EFF la ordinul Curții de Apel Stoparea metroului Hacker Talk

Fundația Electronic Frontier intenționează să atace o hotărâre judecătorească din SUA care impune o injuncție temporară asupra unei prezentări Defcon care ar avea defecte detaliate în sistemul electronic de ticketing al Autorității de Transport din Massachusetts Bay. instanța a ajuns în cele din urmă la o concluzie foarte foarte greșită ", a declarat avocatul personalului EFF, Kurt Opsahl, în timpul unei discuții EFF la Defcon la câteva ore după ce judecătorul Douglas Woodlock de la Curtea Districtuală din Districtul Massachusetts a emis un ordin judecătoresc care oprea discuțiile planificate cu privire la defectele de securitate ale sistemului de tranzit.

Suită preemptivă

MBTA a depus vineri un proces pentru a opri trei studenți din Massachusetts Institute of Technology Omul care vorbește. De asemenea, procesul numește MIT ca inculpat. Autoritatea de transport din zona Boston a susținut că prezentarea ar provoca "daune semnificative sistemului de tranzit al MBTA", conform unei postări on-line a procesului.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Studenții de la MIT, Zack Anderson, Russell "RJ" Ryan și Alessandro Chiesa, au fost programați să discute duminică despre "Anatomia unei metode de hack-uri: ruperea RFID-urilor Crypt și Magstripes de sisteme de ticketing". Ei au primit o diplomă "A" asupra proiectului într-o clasă de MIT, a spus Opsahl. "Primul anunț că MBTA prevedea că merg la tribunal după ce au plecat la tribunal", a spus Opsahl la Sesiunea EFF. Judecătorul a citat un statut de intruziune a computerului în emiterea ordinului, a spus el. "Statutul pe față pare să discute trimiterea de programe de cod sau informații similare unui computer și nu pare să contemple pe cineva care dă vorbesc cu oamenii ", a spus Opsahl. "Cu toate acestea, instanța nu a fost de acord cu această interpretare."

Ordinul judecătoresc pare să spună că o bandă magnetică pe un card de hârtie sau o cartelă inteligentă este calculată ca un calculator, iar FEP nu este de acord cu această interpretare. comanda temporară de restricționare "reflectă punctul de vedere al instanței că ei cred că Autoritatea de Tranzit din Massachusetts Bay ar putea avea succes pe fond - credem că nu este cazul, a spus Opsahl.

Anterior dezvăluit

Unele materiale în discuția studenților cu privire la problemele de securitate cu sistemul electronic de ticketing al MBTA au fost raportate anterior în ziarele Boston Globe și Boston Herald, a spus Opsahl. "Curțile au constatat că primul amendament acoperă aceste lucruri", a spus Opsahl. "Credem că este vorba despre o activitate de vorbire protejată. Când discutăm despre problemele de securitate, dacă spui adevărul, trebuie să fim protejați."

Deși studenții sunt interzisi prin ordin al instanței să furnizeze informații care ar fi au ajutat pe alții să eludeze discuția, diapozițiile lor de prezentare fuseseră deja incluse într-un CD de conferință oferit participanților la Defcon. MBA în sine a pus câteva detalii în dosarul public, depunând o evaluare confidențială a sistemului său de securitate la instanța de judecată.

În diapozitivele de prezentare Defcon, studenții descriu o varietate de tehnici care ar putea fi folosite pentru a obține acces liber la Boston's sistemul de tranzit, dintre care unele sunt recunoscute ilegale. Ei spun că scopul discuției este de a arăta rezultatele unui test de penetrare a sistemului MBTA, însă au fost conștienți de faptul că ar fi putut provoca probleme juridice. Un diapozitiv citește pur și simplu "Ce vorbire nu este: dovezi în instanță (sperăm)".

Pasajul din ghidul de prezentare Defcon care descrie discuția lor începe, "Vrei să te plimbi cu metroul pe viață?" Această linie a fost eliminată din descrierea discuției postate pe site-ul Web Defcon.

Studenții discută problemele de securitate fizică pe care le-au găsit cu sistemul, cum ar fi porțile deblocate și cabinele de supraveghere nesupravegheate. Ei spun că au fost capabili să acceseze întrerupătoarele de fibră optice care leagă automatele de distribuție la rețeaua deblocată și descriu, de asemenea, tehnici de clonare și inversare a biletelor MBTA CharlieTicket și a cartelelor smart CharlieCard

În depunerea instanțelor, MBTA spune că 68% dintre riderii săi folosesc CharlieCard, care aduce în jur de 475.000 USD autorității de tranzit în fiecare zi lucrătoare.

A întâlnit cu MBTA

Un furnizor de MBTA a avertizat autoritatea pe 30 iulie că discuția a fost programată, afirmă tribunalele. Potrivit lui Opsahl, studenții s-au întâlnit luni cu oficialii MBTA și înțelegerea lor a fost rezolvată după acea întâlnire.

Studenții au fost "foarte, foarte surprinși" de acest proces, a spus Zack Anderson într-o presă după discuția FEP.

"Am simțit, din cauza comentariilor verbale care ne-au fost date că problema a fost rezolvată", a spus el. "Ei au cerut ca unele materiale să le fie transmise, pe care am acceptat-o ​​și le-am primit ieri".

Studenții au spus că au încercat să contacteze MBTA în jurul datei de 20 iulie prin profesorul lor Ron Rivest, în cadrul Departamentului de Inginerie Electrică și Informatică al MIT, dar nu sa conectat la agenție până în jurul valorii de 30 iulie.

A fost o săptămână nebună pentru Anderson, care părea haggard - a spus că ia luat 18 ore pentru a călători pe calea aerului la Defcon și nu a mai dormit de joi.

Un avocat al MBTA nu a întors mesajele de sâmbătă în căutarea unui comentariu pentru povestiri despre această problemă.

CharlieCard se bazează pe aceeași tehnologie Mifare Classic RFID (identificarea frecvențelor radio) folosită de multe alte sisteme de tranzit din întreaga lume. La începutul acestui an, producătorul Mifare, NXP, a dat în judecată pentru a împiedica cercetătorii să prezinte cercetări despre cum să spargă această tehnologie. Un tribunal olandez a respins cererile de la NXP luna trecută.

Cu o zi de conducere medie de 1,4 milioane de navetiști, MBTA este al cincilea cel mai mare sistem național de tranzit, potrivit procesului. trecut. Securitatea cercetătorului Mike Lynn a fost dat în judecată în 2005, după ce a dat o prezentare controversată, dezvăluind deficiențe în routerele Cisco. Ca răspuns, FEP a lansat anul acesta un serviciu de reducere a calității, oferind consultanților Defcon consultanță juridică gratuită cu privire la modul de reacție la amenințările la adresa acțiunii.

Deși participanții la conferință acum speculează că o altă discuție asupra sistemului MBTA ar putea înlocui anularea, Anderson a spus că el și colegii săi spun că intenționează să se conformeze ordinului judecătoresc. "Nu suntem de acord cu hotărârea, dar nu o să ne supunem", a spus el.