Gericht stoppt U-Bahn-Hacker-Gespräch

Ein US-Bezirksrichter angeordnet die Absage eines für Sonntag geplanten Defcon-Konferenzgesprächs, das detaillierte Mängel im elektronischen Ticketing-System der Massachusetts Bay Transportation Authority hätte.

Die MBTA reichte am Freitag Klage ein, um drei Studenten des Massachusetts Institute of Technology und das MIT davon abzuhalten. Richter Douglas Woodlock vom United States District Court für den District of Massachusetts erließ am Samstagnachmittag eine gerichtliche Verfügung zugunsten der MBTA.

Die Bostoner Transportbehörde argumentierte, dass die Präsentation "erheblichen Schaden für das MBTA-Transportsystem verursachen würde", laut einer Online - Veröffentlichung der Klage.

[Weitere Informationen: Wie man Malware von Ihrem Windows PC entfernt]

MIT Studenten Zack Anderson, Russell "RJ" Ryan und Alessandro Chiesa hatten geplant, über "The zu sprechen Anatomie eines U-Bahn-Hacks: Breaking Crypto RFIDs & Magnetstreifen von Ticketing-Systemen "auf der Defcon-Konferenz Sonntag um 13 Uhr Ortszeit. Die MIT-Studenten und ein MBTA-Anwalt gaben keine Anrufe und E-Mail-Nachrichten zurück, die einen Kommentar suchten.

Nachdem sie mit ihrer Rechtsberaterin Jennifer Granick von der Electronic Frontier Foundation (EFF) gesprochen hatten, beschlossen die Studenten, den Gerichtsbeschluss nicht zu bekämpfen Den Vortrag abzusagen, sagte eine Sprecherin der Defcon-Konferenz am Samstag.

Obwohl die Studenten durch Gerichtsbeschluss daran gehindert wurden, Informationen zu liefern, die anderen geholfen hätten, den Vortrag zu umgehen, waren ihre Präsentationsfolien bereits auf einer Konferenz-CD von Defcon enthalten Teilnehmer. Die MBTA selbst legte einige Details in die öffentliche Akte, indem sie eine vertrauliche Beurteilung ihres Sicherheitssystems beim Gericht einreichte.

In den Defcon-Präsentationsfolien beschreiben die Studenten eine Vielzahl von Techniken, die verwendet werden könnten, um freien Zugang zu Boston zu erhalten Transitsystem, von denen einige zugeben, dass sie illegal sind. Sie sagen, dass der Punkt des Vortrags darin besteht, die Ergebnisse eines Penetrationstests des MBTA-Systems zu zeigen, aber sie waren sich bewusst, dass es rechtliche Probleme verursacht haben könnte. Eine Folie liest einfach "Was dieses Gespräch nicht ist: Beweise vor Gericht (hoffentlich)".

Die Passage in der Defcon-Showanleitung, die ihr Gespräch beschreibt, beginnt: "Willst du kostenlose U-Bahnfahrten für das Leben?" Diese Zeile wurde aus der Beschreibung des auf der Defcon-Website veröffentlichten Vortrags entfernt.

Die Schüler besprechen physische Sicherheitsprobleme, die sie mit dem System gefunden haben, wie z. B. entsperrte Tore und unbeaufsichtigte Überwachungskabinen. Sie sagen, dass sie in der Lage waren, auf Glasfaserkabel zu stoßen, die die Fahrkartenautomaten mit dem freigeschalteten Netzwerk verbinden, und sie beschreiben Techniken zum Klonen und Reverse-Engineering der CharlieTicket-Magnetstreifentickets und CharlieCard-Smartcards.

In Gerichtsakten sagt die MBTA das 68 Prozent seiner Fahrer nutzen die CharlieCard, die an jedem Wochentag etwa 475.000 US-Dollar an die Transitbehörde liefert.

Ein MBTA-Anbieter gab am 30. Juli bekannt, dass das Gespräch geplant war, heißt es in der Gerichtsakte CharlieCard basiert auf der gleichen RFID-Technologie (Radio Frequency Identification) von Mifare Classic, die auch von vielen anderen Versandsystemen auf der ganzen Welt verwendet wird. Anfang dieses Jahres hat Mifare's Produzent, NXP, verklagt, um zu verhindern, dass Forscher Forschung darüber präsentieren, wie man diese Technologie knacken kann. Ein niederländisches Gericht wies NXPs Behauptungen im letzten Monat zurück.

Mit einem durchschnittlichen Wochenend-Fahrgastaufkommen von 1,4 Millionen Pendlern ist die MBTA laut der Klage das fünftgrößte Transitsystem der USA.

Auch in der Vergangenheit. Security-Forscher Mike Lynn wurde im Jahr 2005 verklagt, nachdem er eine kontroverse Präsentation offengelegt Mängel in Cisco-Router. Als Reaktion darauf hat die EFF in diesem Jahr einen Drop-in-Service gestartet, der den Defcon-Moderatoren kostenlose Rechtsberatung für die Reaktion auf drohende Rechtsstreitigkeiten bietet.

EFF wird die Klage gegen die MIT-Studenten bei einer Defcon-Podiumsdiskussion um 14.00 Uhr diskutieren. Ortszeit.

(Weitere Informationen folgen nach der Podiumsdiskussion.)