkbare zwakheden in de systemen. Dus waarschuwt de onderzoeker al langer voor de risico's van zwakke geldautomaten.

Presentatie geannuleerd

Ditmaal heeft de Italiaan volgens de organisatoren van Hack in the Box waarschuwingen gekregen dat hij bij het betreden van het podium in Amsterdam een arrestatie tegemoet kan zien. Dat dreigement zou afkomstig zijn van banken, die ongelukkig zijn met het bekend worden van de zwakheden. Daarom kiest hij eieren voor zijn geld en annuleert de lezing. Ook besluit hij de conferentie niet te bezoeken. De organisatie van de hackersbijeenkomst zoekt een andere spreker voor het plots niet ingevulde tijdslot.

"Als de zwakheid, waarover hij zou spreken, echt zo belangrijk is als de banken en de verkopers menen dat het is dan moet het publiek dit weten", zegt Dhillon Kannabhiran, organisator van Hack in the Box, tegenover Webwereld. "Als het gaat over een lek in een niche-toepassing, waarbij niet veel mensen het gebruiken, dan is de impact niet zo groot. Maar als je denkt aan een banklek of een zwakke plek in een geldautomaat, waardoor je bijvoorbeeld geld kunt opnemen, dan raakt dat jou en mij. Dat raakt iedereen."

Onthullen noodzakelijk

Kannabhiran meent dus dat er een maatschappelijk belang is bij openbaring. "Als het een lek is met massale impact dan moet het worden onthuld. Misschien moet dat op een verantwoorde manier, maar het moet wel worden onthuld", stelt hij onomwonden. "Het is hoe dan ook niet goed om informatie achter te houden met juridische maatregelen. Je stopt het misbruik niet omdat een advocaat iets zegt."

Hij benadrukt dat Chiesa banken diverse malen op de hoogte heeft gebracht van de problemen. "De banken wisten ervan", verzucht Kannabhiran. "Dat ze nu stellen dat de kennis alleen bij hem [Chiesa] is en dat ze dus nu het probleem hebben verholpen, is dom."

Dat banken niet open zijn over de risico's van systemen is op zich niet nieuw. Security-guru Bruce Schneier heeft in het verleden diverse malen gewezen op bestaande problemen in geldautomaten. Hij observeert dat in het Verenigd Koninkrijk bij klachten over spookopnames bankklanten door rechtbanken zijn veroordeeld tot gevangenisstraffen voor fraude. In zijn boek \"Beyond Fear\" wijst hij op een zaak, waar jaren na een veroordeling van een man duidelijk werd dat de pinmachine problemen had. De veroordeelde heeft dus onschuldig vastgezeten.

Spreekverbod

Het gebeurt vaker dat beveiligingsonderzoekers de mond wordt gesnoerd. In 2009 verbood netwerkleverancier Juniper zijn personeelslid Barnaby Jack te spreken over zwakheden in geldautomaten. Ondanks dat hij negen maanden met de leverancier van de machines heeft gewerkt om de problemen te verhelpen, wilde deze toch geen lezing. De Amerikaanse geldautomatenfabrikant wilde met dit spreekverbod een slechte reputatie voorkomen.

Een ander bekend geval is onderzoeker Michael Lynn. Hij werd in 2005 door zijn werkgever ISS en netwerkleverancier Cisco gedwongen inmiddels verholpen zwakheden in routersoftware geheim te houden. Hij hield zijn presentatie toch. Dat kwam hem op ontslag te staan en Cisco klaagde hem - zonder succes - aan. Later werd duidelijk dat de netwerkleverancier afspraken met het Amerikaanse leger had geschonden door het lek niet te melden.