Silenced Subway Hackers, Silenced No More

I den ultimative ironi-nyhed har en bys kamp for at stoppe offentliggørelsen af ​​et subway system hack resulteret i, at informationen udsendes til verden.

Massachusetts Bay Transportation Authority indgav en føderal klage fredag ​​for at holde en gruppe af MIT studerende fra at diskutere et smuthul de fandt inden for billetsystemet for Boston's metro, kaldet "T." Eleverne blev sat til at præsentere deres resultater på DEFCON 16 årlige hackers konference i Las Vegas søndag. En dommer udstedte en midlertidig tilbageholdelsesordre, men tvinger dem til at annullere talerne og holde sig stille.

Her er problemet: MBTA's klage indeholdt en fuld kopi af elevernes præsentation. At det nu er en del af den offentlige post, har dokumentet fundet vej mod internettet - og potentielt på millioner af skærme.

Studentene appellerer domstolens beslutning, ifølge MIT's The Tech student avis - som udgav fuld retsdokumenter sammen med hele præsentationen på sin hjemmeside.

Scholastic Discovery

Oplysningerne er faktisk en del af et papir, som eleverne skrev til en MIT-klasse. Det beskriver flere problemer med CharlieCard-systemet, der anvendes til billetpriser, nemlig at det ikke bruger en central database til at spore kortværdier og ingen sikre digitale signaturer, så folk ikke kan ændre kortene. Med det rigtige udstyr - ting du kunne finde inden for et par minutter online - siger eleverne, at alle kan ændre et 50 cent kort til en $ 500.

"CharlieTicket er sårbart over for både kloning og forfalskning angreb," de studerende skriv.

Juridisk Tale

Så har MBTA ret til at holde holdet fra at diskutere sin søgning? Sandsynligvis - i hvert fald i lovens øjne. Hvis organisationen med rimelighed kan vise, at frigivelse af oplysningerne ville have forårsaget skade, er det teknisk set klart.

En af MIT-eleverne sagde, at han og hans klassekammerater gav MBTA forhåndsmeddelelsen om deres resultater - men hans interview med Boston Herald antyder, at der skete et par dage før den planlagte DEFCON-præsentation. Det forlader MBTA-rummet til at hævde, at det ikke havde tid nok til at tage forebyggende handlinger.

Selvfølgelig skød MBTA i det lange løb sig selv i foden. Dokumenterne, i form af en PDF kaldet "Anatomy of a Subway Hack" (PDF), er nu overalt, og folk, der nok aldrig ville have hørt om hacket, kender nu alle detaljer om det. Hvad der ikke er klart, er, hvorfor den involverede dommer ikke forseglede de tilknyttede dokumenter, hvilket ville have gjort dem ude af stand til at blive offentligt.

Den endelige dom

Det er uden tvivl et vanskeligt tilfælde. Bestemt er eleverne ikke ansatte i MBTA og er ikke forpligtet til at dele noget, de fandt. Samtidig med at præsentere disse oplysninger offentligt uden at lade MBTA reagere først, kunne det tydeligt have forårsaget forretningsmæssig skade.

Det bedste tilfælde kunne have været at følge føre sikkerhedsforsker Dan Kaminsky, den fyr, der fandt den massiv DNS fejl, der påvirker hele internettet i juli. Kaminsky kom faktisk på tværs af problemet en hel seks måneder tidligere. Han arbejdede hårdt for at holde det under wraps indtil industriens ledere kunne finde en solid løsning. Selv efter at den oprindeligt annoncerede opdagelsen og løsningen, opfordrede Kaminsky med hackere til at holde alt, hvad de selv fandt i en måned mere, så internetudbydere over hele verden kunne have rigelig tid til at patchere hullet og beskytte deres systemer. I sidste ende er der dog ingen i MIT-tilfælde er faring for dårligt. Eleverne har fået en kortvarig berømmelse, og forhåbentlig har MBTA fået en vis indsigt i et alvorligt problem og hvordan det kan løses. Og selvom MIT-teamet ikke får tak for sine tanker, fik det en belønning: en A til opgaven.