Silenced Subway Hackers, Silenced No More

I den ultimative ironi-nyheten har en bys kamp for å stoppe publiseringen av en tunnelbanehack resultert i at informasjonen sendes til verden.

Massachusetts Bay Transportation Authority sendte inn en føderal klage fredag ​​for å holde en gruppe MIT studenter fra å diskutere et smutthull de fant innenfor billettsystemet for Boston's metro, kalt "T." Studentene ble satt til å presentere sine funn på DEFCON 16 årlige hackers konferansen i Las Vegas søndag. En dommer utstedte en midlertidig begrensningsordre, men tvinger dem til å avbryte samtalen og holde seg stille.

Her er problemet: MBTAs klage inneholdt en full kopi av studentens presentasjon. Å være at den nå er en del av offentlig journal, har dokumentet funnet veien til Internett - og potensielt på millioner av skjermer.

Studentene appellerer domstolens beslutning, ifølge MITs The Tech student avis - som postet full rettsdokumenter sammen med hele presentasjonen på sin nettside.

Scholastic Discovery

Informasjonen er faktisk en del av et papir studentene skrev for en MIT-klasse. Det beskriver flere problemer med CharlieCard-systemet som brukes til priser, nemlig at det ikke bruker en sentral database for å spore kortverdier og ingen sikre digitale signaturer for å hindre at folk endrer kortene. Med riktig utstyr - ting du kunne finne innen noen få minutter på nettet - sier elevene at alle kan endre 50 prosent kort til en $ 500.

"CharlieTicket er sårbart for både kloning og forfalskningsangrep," elevene skriv.

Legal Speak

Så har MBTA rett til å holde laget fra å diskutere sin søk? Sannsynligvis - i hvert fall i lovens øyne. Hvis organisasjonen med rimelighet kan vise at utgivelsen av informasjonen ville ha forårsaket skade, er det teknisk klart.

En av MIT-studentene sa at han og hans klassekamerater ga MBTA forhåndsvarsel om sine funn - men hans intervju med Boston Herald antyder at det skjedde bare noen få dager før den planlagte DEFCON-presentasjonen. Det etterlater MBTA-rommet til å hevde at det ikke hadde nok tid til å ta forebyggende tiltak.

Selvfølgelig, i det lange tatt, skutt MBTAen i seg selv i foten. Dokumentene, i form av en PDF kalt "Anatomy of a Subway Hack" (PDF), er nå over alt, og folk som sannsynligvis aldri ville ha hørt om hacket, vet nå alle detaljer om det. Det som ikke er klart er hvorfor dommeren involverte ikke forsegle de relaterte dokumentene, noe som ville ha holdt dem fra å gå offentlig.

Den endelige dommen

Dette er uten tvil et vanskelig tilfelle. Absolutt er studentene ikke ansatte i MBTA og er ikke forpliktet til å dele noe de fant. Samtidig presenterer denne informasjonen offentlig uten å la MBTA reagere først, tydelig forårsaket forretningsrelatert skade.

Det beste scenarioet kunne ha vært å følge ledelsen av sikkerhetsanalytiker Dan Kaminsky, fyren som fant den massiv DNS-feil som påvirker hele Internett i juli. Kaminsky kom faktisk over problemet en hel seks måneder tidligere. Han jobbet hardt for å holde det under omslag til industriens ledere kunne finne en solid løsning. Selv etter at de først og fremst annonserte oppdagelsen og løsningen, bad Kaminsky hackere om å beholde alt de fant til seg selv i en måned, slik at ISPs over hele verden kunne ha rikelig tid til å lappe hullet og beskytte sine systemer.

Uansett, ingen i MIT-forekomsten er faring for dårlig. Studentene har fått litt kortvarig berømmelse, og forhåpentligvis har MBTA fått innblikk i et alvorlig problem og hvordan det kan løses. Og selv om MIT-teamet ikke får takk for sine tanker, fikk det en belønning: en A for oppgaven.