Uciszeni hakerzy metra, uciszeni nie więcej

W wiadomościach na temat ostatecznej ironii, walka miasta o zatrzymanie publikacji sytemu hakowania w metrze spowodowała, że ​​informacje są transmitowane na cały świat.

Massachusetts Bay Transportation Authority złożyła skargę federalną w piątek, aby utrzymać grupę Studenci MIT omawiali lukę, którą znaleźli w systemie opłat za metro w Bostonie, zwanym "T." Uczniowie mieli przedstawić swoje odkrycia na corocznej konferencji hakerskiej DEFCON 16 w niedzielę w Las Vegas. Jednakże sędzia wydał tymczasowy zakaz krępowania, zmuszając go do przerwania rozmowy i milczenia.

Oto problem: skarga MBTA zawierała pełną kopię prezentacji uczniów. Ponieważ jest on teraz częścią publicznego zapisu, dokument ten trafił do Internetu - i potencjalnie na ekrany milionów ludzi.

Studenci odwołują się do decyzji sądu, zgodnie z MIT MIT gazeta studencka - która opublikowała pełne dokumenty sądowe wraz z całą prezentacją na swojej stronie internetowej.

Scholastic Discovery

Informacja jest częścią artykułu, który uczniowie napisali dla klasy MIT. Opisuje kilka problemów z systemem CharlieCard wykorzystywanym do taryf - to znaczy, że nie używa żadnej centralnej bazy danych do śledzenia wartości kart i żadnych bezpiecznych cyfrowych podpisów, aby uniemożliwić ludziom zmianę wartości kart. Z odpowiednim sprzętem - rzeczy, które można znaleźć w ciągu kilku minut w Internecie - studenci mówią, że każdy może zmienić kartę 50 centów na 500 USD.

"CharlieTicket jest podatny na ataki klonowania i fałszerstw" uczniowie napisz

Speak prawniczy

Czy MBTA ma prawo powstrzymać zespół od dyskusji na temat znalezienia? Prawdopodobnie - przynajmniej w oczach prawa. Jeśli organizacja może w uzasadniony sposób udowodnić, że ujawnienie informacji spowodowałoby szkodę, jest to technicznie jasne.

Jeden ze studentów MIT powiedział, że on i jego koledzy z klasy przekazali wcześniej powiadomienie MBTA o swoich odkryciach - ale jego wywiad z Boston Herald sugeruje, że wydarzyło się to zaledwie kilka dni przed zaplanowaną prezentacją DEFCON. To pozostawia pokój MBTA, aby twierdzić, że nie miał wystarczająco dużo czasu na podjęcie działań zapobiegawczych.

Oczywiście w dłuższej perspektywie MBTA zasadniczo strzelił sobie w stopę. Dokumenty w formie pliku PDF zatytułowanego "Anatomy of Subway Hack" (PDF) są teraz wszędzie, a ludzie, którzy prawdopodobnie nigdy nie słyszeli o hacku, teraz znają każdy najmniejszy szczegół na ten temat. Nie jest jasne, dlaczego sędzia zaangażowany nie uszczelnił powiązanych dokumentów, co uniemożliwiłoby ich upublicznienie.

Ostateczny werdykt

Bez wątpienia jest to jeden trudny przypadek. Z pewnością studenci nie są pracownikami MBTA i nie są zobowiązani do dzielenia się tym, co znaleźli. Jednocześnie publiczne przedstawienie tych informacji bez udzielenia pierwszej odpowiedzi na MBTA mogło wyraźnie spowodować szkody związane z działalnością.

Najlepszym scenariuszem mogło być podążanie za przykładem analityka bezpieczeństwa Dana Kaminsky'ego, faceta, który znalazł ogromna usterka DNS wpływająca na cały Internet w lipcu. Kaminsky natknął się na ten problem półtora miesiąca wcześniej. Pracował ciężko, aby utrzymać go w tajemnicy, dopóki liderzy branży nie znajdą solidnego rozwiązania. Nawet po wstępnym ogłoszeniu odkrycia i rozwiązania, Kaminsky błagał hakerów, aby zatrzymali wszystko, co znaleźli dla siebie przez kolejny miesiąc, więc dostawcy ISP na całym świecie mogliby mieć wystarczająco dużo czasu, aby załatać dziurę i chronić swoje systemy.

W końcu, nikt w instancji MIT jest zbyt źle. Uczniowie zyskali jakąś krótkotrwałą sławę i mam nadzieję, że MBTA zyskało pewien wgląd w poważny problem i sposób jego naprawienia. I nawet jeśli zespół MIT nie otrzymał podziękowań za swoje myśli, otrzymał jedną nagrodę: A za zadanie.