I anledning af SANS 2007 Copenhagen var jeg til Cyber Crime seminar hos PwC på Strandvejen. Der blev holdt foredrag af en gut fra Nordea (ganske aktuelt, ahem...), en fra Trygvesta, en PWC forensics sikkerheds-ekspert (sic) og så af Jess Garcia fra SANS selv, og med the usual suspects fra de forskellige brancher. Jess Garcia var ganske underholdende at høre på, men de andre gennemgange virkede for overfladiske og var som sådan interessante nok - men ikke rigtigt fagligt berigende. PwC præsenterede en række cases de havde arbejdet på, typisk i stilen: "Tiltag før - ingen. Vi gjorde - gik ind og fik kontrol over harddisken, udøvede forensics. Det førte til domsfældelse. Næste case, stor dansk virksomhed: Tiltag før - ingen. Vi gjorde - gik ind og fik kontrol over harddisken, udøvede forensics. Det førte til domsfældelse. Næste case. Ditto. Ingen domsfældelse. Næste case. Ditto. Domsfældelse". Etc etc... Nordea fortalte om udviklingen med phishing-angreb de sidste 5-6 år, og det var interessant at høre om det indefra, men det irriterer mig, at bankerne bliver ved med at hævde, at det er kundernes skyld. Først og fremmest - hvis det *er* kundernes skyld, hvorfor refunderer bankerne så kundernes tab i forbindelse med misbrug af netbanksystemet? Og for det andet - det er banken der har sat sikkerhedssystemet op. Hvis ikke det er gjort godt nok, sker der misbrug. Det kan aldrig være kunden skyld at bankens system ikke er godt nok. Og der er i øvrigt også sket eksempler på misbrug, hvor kunden *havde* personlig firewall og antivirus m.v - som bankerne og DK-CERT anbefaler. Jess Garcias afsluttende demo på et webbaseret exploit mod en fiktiv netbank var i øvrigt også baseret på svagheder i bankens sikkerhedssystem, og havde intet med forholdene på netbankklienter at gøre.