Agencia de tránsito de Massachusetts implora hablar de hacker

La Autoridad de Transporte de la Bahía de Massachusetts ha demandado a tres estudiantes y su escuela, el Instituto Tecnológico de Massachusetts, con la esperanza de evitar que revelen fallas en el sistema de boletos electrónicos del MBTA. La demanda alega que la presentación causaría un daño significativo al El sistema de tránsito de MBTA ", según una publicación en línea de la demanda, presentada el viernes ante el Tribunal de Distrito de los EE. UU. Para el Distrito de Massachusetts.

Llama a los estudiantes Zack Anderson, Russell" RJ "Ryan y Alessandro Chiesa, quienes están programados para hablar sobre "La Anatomía de un Subway Hack: Breaking Crypto RFIDs & Magstripes of Ticketing Systems" en la conferencia Defcon el domingo a la 1 pm hora local. Los estudiantes de MIT y un abogado de MBTA no devolvieron llamadas y mensajes de correo electrónico en busca de comentarios.

En una presentación distribuida a los asistentes de Defcon, los estudiantes describen una variedad de técnicas que podrían usarse para obtener acceso gratuito al sistema de tránsito de Boston. algunos de los cuales admiten que son ilegales. Dicen que el objetivo de la charla es mostrar los resultados de una prueba de penetración del sistema MBTA, pero eran claramente conscientes de que podría haber causado problemas legales. En una diapositiva se lee simplemente "Lo que no es esta charla: evidencia en la corte (con suerte)".

El pasaje de la guía Defcon que describe su charla comienza, "¿Quieres paseos en metro gratis de por vida?" Esa línea fue eliminada de la descripción de la charla publicada en el sitio web de Defcon.

Los estudiantes discuten los problemas de seguridad física que encontraron con el sistema, como las puertas desbloqueadas y las cabinas de vigilancia desatendida. Dicen que pudieron acceder a los conmutadores de fibra que conectan las máquinas expendedoras de tarifas con la red desbloqueada, y también describen técnicas para clonar y aplicar ingeniería inversa a los boletos de banda magnética CharlieTicket del MBTA y a las tarjetas inteligentes CharlieCard

. El 68 por ciento de sus pasajeros usan la CharlieCard, que aporta aproximadamente US $ 475,000 a la autoridad de tránsito cada día de la semana. Los investigadores se negaron a dar a la autoridad de tránsito información sobre fallas de seguridad en su sistema antes de la charla, el estado de las declaraciones.

Un vendedor de MBTA avisó a la autoridad el 30 de julio que la conversación estaba programada, las declaraciones dicen.

CharlieCard se basa en la misma tecnología Mifare Classic RFID (identificación por radiofrecuencia) utilizada por muchos otros sistemas de tránsito en todo el mundo. A principios de este año, el productor de Mifare, NXP, demandó para evitar que los investigadores presenten investigaciones sobre cómo crackear esta tecnología. Un tribunal holandés rechazó las reclamaciones de NXP el mes pasado.

Se supone que la charla de los estudiantes del MIT se publicará en línea en un sitio del MIT. En el momento de la publicación, no estaba disponible.

Con un promedio diario de usuarios de 1.4 millones de pasajeros, la MBTA es el quinto sistema de tránsito más grande del país, según la demanda.