Citibank knebler forskning i banksikkerhet

Citibank har tatt snedige juridiske skritt for å kneble forskere ved Cambridge University som har avslørt en rekke sikkerhetshull i bankvesenet.

Digi.no meldte i går at forskere ved University of Cambridge har publisert en rapport om hvordan utro IT-folk i banken kan finne fram til bankkunders PIN-koder og tappe deres kontoer, praktisk talt uten fare for å bli oppdaget.

Innen bankvesenet er det flere miljøer der slike avsløringer blir møtt med harme. Et slikt miljø, i Citibank og Diner’s Club, har lagt en snedig plan for å sørge for at banksikkerhetsekspertene i Cambridge blir kneblet.

Citibank har utnyttet saken til et sørafrikansk ektepar, identifisert som herr A. Singh og fru V. Singh, som fikk sitt Diner’s Card tappet for over 50.000 pund gjennom 190 uttak i britiske minibanker den første helgen i mars 2000, på et tidspunkt da begge beviselig oppholdt seg hjemme i Sør-Afrika. Ekteparet har følgelig nektet å innfri kravet fra Diner’s Club, og den sørafrikanske avdelingen av Diner’s Club har gått til sak mot dem.

Lederen for sikkerhetsforskerne som avslørte den nye metoden for PIN-kodesvindel, Ross Anderson, skriver på sitt nettsted at de fikk mange ideer ved å lese åpne avisreferater av tilfellet i Sør-Afrika. I tillegg til det de har offentliggjort gjennom rapporter og andre innlegg i den akademiske debatten, sitter de nå på mye materiale som kan tyde på at banksikkerheten generelt er langt dårligere enn det bankene selv gir inntrykk av.

Rettssaken mot det sørafrikanske ekteparet gir Citibank og Diner’s Club anledning til å innkalle Cambridge-ekspertene som vitner. På anmodning fra det sørafrikanske rettsvesenet, og trass i protester fra forskerne, har en britisk dommer beordret at vitneopptakene skal skje i Storbritannia, og at de skal skje under full konfidensialitet.

- Vi er pålagt av retten å vitne, og alt vi sier som ikke allerede er tilgjengelig for offentligheten, skal ikke kunne offentliggjøres, forklarer doktorgradsstudent Mike Bond til digi.no. Bond er en av forfatterne av PIN-koderapporten. – Retten slår fast at kravet om konfidensialitet skal gjelde i både England og Wales. Hvis vi under vitneavhør forteller om ting vi har oppdaget men ennå ikke har rukket å publisere, vil vi inntil videre ikke ha tillatelse til å bruke det.

Bond sier han regner med at dette er en bevisst taktikk for å hindre offentligheten fra å få kjennskap til det arbeidet han og Andersen og ti andre britiske sikkerhetseksperter gjør.

- Dette vil helt klart skade arbeidet mitt. Jeg har jobbet med doktoravhandlingen min i to år. Vi har avdekket en rekke hittil ukjente muligheter for tapping av bankkontoer og andre angrep mot banksikkerheten. Noe har vi publisert, men mange ideer og mulige angrep er ikke ferdigforsket. Skal jeg holde meg til påleggets bokstav, kan jeg like godt la være å publisere avhandlingen min.

Bond sier han frykter at Citibank også vil la seg friste til å angripe videre spredning av det som allerede er publisert.

- Til britiske aviser har de sagt at de ikke har til hensikt å gjøre noe slikt. Men det ligger i rettens formuleringer at de har muligheten til å gjøre det.

Bond sier at han og Anderson skriver nå på harde livet for å kunne publisere så mye som mulig av det de risikerer å avhøres om før retten settes 3. mars og konfidensialitetskravet gjøres gjeldende.

- Min langsiktige strategi er ikke utarbeidet ennå, sier han.

Til toppen