EFF apelará orden judicial para detener subway Hacker Talk

La Electronic Frontier Foundation planea apelar una orden del Tribunal de Distrito de los Estados Unidos que impone una medida cautelar en una presentación de Defcon que tendría fallas detalladas en el sistema electrónico de emisión de boletos de la Massachusetts Bay Transportation Authority. finalmente el tribunal llegó a una conclusión muy, muy equivocada ", dijo el abogado principal de EFF Kurt Opsahl durante una discusión de EFF en Defcon unas horas después de que el juez Douglas Woodlock del Tribunal de Distrito de Estados Unidos emitió una orden judicial para detener la conversación planificada sobre los defectos de seguridad del sistema de tránsito.

Juicio preventivo

El MBTA presentó una demanda el viernes buscando detener a tres estudiantes del Instituto de Tecnología de Massachusetts. O dando la charla. La demanda también nombra a MIT como un acusado. La autoridad de transporte del área de Boston argumentó que la presentación causaría "un daño significativo al sistema de tránsito de la MBTA", de acuerdo con una publicación en línea de la demanda.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Los estudiantes del MIT Zack Anderson, Russell "RJ" Ryan y Alessandro Chiesa debían hablar sobre "La Anatomía de un Subway Hack: Breaking Crypto RFIDs y Magstripes of Ticketing Systems" en la conferencia Defcon el domingo. Recibieron una calificación "A" en el proyecto en una clase de MIT, dijo Opsahl.

"El primer aviso de que la MBTA proporcionaba que iban a la corte era después de que habían ido a la corte", dijo Opsahl al Sesión EFF. El juez citó un estatuto de intrusión informática al emitir la orden, dijo.

"El estatuto parece estar discutiendo el envío de programas de códigos o un tipo de información similar a una computadora y no parece contemplar a alguien que está dando una orden. habla con los humanos ", dijo Opsahl. "Sin embargo, el tribunal no estuvo de acuerdo con esa interpretación."

La orden judicial parece decir que una banda magnética en una tarjeta de papel o una tarjeta inteligente cuenta como una computadora y la EFF no está de acuerdo con esa interpretación, dijo.

la orden de restricción temporal "refleja la opinión de la corte de que creen que la Autoridad de Tránsito de la Bahía de Massachusetts probablemente tendrá éxito en los méritos; creemos que en realidad no es el caso", dijo Opsahl.

Divulgación previa

Parte del material "Los tribunales han descubierto que la Primera Enmienda cubre estas cosas", dijo Opsahl. "Creemos que esta es una actividad de habla protegida. Cuando habla de temas de seguridad, si está diciendo la verdad, eso es algo que debe protegerse".

Aunque los estudiantes tienen prohibido por orden judicial proporcionar información que habría ayudó a otros a eludir la charla, sus diapositivas de presentación ya habían sido incluidas en un CD de conferencia dado a los asistentes a Defcon. El MBTA mismo puso algunos detalles en el registro público, mediante la presentación de una evaluación confidencial de su sistema de seguridad ante el tribunal.

En las diapositivas de la presentación de Defcon, los estudiantes describen una variedad de técnicas que podrían usarse para obtener acceso libre a Boston sistema de tránsito, algunos de los cuales admiten que son ilegales. Dicen que el objetivo de la charla es mostrar los resultados de una prueba de penetración del sistema MBTA, pero eran claramente conscientes de que podría haber causado problemas legales. Una diapositiva simplemente dice "Lo que no es esta charla: evidencia en la corte (con suerte)".

El pasaje en la guía de la demostración Defcon que describe su charla comienza, "¿Quieres paseos gratis en metro para la vida?" Esa línea fue eliminada de la descripción de la charla publicada en el sitio web de Defcon.

Los estudiantes discuten los problemas de seguridad física que encontraron con el sistema, como las puertas desbloqueadas y las cabinas de vigilancia desatendida. Dicen que pudieron acceder a los conmutadores de fibra que conectan las máquinas expendedoras de tarifas a la red desbloqueada, y también describen técnicas para clonar y aplicar ingeniería inversa a los boletos de banda magnética CharlieTicket del MBTA y a las tarjetas inteligentes CharlieCard.

En archivos judiciales, la MBTA dice que el 68 por ciento de sus pasajeros usan la CharlieCard, que aporta aproximadamente US $ 475,000 a la autoridad de tránsito cada día de la semana.

Conocido con MBTA

Un vendedor de MBTA avisó a la autoridad el 30 de julio la charla estaba programada, declara la corte. Según Opsahl, los estudiantes se reunieron con funcionarios de MBTA el lunes y, después de esa reunión, entendieron que la situación había sido resuelta.

Los estudiantes estaban "muy, muy sorprendidos" por la demanda, dijo Zack Anderson en una conferencia de prensa. conferencia después de la discusión de EFF.

"Sentimos, debido a los comentarios verbales que se nos dieron, que el problema estaba resuelto", dijo. "Pidieron que les enviáramos algunos materiales, lo cual acordamos, y ayer se los hicimos llegar". Los estudiantes dijeron que trataron de ponerse en contacto con la MBTA alrededor del 20 de julio a través de su profesor Ron Rivest, que enseña en el Departamento de Ingeniería Eléctrica e Informática del MIT, pero en realidad no se conectó con la agencia hasta el 30 de julio.

Ha sido una semana loca para Anderson, que parecía demacrado, dijo que le llevó 18 horas viajar en avión a Defcon y no había dormido desde el jueves.

Un abogado de MBTA no ha enviado mensajes el sábado en busca de comentarios sobre el asunto.

La CharlieCard está basada en la misma tecnología Mifare Classic RFID (identificación de frecuencia de radio) utilizada por muchos otros sistemas de tránsito en todo el mundo. A principios de este año, el productor de Mifare, NXP, demandó para evitar que los investigadores presenten investigaciones sobre cómo crackear esta tecnología. Un tribunal holandés rechazó las reclamaciones de NXP el mes pasado.

Con un promedio diario de pasajeros de 1.4 millones de pasajeros, el MBTA es el quinto sistema de tránsito más grande de la nación, según la demanda.

Las demandas que involucran presentaciones Defcon también ocurrieron en el pasado. El investigador de seguridad Mike Lynn fue demandado en 2005 después de que dio una presentación controvertida que revelaba fallas en los enrutadores de Cisco. En respuesta, el EFF inició este año un servicio adicional, que brinda a los presentadores de Defcon asesoramiento legal gratuito sobre cómo responder a las amenazas de acciones legales.

Aunque los asistentes a la conferencia ahora especulan que otra conversación sobre el sistema MBTA podría reemplazar el hablar, Anderson dijo que él y sus colegas investigadores dicen que tienen la intención de cumplir con la orden judicial. "No estamos de acuerdo con el fallo, pero no vamos a desobedecerlo", dijo.