EFF per ricorrere alla Corte d'Appello Interruzione dell'Hacker Subway Talk

La Electronic Frontier Foundation ha intenzione di appellarsi a un ordine del tribunale distrettuale degli Stati Uniti che impone un'ingiunzione temporanea su una presentazione Defcon che avrebbe dei difetti dettagliati nel sistema di biglietteria elettronica della Massachusetts Bay Transportation Authority.

"The Alla fine la corte giunse a una conclusione molto, molto errata ", ha detto l'avvocato del personale senior di EFF Kurt Opsahl durante una discussione del FEP a Defcon poche ore dopo che il giudice Douglas Woodlock della Corte distrettuale degli Stati Uniti per il distretto del Massachusetts ha emesso un ordine del tribunale che interrompeva il discorso programmato circa i difetti di sicurezza del sistema di transito.

Tuta preventiva

L'MBTA ha intentato una causa venerdì cercando di fermare tre studenti del Massachusetts Institute of Technology om dare la parola. La causa nomina anche il MIT come imputato. L'autorità dei trasporti della zona di Boston ha sostenuto che la presentazione avrebbe causato "danni significativi al sistema di transito dell'MBTA", secondo una pubblicazione online della causa.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Gli studenti del MIT Zack Anderson, Russell "RJ" Ryan e Alessandro Chiesa avevano programmato di parlare di "The Anatomy of a Subway Hack: Breaking Crypto RFIDs & Magstripes of Ticketing Systems" alla conferenza Defcon di domenica. Hanno ricevuto un voto "A" sul progetto in una classe del MIT, ha detto Opsahl.

"Il primo avviso che l'MBTA prevedeva che andassero in tribunale era dopo che erano andati in tribunale", ha detto Opsahl al Sessione EFF. Il giudice ha citato uno statuto di intrusione informatica nell'emettere l'ordine, ha detto.

"Lo statuto sul suo volto sembra discutere programmi di invio di codice o simili tipi di informazioni a un computer e non sembra contemplare qualcuno che sta dando un parlare con gli umani ", ha detto Opsahl. "Tuttavia, la corte non è d'accordo con questa interpretazione".

L'ordine del tribunale sembra dire che una striscia magnetica su una carta cartacea o una smartcard conta come un computer e il FEP non è d'accordo con tale interpretazione, ha detto.

The ordine restrittivo temporaneo "riflette il punto di vista della corte secondo il quale la Massachusetts Bay Transit Authority avrebbe avuto successo nel merito - pensiamo che non sia in realtà il caso", ha detto Opsahl.

Precedentemente divulgato

Alcuni dei materiali Nel discorso degli studenti sui problemi di sicurezza con il sistema di biglietteria elettronica del MBTA era stato precedentemente riportato sui giornali Boston Globe e Boston Herald, Opsahl ha detto.

"Le corti hanno scoperto che il Primo Emendamento copre queste cose", ha detto Opsahl. "Riteniamo che si tratti di un'attività vocale protetta. Quando discuti di problemi di sicurezza, se stai dicendo la verità, è qualcosa che dovrebbe essere protetto".

Sebbene gli studenti siano esclusi dall'ordinanza giudiziaria dal fornire informazioni che avrebbero aiutò gli altri a eludere il discorso, le loro diapositive di presentazione erano già state incluse in un CD di conferenza dato ai partecipanti a Defcon. L'MBTA stesso ha messo alcuni dettagli nel registro pubblico, depositando una valutazione confidenziale del suo sistema di sicurezza con il tribunale.

Nelle diapositive della presentazione di Defcon, gli studenti descrivono una varietà di tecniche che potrebbero essere utilizzate per ottenere l'accesso gratuito a Boston sistema di transito, alcuni dei quali ammettono che sono illegali. Dicono che il punto della discussione è di mostrare i risultati di un test di penetrazione del sistema MBTA, ma erano chiaramente consapevoli che avrebbe potuto causare problemi legali. Una diapositiva recita semplicemente "Cosa non è questo discorso: prove in tribunale (si spera)".

Il brano della guida dello show Defcon che descrive il loro discorso inizia, "Vuoi viaggiare in metropolitana gratis per la vita?" Tale linea è stata rimossa dalla descrizione del discorso pubblicato sul sito Web Defcon.

Gli studenti discutono dei problemi di sicurezza fisica che hanno riscontrato con il sistema, come cancelli sbloccati e cabine di sorveglianza non presidiate. Dicono di essere in grado di accedere agli switch in fibra che collegano i distributori automatici di tariffe alla rete sbloccata e descrivono anche le tecniche per clonare e decodificare i biglietti della banda magnetica CharlieTicket dell'MBTA e le smart card CharlieCard.

In tribunale, l'MBTA afferma che il 68% dei suoi piloti usa la CharlieCard, che porta circa 475.000 $ USA all'autorità di transito ogni giorno della settimana.

Met With MBTA

Un fornitore di MBTA ha comunicato all'autorità il 30 luglio che il discorso era programmato, si legge nel deposito della corte. Secondo Opsahl, gli studenti si sono incontrati lunedì con i funzionari dell'MBTA e dopo la riunione si è capito che la situazione era stata risolta.

Gli studenti sono stati "molto, molto sorpresi" dalla causa, ha detto Zack Anderson in una stampa conferenza dopo la discussione EFF.

"Ci siamo sentiti, a causa di commenti verbali che ci sono stati dati che il problema è stato risolto", ha detto. "Hanno chiesto che fosse consegnato loro del materiale, che abbiamo accettato, e li abbiamo portati quelli ieri".

Gli studenti hanno dichiarato di aver provato a contattare l'MBTA intorno al 20 luglio attraverso il loro professore Ron Rivest, che insegna nel Dipartimento di Ingegneria Elettrica e Informatica del MIT, ma in realtà non si è collegato all'agenzia fino al 30 luglio.

È stata una settimana pazza per Anderson, che sembrava stravolto - ha detto che gli ci sono voluti 18 ore per viaggiare in aereo a Defcon e non ha dormito da giovedì.

Un avvocato MBTA non ha restituito messaggi sabato cercando commenti per storie sull'argomento.

La CharlieCard si basa sulla stessa tecnologia RFID (identificazione a radiofrequenza) di Mifare Classic utilizzata da molti altri sistemi di transito in tutto il mondo. All'inizio di quest'anno, il produttore di Mifare, NXP, ha fatto causa per impedire ai ricercatori di presentare ricerche su come rompere questa tecnologia. Un tribunale olandese ha respinto le richieste di NXP il mese scorso.

Con un ridimensionamento settimanale di 1,4 milioni di pendolari, l'MBTA è il quinto più grande sistema di transito della nazione, secondo la causa.

Le cause legali riguardanti le presentazioni di Defcon si sono verificate anche nel passato. Il ricercatore di sicurezza Mike Lynn è stato denunciato nel 2005 dopo aver presentato una controversa presentazione che rivelava difetti nei router Cisco. In risposta, il FEP ha iniziato quest'anno un servizio di drop-in, fornendo ai relatori di Defcon un parere legale gratuito su come rispondere alle minacce di un'azione legale.

Sebbene i partecipanti alla conferenza stiano ora ipotizzando che un altro discorso sul sistema MBTA possa sostituire quello annullato Parlare, Anderson ha detto che lui e i suoi colleghi ricercatori dicono che intendono rispettare l'ordine del tribunale. "Non siamo d'accordo con la sentenza, ma non abbiamo intenzione di disobbedire", ha detto.