Silenced Subway Hackers, Silenced No More

В последних ироничных новостях борьба города с целью прекращения публикации взлома системы метро привела к тому, что информация была передана миру.

Транспортное управление Массачусетского залива подало федеральную жалобу в пятницу, чтобы сохранить группу Студенты из Массачусетского технологического института обсудили лазейку, которую они нашли в системе тарифов для метро Бостона, называемой «T.» Студенты были готовы представить свои результаты на ежегодной конференции хакеров DEFCON 16 в Лас-Вегасе в воскресенье. Однако судья издал временный запретительный приказ, заставляя их отменить разговор и молчать.

Вот проблема: жалоба MBTA включала полную копию презентации студентов. Будучи тем, что он теперь является частью публичной записи, этот документ нашел свой путь в Интернете - и, потенциально, на экранах миллионов.

Студенты обжаловали решение суда в соответствии с The Tech студенческая газета - которая разместила полные судебные документы вместе со всей презентацией на своем веб-сайте.

Scholastic Discovery

Информация на самом деле является частью статьи, написанной студентами для класса MIT. В нем подробно описаны некоторые проблемы с системой CharlieCard, используемой для тарифов, а именно, что она не использует центральную базу данных для отслеживания ценностей карт и не имеет надежных цифровых подписей, чтобы люди не изменяли стоимость карт. С помощью подходящего оборудования - материала, который вы могли бы найти в течение нескольких минут в Интернете - студенты говорят, что любой может изменить 50-процентную карту на 500 долларов.

«CharlieTicket уязвим как для клонирования, так и для подделок», студенты напишите.

Legal Speak

Так что MBTA имеет право держать команду в обсуждении своей находки? Наверное - по крайней мере в глазах закона. Если организация может обоснованно показать, что освобождение информации нанесло бы вред, это технически ясно.

Один из студентов MIT сказал, что он и его одноклассники дали предварительное уведомление MBTA о своих результатах, - но его интервью с Boston Herald предполагает, что это произошло всего за несколько дней до запланированной презентации DEFCON. Это оставляет комнату MBTA, чтобы утверждать, что у нее не было достаточно времени для принятия профилактических мер.

Конечно, в конечном итоге MBTA по сути выстрелила себе в ногу. Документы в виде PDF-под названием «Анатомия подземного взлома» (PDF) теперь повсюду, и люди, которые, вероятно, никогда не слышали о взломе, теперь знают каждую последнюю деталь об этом. Непонятно, почему судья не запечатал связанные документы, которые не позволили бы им публиковать.

Окончательный вердикт

Несомненно, это один сложный случай. Конечно, студенты не являются сотрудниками MBTA и не обязаны делиться тем, что они нашли. В то же время представление этой информации публично, не допуская первого ответа MBTA, могло бы явно нанести ущерб, связанный с бизнесом.

В лучшем случае, возможно, следовало за руководством аналитика безопасности Дэна Камински, парня, который нашел массивная ошибка DNS, влияющая на весь Интернет в июле. Каминский на самом деле столкнулся с проблемой полгода назад. Он упорно трудился, чтобы держать его в тайне, пока лидеры отрасли не смогли найти твердый раствор. Даже после того, как они изначально объявили об открытии и решении, Камински умолял хакеров хранить все, что они нашли для себя еще на один месяц, поэтому у интернет-провайдеров во всем мире может быть достаточно времени для исправления дыры и защиты их систем.

В конечном счете, в экземпляре MIT слишком плохо. Студенты получили некоторую недолговечную известность, и, надеюсь, MBTA получила некоторое представление о серьезной проблеме и о том, как ее можно исправить. И даже если команда MIT не получает благодарности за свои мысли, она получила одно вознаграждение: A для задания.