EFF do sądu apelacyjnego Zamówienie Zatrzymanie metra Hacker rozmowa

The Electronic Frontier Foundation planuje odwołanie się od nakazu Sądu Okręgowego Stanów Zjednoczonych, nakładając tymczasowy nakaz na prezentację Defcon, który miałby szczegółowe błędy w systemie elektronicznego systemu biletowego Massachusetts Bay Transportation Authority.

sąd ostatecznie doszedł do bardzo błędnego wniosku ", powiedział podczas krótkiej dyskusji EFF w Defcon w czasie dyskusji EFF, kilka godzin po tym, jak sędzia Douglas Woodlock z amerykańskiego sądu rejonowego dla okręgu Massachusetts wydał orzeczenie sądowe wstrzymujące planowaną rozmowę o lukach bezpieczeństwa systemu tranzytowego.

Preemptive Suit

MBTA złożył pozew w piątek, prosząc o zatrzymanie trzech studentów Massachusetts Institute of Technology fr om dając rozmowę. Pozew określa również MIT jako pozwanego. Władze transportowe z rejonu Bostonu argumentowały, że prezentacja może spowodować "znaczną szkodę w systemie tranzytowym MBTA", wynika z internetowego ogłoszenia o pozwu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Studenci MIT Zack Anderson, Russell "RJ" Ryan i Alessandro Chiesa mieli zaplanowaną rozmowę na temat "The Anatomy of Subway Hack: Breaking Crypto RFIDs i Magstripes of Ticketing Systems" w niedzielę konferencji Defcon. Otrzymali ocenę "A" na zajęciach z MIT, powiedział Opsahl.

"Pierwsze zawiadomienie, że MBTA podał, że idzie na boisko, było po tym, jak udali się do sądu" Opsahl powiedział Sesja EFF. Sędzia powołał się na ustawę o włamaniach do komputera w celu wydania polecenia, powiedział.

"Wydaje się, że statut na jego twarzy omawia programy wysyłające kody lub podobne informacje na komputer i nie wydaje się, że kontempluje kogoś, kto daje rozmawiać z ludźmi - powiedział Opsahl. "Niemniej jednak sąd nie zgodził się z tą interpretacją."

Wydaje się, że nakaz sądowy mówi, że pasek magnetyczny na karcie papierowej lub karcie elektronicznej liczy się jako komputer, a EFF nie zgadza się z tą interpretacją, powiedział.

tymczasowy nakaz krępowania "odzwierciedla pogląd sądu, że sądzi, że Massachusetts Bay Transit Authority prawdopodobnie odniesie sukces - sądzimy, że tak nie jest - powiedział Opsahl.

Wcześniej ujawniono

Niektóre z materiałów w rozmowach studentów na temat problemów bezpieczeństwa z systemem elektronicznego biletu MBTA był wcześniej odnotowany w gazetach Boston Globe i Boston Herald, powiedział Opsahl.

"Sądy odkryły, że Pierwsza Poprawka dotyczy tych rzeczy," Opsahl powiedział. "Uważamy, że jest to działanie chronione w mowie, kiedy dyskutujesz o kwestiach bezpieczeństwa, jeśli mówisz prawdę, jest to coś, co powinno być chronione."

Chociaż uczniom zakazuje się na mocy nakazu sądowego dostarczanie informacji, które pomogli innym omijać wykład, a ich slajdy zostały już umieszczone na CD konferencji przekazanej uczestnikom Defcon. Sam MBTA wprowadził pewne szczegóły do ​​publicznego rejestru, składając sądowi poufną ocenę swojego systemu bezpieczeństwa.

Na slajdach prezentacji Defcon uczniowie opisują różne techniki, które można wykorzystać do uzyskania bezpłatnego dostępu do Boston's system tranzytowy, z których niektóre przyznają, są nielegalne. Mówią, że celem rozmowy jest pokazanie wyników testu penetracji systemu MBTA, ale byli oni świadomi, że mogło to spowodować problemy prawne. Jeden slajd brzmi po prostu "Co to za rozmowa nie jest: dowody w sądzie (miejmy nadzieję)".

Fragment przewodnika po programie Defcon opisujący ich rozmowę rozpoczyna się: "Chcesz darmowych przejażdżek metrem na całe życie?" Ta linia została usunięta z opisu wykładu opublikowanego na stronie internetowej Defcon.

Uczniowie omawiają problemy z bezpieczeństwem fizycznym, które znaleźli w systemie, takie jak odblokowane bramy i niezamierzone stanowiska nadzoru. Mówi się, że byli w stanie uzyskać dostęp do przełączników światłowodowych łączących automaty sprzedające bilety z odblokowaną siecią, a także opisywali techniki klonowania i re-inżynierii biletów na karty magnetyczne CharlieTicket MBTA i kart inteligentnych CharlieCard.

W dokumentach sądowych MBTA mówi, że 68 procent jego użytkowników korzysta z karty CharlieCard, która każdego dnia tygodnia przynosi do organu tranzytowego około 475 000 USD.

Spotkałem się z MBTA

Sprzedawca MBTA poinformował władzę 30 lipca, że rozmowa została zaplanowana, a sąd orzekł. Według Opsahl, studenci spotkali się w poniedziałek z przedstawicielami MBTA i po spotkaniu zrozumieli, że sytuacja została rozwiązana.

Studenci byli "bardzo, bardzo zaskoczeni" przez garnitur, Zack Anderson powiedział w prasie konferencja po dyskusji EFF.

"Czuliśmy, ze względu na ustne komentarze, które zostały nam przekazane, że problem został rozwiązany," powiedział. "Poprosili o przesłanie im pewnych materiałów, na co się zgodziliśmy, i dostaliśmy je wczoraj."

Studenci powiedzieli, że próbowali skontaktować się z MBTA około 20 lipca za pośrednictwem swojego profesora Rona Rivesta, który uczy na Wydziale Elektrotechniki i Informatyki MIT, ale do około 30 lipca nie nawiązał kontaktu z agencją.

To był szalony tydzień dla Andersona, który wyglądał na wynędzniałego - powiedział, że podróżowanie samolotem zajęło mu 18 godzin do Defcona, a on nie spał od czwartku.

Prawnik MBTA nie wrócił do wiadomości w sobotę, szukając komentarza do artykułów na ten temat.

Karta CharlieCard jest oparta na tej samej technologii Mifare Classic RFID (radiowej identyfikacji) używanej przez wiele innych systemów tranzytowych na całym świecie. Wcześniej w tym roku producent Mifare, NXP, wystąpił z zamiarem uniemożliwienia naukowcom przedstawienia badań na temat pękania tej technologii. Holenderski sąd odrzucił roszczenia NXP w zeszłym miesiącu.

Przy przeciętnym dziennym przeładunku 1,4 miliona osób dojeżdżających do pracy, MBTA jest piątym co do wielkości systemem tranzytowym w kraju, według pozwu.

Procesy z udziałem pozwów Defcon również miały miejsce w przeszłość. Analityk ds. Bezpieczeństwa Mike Lynn został pozwany w 2005 r. Po tym, jak przedstawił kontrowersyjną prezentację ujawniającą błędy w routerach Cisco. W odpowiedzi EFR w tym roku uruchomił usługę drop-in, zapewniając prezenterom Defcon bezpłatne doradztwo prawne w zakresie reagowania na zagrożenia prawne.

Chociaż uczestnicy konferencji obecnie spekulują, że kolejna rozmowa na temat systemu MBTA może zastąpić anulowane Mówi, Anderson powiedział, że on i jego koledzy naukowcy mówią, że zamierzają zastosować się do nakazu sądowego. "Nie zgadzamy się z wyrokiem, ale nie zamierzamy go nieposłusznie" - powiedział.