Tin tặc Sóng ngầm Ẩn, Tạm ngưng Không Thêm

Cơ quan Quản lý Giao thông Massachusetts Bay đã đệ trình đơn khiếu nại liên bang vào thứ 6 để giữ một nhóm các Sinh viên MIT thảo luận về một lỗ hổng mà họ tìm thấy trong hệ thống giá vé tàu điện ngầm Boston, được gọi là "T." Các sinh viên đã được đặt để trình bày những phát hiện của họ tại hội nghị hacker hàng năm DEFCON 16 ở Las Vegas Chủ nhật. Một thẩm phán ban hành lệnh cấm tạm thời buộc họ buộc phải huỷ bỏ cuộc nói chuyện và giữ im lặng.

Đây là vấn đề: Đơn khiếu nại của MBTA bao gồm một bản sao đầy đủ bài trình bày của học sinh. Là một phần của kỷ lục công cộng, tài liệu đó đã được tìm thấy trên Internet - và, có khả năng, lên màn ảnh của hàng triệu

Các sinh viên đang kháng cáo quyết định của tòa, theo MIT

The Tech báo sinh viên - đã đăng các tài liệu tòa đầy đủ cùng với toàn bộ bản trình bày trên trang web của mình. Scholastic Discovery

Thông tin thực sự là một phần của bài báo mà sinh viên viết cho một lớp MIT. Nó mô tả một số vấn đề với hệ thống CharlieCard được sử dụng cho giá vé - cụ thể là nó không sử dụng cơ sở dữ liệu trung tâm để theo dõi các giá trị của thẻ và không có chữ ký số an toàn để giữ cho mọi người thay đổi giá trị của thẻ. Với trang thiết bị phù hợp, bạn có thể tìm thấy trong vòng vài phút trực tuyến - sinh viên nói rằng bất cứ ai cũng có thể thay đổi một thẻ 50 xu với mức giá $ 500. "CharlieTicket dễ bị tấn công nhân bản và tấn công giả mạo" viết.

Legal Speak

Vậy thì MBTA cũng có quyền giữ cho nhóm thảo luận tìm kiếm không? Có lẽ - ít nhất là trong mắt của pháp luật.

Một trong những sinh viên của MIT đã nói rằng ông và các bạn học của ông đã đưa ra thông báo trước của MBTA về những phát hiện của họ - nhưng cuộc phỏng vấn của ông về vấn đề này

Boston Herald

cho thấy đã xảy ra chỉ vài ngày trước khi trình bày DEFCON theo lịch trình. Điều đó rời khỏi phòng MBTA để tranh luận rằng nó không có đủ thời gian để thực hiện hành động phòng ngừa Dĩ nhiên, về lâu dài, MBTA chính là tự bắn vào chân. Các tài liệu dưới hình thức PDF được gọi là "Anatomy of a Subway Hack" (PDF) giờ đây đã diễn ra khắp nơi, và những người có thể chưa bao giờ nghe thấy tiếng hack này giờ đây đã biết mọi chi tiết cuối cùng về nó. Điều không rõ ràng là tại sao thẩm phán liên quan đã không niêm phong các tài liệu liên quan, điều đó có thể khiến họ không công khai. Bản án cuối cùng

Không nghi ngờ gì, đây là một trường hợp khôn lanh. Chắc chắn, sinh viên không phải là nhân viên của MBTA và không có nghĩa vụ phải chia sẻ bất cứ điều gì họ tìm thấy. Đồng thời, trình bày thông tin công khai mà không cho phép MBTA phản hồi lần đầu có thể đã gây ra thiệt hại kinh doanh rõ ràng

Kịch bản vụ án tốt nhất có thể là làm theo chỉ đạo của nhà phân tích an ninh Dan Kaminsky, lỗi DNS lớn ảnh hưởng đến toàn bộ Internet trong tháng 7 Kaminsky thực sự đã gặp vấn đề này sáu tháng trước đó. Anh làm việc chăm chỉ để giữ nó cho đến khi các nhà lãnh đạo ngành công nghiệp có thể tìm ra một giải pháp vững chắc. Ngay cả sau khi ban đầu công bố phát hiện và giải pháp, Kaminsky đã yêu cầu các hacker giữ lại bất cứ điều gì họ tìm thấy cho mình trong một tháng nữa, vì vậy các ISP trên toàn thế giới có thể có thời gian để vá lỗ và bảo vệ hệ thống của họ.

Cuối cùng, tuy nhiên, không ai trong trường hợp của MIT là quá xấu. Các sinh viên đã đạt được một số danh tiếng ngắn, và hy vọng MBTA đã đạt được một cái nhìn sâu sắc vào một vấn đề nghiêm trọng và làm thế nào nó có thể được cố định. Và ngay cả khi nhóm MIT không nhận được bất kỳ cảm ơn cho những suy nghĩ của nó, nó đã nhận được một phần thưởng: A cho công việc