EFF để kháng án lệnh Halting Subway Hacker Talk

Tổ chức Electronic Frontier Foundation có kế hoạch kháng cáo lệnh của Tòa án Khu vực Hoa Kỳ áp đặt lệnh tạm thời trên bản trình bày của Defcon có các lỗ hổng chi tiết trong hệ thống bán vé điện tử của Cơ quan Giao thông Vịnh Massachusetts.

" Cuối cùng, tòa án đã đưa ra một kết luận rất sai lầm, "Luật sư cao cấp của EFF Kurt Opsahl đã nói trong một cuộc thảo luận EFF tại Defcon vài giờ sau khi Thẩm phán Douglas Woodlock của Tòa án quận Hoa Kỳ cho Quận Massachusetts ban lệnh đình chỉ cuộc nói chuyện đã lên kế hoạch về các sai sót về an ninh hệ thống quá cảnh.

Bộ đội phòng thủ

MBTA đã đệ trình một vụ kiện thứ sáu nhằm ngăn chặn các sinh viên của Học viện Công nghệ Massachusetts fr om nói chuyện. Vụ kiện cũng đặt tên MIT là bị đơn. Cơ quan vận tải khu vực Boston cho rằng bài thuyết trình sẽ gây ra "thiệt hại đáng kể cho hệ thống vận chuyển của MBTA", theo một bài đăng trực tuyến về vụ kiện.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Sinh viên MIT Zack Anderson, Russell "RJ" Ryan và Alessandro Chiesa đã được lên kế hoạch để nói về "Giải phẫu của một tàu điện ngầm Hack: Breaking Crypto RFID & Magstripes của hệ thống bán vé" tại hội nghị Defcon chủ nhật. Họ đã nhận được điểm "A" trên dự án trong một lớp MIT, Opsahl nói.

"Thông báo đầu tiên rằng MBTA cung cấp rằng họ sẽ ra tòa sau khi họ ra tòa," Opsahl nói Phiên EFF. Thẩm phán đã trích dẫn một quy chế xâm nhập máy tính trong việc ban hành lệnh, ông nói.

"Quy chế trên khuôn mặt của họ dường như đang thảo luận về việc gửi các chương trình mã hoặc loại thông tin tương tự đến một máy tính và không có vẻ để chiêm ngưỡng ai đó nói chuyện với con người, "Opsahl nói. "Tuy nhiên, tòa án không đồng ý với giải thích đó."

Lệnh tòa dường như nói rằng một dải từ trên một thẻ giấy hoặc một thẻ thông minh được tính là một máy tính và EFF không đồng ý với cách giải thích đó, ông nói. Lệnh cấm tạm thời "phản ánh quan điểm của tòa án rằng họ tin rằng Cơ quan Quản lý Quá cảnh Vịnh Massachusetts có khả năng thành công trên các giá trị - chúng tôi nghĩ rằng đó không phải là trường hợp", Opsahl nói.

Trước đây tiết lộ

Một số vật liệu Trong bài nói chuyện của sinh viên về các vấn đề an ninh với hệ thống bán vé điện tử của MBTA đã được báo cáo trước đây trên báo Boston Globe và Boston Herald, Opsahl nói.

"Các tòa án đã phát hiện rằng Bản sửa đổi thứ nhất bao gồm những điều này", Opsahl nói. "Chúng tôi tin rằng đây là một hoạt động nói được bảo vệ. Khi bạn thảo luận về các vấn đề an ninh, nếu bạn đang nói sự thật, đó là điều cần được bảo vệ."

Mặc dù học sinh bị cấm bởi lệnh tòa cung cấp thông tin giúp người khác vượt qua được cuộc nói chuyện, các slide trình bày của họ đã được đưa vào một CD hội nghị dành cho những người tham dự Defcon. Trong bản trình bày của Defcon, học sinh mô tả một loạt các kỹ thuật có thể được sử dụng để truy cập miễn phí vào Boston's hệ thống giao thông, một số trong đó họ thừa nhận là bất hợp pháp. Họ nói rằng điểm của cuộc nói chuyện là để cho thấy kết quả của một thử nghiệm thâm nhập của hệ thống MBTA, nhưng họ đã nhận thức rõ ràng rằng nó có thể đã gây ra vấn đề pháp lý. Một slide đọc đơn giản là "Điều này không phải là lời nói: bằng chứng tại tòa án (hy vọng)".

Việc thông qua hướng dẫn của Defcon mô tả cuộc nói chuyện của họ bắt đầu, "Muốn đi tàu điện ngầm miễn phí cho cuộc sống?" Dòng này đã được gỡ bỏ khỏi mô tả của cuộc thảo luận được đăng tại trang web của Defcon.

Học sinh thảo luận các vấn đề về an ninh vật lý mà họ tìm thấy trong hệ thống, chẳng hạn như cửa mở và các gian hàng giám sát không giám sát. Họ nói rằng họ có thể truy cập các thiết bị chuyển mạch kết nối các máy bán vé tự động với mạng mở khóa, và họ cũng mô tả các kỹ thuật sao chép và đảo ngược vé từ sọc CharlieTicket của MBTA và thẻ thông minh CharlieCard.Trong báo cáo của tòa án, MBTA nói rằng 68% người lái xe sử dụng thẻ CharlieCard, trong đó mỗi tháng có khoảng 475.000 USD cho cơ quan quản lý vận chuyển.

Met With MBTA

Một nhà cung cấp MBTA đã phủ nhận thẩm quyền vào ngày 30 tháng 7 rằng cuộc nói chuyện đã được lên kế hoạch, tòa án nộp đơn tiểu bang. Theo Opsahl, các sinh viên đã gặp các quan chức của MBTA vào thứ hai và họ đã hiểu được sau cuộc họp đó rằng tình hình đã được giải quyết.

Các sinh viên "rất, rất ngạc nhiên", theo Zack Anderson trong một báo chí hội nghị sau cuộc thảo luận của EFF.

"Chúng tôi cảm thấy, do nhận xét bằng lời nói đã được trao cho chúng tôi rằng vấn đề đã được giải quyết," ông nói. Các sinh viên cho biết họ đã cố gắng liên lạc với MBTA vào khoảng 20 tháng 7 thông qua giáo sư Ron Rivest, người dạy học tại Khoa Kỹ thuật Điện và Khoa học Máy tính của MIT, nhưng không thực sự kết nối với cơ quan này cho đến khoảng 30 tháng Bảy.

Đó là một tuần đầy điên cuồng với Anderson, người trông hốc hác - ông nói phải mất 18 giờ để đi bằng đường hàng không cho Defcon và anh ta đã không ngủ kể từ thứ Năm

Một luật sư của MBTA đã không trả lời tin nhắn thứ bảy để tìm kiếm bình luận cho các câu chuyện về vấn đề này.

CharlieCard dựa trên công nghệ nhận dạng tần số RFID (Mifare Classic RFID) nhiều hệ thống vận chuyển khác trên thế giới. Đầu năm nay, nhà sản xuất của Mifare, NXP, đã kiện để ngăn chặn các nhà nghiên cứu trình bày nghiên cứu về cách để crack công nghệ này. Theo một vụ kiện tại Hà Lan, tòa án Hà Lan đã bác bỏ tuyên bố của NXP vào tháng 9.

Với khoảng 1.4 triệu hành khách bình quân mỗi ngày, MBTA là hệ thống vận chuyển lớn thứ năm của quốc gia. quá khứ. Nhà nghiên cứu an ninh Mike Lynn đã bị kiện vào năm 2005 sau khi ông đưa ra một bài thuyết trình gây nhiều tranh cãi về những sai sót trong các bộ định tuyến của Cisco. Mặc dù các đại biểu tham dự hội nghị hiện đang suy đoán rằng một cuộc nói chuyện khác trong hệ thống MBTA có thể thay thế cho việc huỷ bỏ nói, Anderson nói rằng ông và các nhà nghiên cứu đồng nghiệp của ông nói rằng họ có ý định tuân theo lệnh của tòa án. "Chúng tôi không đồng ý với phán quyết này, nhưng chúng tôi sẽ không vi phạm nó," ông nói.