Silenced Subway Hackers, Silenced No More

De Massachusetts Bay Transportation Authority diende vrijdag een federale klacht in om een ​​groep van MIT studenten van het bespreken van een maas in de vlucht vonden ze binnen het tariefsysteem voor de metro van Boston, genaamd de "T." De studenten zouden hun bevindingen presenteren op de DEFCON 16 jaarlijkse hackersconferentie in Las Vegas op zondag. Een rechter gaf echter een tijdelijke straatverbod opdracht, dwong hen om het gesprek te annuleren en te zwijgen.

Hier is het probleem: de klacht van de MBTA bevatte een volledige kopie van de presentatie van de studenten. Omdat het document nu deel uitmaakt van de openbare registers, heeft dat document zijn weg gevonden op het internet - en mogelijk op de schermen van miljoenen.

De studenten gaan in beroep tegen de beslissing van de rechtbank, volgens MIT's

The Tech studentenkrant - die de volledige rechtbankdocumenten samen met de volledige presentatie op haar website plaatste. Scholastic Discovery

De informatie is eigenlijk onderdeel van een paper dat de studenten schreven voor een MIT-klas. Het beschrijft verschillende problemen met het CharlieCard-systeem dat wordt gebruikt voor tarieven - namelijk dat het geen centrale database gebruikt om de waarden van kaarten bij te houden en geen beveiligde digitale handtekeningen om te voorkomen dat mensen de waarde van de kaarten wijzigen. Met de juiste apparatuur - dingen die je binnen enkele minuten online zou kunnen vinden - zeggen de studenten dat iemand een kaart van 50 cent kan veranderen in een $ 500.

"Het Charlie Ticket is kwetsbaar voor zowel klonen als voor valsemunterij-aanvallen," de studenten write.

Legal Speak

Heeft de MBTA het recht om het team ervan te weerhouden zijn vondst te bespreken? Waarschijnlijk - tenminste in de ogen van de wet. Als de organisatie redelijkerwijs kan aantonen dat het vrijgeven van de informatie schade zou hebben veroorzaakt, is het technisch duidelijk.

Een van de MIT-studenten zei wel dat hij en zijn klasgenoten de MBTA vooraf op de hoogte brachten van hun bevindingen - maar zijn interview met de

Boston Herald suggereert dat dit slechts enkele dagen vóór de geplande DEFCON-presentatie gebeurde. Dat laat de MBTA-ruimte om te argumenteren dat het niet genoeg tijd had om preventieve actie te ondernemen. Natuurlijk, op de lange termijn schoot de MBTA zichzelf in feite in de voet. De documenten, in de vorm van een PDF genaamd "Anatomy of a Subway Hack" (PDF), zijn nu overal en mensen die waarschijnlijk nooit van de hack gehoord zouden hebben, weten nu tot in de kleinste details alles. Wat niet duidelijk is, is waarom de betrokken rechter de bijbehorende documenten niet afdichtte, waardoor ze niet openbaar zouden worden.

Het eindoordeel

Dit is ongetwijfeld een lastige zaak. Zeker, de studenten zijn geen werknemers van de MBTA en hebben geen enkele verplichting om iets te delen wat ze hebben gevonden. Tegelijkertijd zou de presentatie van die informatie in het openbaar zonder de MBTA eerst te laten reageren, duidelijk bedrijfsgerelateerde schade kunnen veroorzaken. Het beste scenario kon zijn om de leiding te nemen van beveiligingsanalist Dan Kaminsky, de persoon die de massale DNS-tekortkoming op het hele internet in juli. Kaminsky kwam het probleem al zes maanden eerder tegen. Hij werkte hard om het in de wikkels te houden totdat leiders van de industrie een solide oplossing konden vinden. Zelfs nadat Kaminsky aanvankelijk de ontdekking en oplossing had aangekondigd, pleitte ze met hackers om alles wat ze een maand vonden voor zichzelf te houden, zodat ISP's over de hele wereld ruim de tijd hadden om het gat te dichten en hun systemen te beschermen. Uiteindelijk, echter, niemand in de MIT-situatie gaat het te slecht. De studenten hebben een zekere kortstondige bekendheid verworven en hopelijk heeft de MBTA enig inzicht gekregen in een serieus probleem en hoe het kan worden opgelost. En zelfs als het MIT-team geen dank krijgt voor zijn gedachten, kreeg het wel een beloning: een A voor de opdracht.