Massachusetts agencja tranzytowa nakazuje przestać hackerowi rozmowę

Massachusetts Bay Transportation Authority pozwał trzech studentów i ich szkołę Massachusetts Institute of Technology, mając nadzieję, że nie ujawnią oni wad systemu elektronicznego biletu MBTA.

Pozew twierdzi, że prezentacja spowodowałaby "znaczące uszkodzenie System tranzytowy MBTA ", zgodnie z ogłoszeniem przez Internet, złożony w piątek w Sądzie Okręgowym Stanów Zjednoczonych dla Okręgu Massachusetts.

Nazywa studentów Zack Anderson, Russell" RJ "Ryan i Alessandro Chiesa, którzy mają rozmawiać o "The Anatomy of Subway Hack: Breaking Crypto RFIDs i Magstripes of Ticketing Systems" na konferencji Defcon w niedzielę o godz. czas lokalny. Studenci MIT i prawnik MBTA nie zwracali połączeń i wiadomości e-mail z prośbą o komentarz.

W prezentacji przekazanej uczestnikom Defcon uczniowie opisują różne techniki, które można wykorzystać do uzyskania bezpłatnego dostępu do systemu tranzytowego Bostonu, niektóre z nich przyznają, że są nielegalne. Mówią, że celem rozmowy jest pokazanie wyników testu penetracji systemu MBTA, ale byli oni świadomi, że mogło to spowodować problemy prawne. Jeden slajd brzmi po prostu "Co to za rozmowa nie jest: dowody w sądzie (miejmy nadzieję)".

Fragment przewodnika po programie Defcon opisujący ich rozmowę rozpoczyna się: "Chcesz darmowych przejażdżek metrem na całe życie?" Ta linia została usunięta z opisu wykładu opublikowanego na stronie internetowej Defcon.

Uczniowie omawiają problemy z bezpieczeństwem fizycznym, które znaleźli w systemie, takie jak odblokowane bramy i niezamierzone stanowiska nadzoru. Mówi się, że byli w stanie uzyskać dostęp do przełączników światłowodowych łączących automaty sprzedające bilety z odblokowaną siecią, a także opisują techniki klonowania i re-inżynierii biletów MB51 CharlieTicket z paskiem magnetycznym i kart inteligentnych CharlieCard.

W dokumentach sądowych MBTA mówi, że 68 procent użytkowników korzysta z karty CharlieCard, która każdego dnia tygodnia wnosi do organu tranzytowego około 475 000 USD. Naukowcy odmówili przekazania informacji władzom tranzytowym o wadach bezpieczeństwa w swoim systemie przed rozmową, stanem złożenia dokumentów.

Sprzedawca MBTA poinformował władzę 30 lipca, że ​​rozmowa została zaplanowana, stan złożony.

CharlieCard opiera się na tej samej technologii Mifare Classic RFID (radiowej identyfikacji), wykorzystywanej przez wiele innych systemów tranzytowych na całym świecie. Wcześniej w tym roku producent Mifare, NXP, wystąpił z zamiarem uniemożliwienia naukowcom przedstawienia badań na temat pękania tej technologii. Holenderski sąd odrzucił roszczenia NXP w zeszłym miesiącu.

Dyskusja studentów MIT ma być opublikowana online na stronie MIT. W prasie nie był dostępny.

Przy przeciętnym dziennym przeładunku 1,4 miliona osób dojeżdżających do pracy, MBTA jest piątym co do wielkości systemem tranzytowym w kraju, według pozwu.