EFF om gerechtelijke uitspraak aan te vechten Halt Metro Hacker Talk

De Electronic Frontier Foundation is van plan om in beroep te gaan tegen een Amerikaanse rechtbank waarbij een tijdelijk bevel wordt opgelegd aan een Defcon-presentatie met gedetailleerde tekortkomingen in het elektronische ticketingsysteem van de Massachusetts Bay Transportation Authority. Het Hof kwam uiteindelijk tot een zeer, zeer verkeerde conclusie, "EFF senior staff procureur Kurt Opsahl zei tijdens een EFF-discussie bij Defcon een paar uur nadat rechter Douglas Woodlock van de Amerikaanse District Court voor het District of Massachusetts een rechterlijk bevel uitvaardigde dat het geplande gesprek stopte over de beveiligingsfouten van het doorvoersysteem.

Preemptief pak

De MBTA heeft vrijdag een rechtszaak aangespannen om drie studenten van het Massachusetts Institute of Technology te stoppen om het gesprek te geven. De rechtszaak noemt MIT ook als een gedaagde. De transportautoriteit in het gebied van Boston voerde aan dat de presentatie "aanzienlijke schade aan het doorvoersysteem van MBTA zou veroorzaken", volgens een online plaatsing van het proces.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

MIT studenten Zack Anderson, Russell "RJ" Ryan en Alessandro Chiesa hadden het op de Defcon conferentie zondag over 'De anatomie van een metro-hack: Breaking Crypto RFID's & Magstripes of Ticketing Systems'. Ze kregen een A-cijfer voor het project in een MIT-klasse, zei Opsahl.

"De eerste aankondiging die de MBTA gaf dat ze naar de rechtbank zouden gaan was nadat ze naar de rechtbank waren gegaan," zei Opsahl op de EFF-sessie. De rechter citeerde een computerintrusion-statuut bij het uitbrengen van de bestelling, zei hij.

"Het statuut op zijn gezicht lijkt te gaan over het verzenden van codeprogramma's of soortgelijke soort informatie naar een computer en lijkt niet iemand te overwegen die een praat met mensen, "zei Opsahl. "Desalniettemin was de rechtbank het niet eens met die interpretatie."

Het rechterlijk bevel lijkt te zeggen dat een magneetstrip op een papieren kaart of een smartcard geldt als een computer en de EFF het niet eens is met die interpretatie, zei hij. tijdelijke straatverbod "weerspiegelt de mening van de rechtbank dat zij geloven dat de Massachusetts Bay Transit Authority waarschijnlijk op de verdiensten zou slagen - we denken dat dat in feite niet het geval is," zei Opsahl.

Eerder onthuld

Een deel van het materiaal in de gesprekken van de studenten over beveiligingsproblemen met het elektronische ticketingsysteem van de MBTA was eerder gerapporteerd in de kranten Boston Globe en Boston Herald, zei Opsahl.

"Rechters hebben ontdekt dat het eerste amendement deze zaken dekt," zei Opsahl. "Wij geloven dat dit een beschermde spraakactiviteit is.Als u beveiligingsproblemen bespreekt, als u de waarheid spreekt, moet dat worden beschermd."

Hoewel de studenten door een rechterlijk bevel worden uitgesloten van het verstrekken van informatie die zou hebben anderen hielp om het gesprek te omzeilen, hun presentatiedia's waren al opgenomen in een conferentie-cd die aan de aanwezigen van Defcon werd gegeven. De MBTA zelf plaatste enkele details in het openbare register door een vertrouwelijke beoordeling van zijn beveiligingssysteem bij de rechtbank in te dienen.

In de presentatiedia's van Defcon beschrijven de studenten een verscheidenheid aan technieken die kunnen worden gebruikt om gratis toegang te krijgen tot Boston's doorvoersysteem, waarvan sommige toegeven dat ze illegaal zijn. Ze zeggen dat het de bedoeling is om de resultaten van een penetratietest van het MBTA-systeem te laten zien, maar ze waren zich er duidelijk van bewust dat dit juridische problemen kon veroorzaken. Eén dia luidt simpelweg: "Wat deze toespraak niet is: bewijsmateriaal in de rechtbank (hopelijk)".

De passage in de Defcon-showgids die hun verhaal beschrijft, begint: "Wil je gratis ritjes in de metro voor het leven?" Die regel is verwijderd uit de beschrijving van het gesprek op de Defcon-website.

De studenten bespreken fysieke beveiligingsproblemen die ze met het systeem hebben aangetroffen, zoals ontgrendelde hekken en bewaakte cabines zonder toezicht. Ze zeggen dat ze in staat zijn om toegang te krijgen tot glasvezelschakelaars die betaalautomaten verbinden met het ontgrendelde netwerk, en ze beschrijven ook technieken om de MBTA CharlieTicket magneetstripkaartjes en CharlieCard smartcards te klonen en reverse-engineeren.

In de rechtbankdossiers zegt de MBTA dat 68 procent van de renners de CharlieCard gebruikt, wat elke weekdag ongeveer US $ 475.000 aan de transitautoriteit brengt.

Met With MBTA

Een MBTA-verkoper heeft op 30 juli de autoriteit getipt dat het gesprek was gepland, meldde de rechtbank. Volgens Opsahl hadden de studenten maandag een ontmoeting met MBTA-functionarissen en het was hun begrip na die bijeenkomst dat de situatie was opgelost.

De studenten waren "zeer, zeer verrast" door het pak, zei Zack Anderson in een pers conferentie na de EVF-discussie.

"We voelden ons door verbale opmerkingen die ons werden gegeven dat het probleem was opgelost", zei hij. "Ze vroegen om een ​​aantal materialen die aan hen zouden worden voorgelegd, en dat hebben we gisteren wel gedaan."

De studenten zeiden dat ze rond 20 juli contact probeerden te maken met de MBTA via hun professor Ron Rivest, die lesgeeft in MIT's Afdeling Elektrotechniek en Computerwetenschappen, maar kwam pas rond 30 juli in contact met het bureau.

Het was een gekke week voor Anderson, die er uitzag van zag - hij zei dat het hem 18 uur kostte om door de lucht te reizen voor Defcon en hij heeft sinds donderdag niet geslapen.

Een MBTA-advocaat heeft zaterdag geen berichten teruggestuurd naar commentaar op verhalen over de zaak.

De CharlieCard is gebaseerd op dezelfde Mifare Classic RFID (radiofrequentie-identificatie) technologie die wordt gebruikt door veel andere doorvoersystemen over de hele wereld. Eerder dit jaar deed de producent van Mifare, NXP, een rechtszaak om te voorkomen dat onderzoekers onderzoek zouden doen naar hoe deze technologie te kraken. Een Nederlandse rechtbank verwierp vorige maand de vorderingen van NXP.
Met een gemiddeld doordeweekse rijdership van 1,4 miljoen pendelaars is de MBTA het op vier na grootste doorvoersysteem volgens de rechtszaak.

Ook rechtszaken met Defcon-presentaties hebben plaatsgevonden in de Verleden. Beveiligingsonderzoeker Mike Lynn werd in 2005 aangeklaagd nadat hij een controversiële presentatie gaf waarin tekortkomingen in de routers van Cisco aan het licht kwamen. Als reactie daarop startte de EFF dit jaar een drop-in-service, waardoor Defcon-presentatoren gratis juridisch advies kregen over hoe te reageren op bedreigingen van juridische actie.

Hoewel deelnemers aan de conferentie nu speculeren dat een andere lezing op het MBTA-systeem de geannuleerde versie kan vervangen Anderson zei dat hij en zijn collega-onderzoekers zeggen dat ze van plan zijn de rechterlijke uitspraak na te leven. "We zijn het niet eens met de uitspraak, maar we zullen niet ongehoorzaam zijn", zei hij.