EFF gegen Berufungsurteil Halt gegen Subway Hacker Diskussion

Die Electronic Frontier Foundation beabsichtigt, gegen ein US-Bezirksgericht Beschwerde einzulegen, die eine einstweilige Verfügung zu einer Defcon-Präsentation mit detaillierten Mängeln im elektronischen Fahrscheinsystem der Massachusetts Bay Transportation Authority verhängt hätte Das Gericht kam letzten Endes zu einem sehr, sehr falschen Schluss ", sagte EFF-Chefanwalt Kurt Opsahl während einer EFF-Diskussion in Defcon wenige Stunden nachdem der Richter Douglas Woodlock vom US-Bezirksgericht für den Bezirk Massachusetts eine gerichtliche Verfügung erlassen hatte, die das geplante Gespräch stoppte über die Sicherheitsmängel des Versandsystems.

Preemptive Suit

Die MBTA reichte am Freitag Klage ein, um drei Studenten des Massachusetts Institute of Technology zu stoppen Ich gebe das Gespräch. Die Klage nennt das MIT auch als Beklagten. Die Bostoner Transportbehörde argumentierte, dass die Präsentation "einen erheblichen Schaden für das MBTA-Transportsystem verursachen würde", heißt es in einer Online-Anzeige der Klage.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

MIT-Studenten Zack Anderson, Russell "RJ" Ryan und Alessandro Chiesa hatten geplant, auf der Defcon-Konferenz am Sonntag über "Die Anatomie eines U-Bahn-Hacks: Breaking Crypto RFIDs & Magnetstreifen von Ticketing-Systemen" zu sprechen. Sie erhielten eine Note "A" für das Projekt in einer MIT - Klasse, sagte Opsahl.

"Die erste Mitteilung, dass die MBTA vor Gericht gestellt hatte, war, nachdem sie vor Gericht gegangen waren", sagte Opsahl am EFF-Sitzung. Der Richter zitierte ein Computer Intrusion Statute bei der Erteilung der Bestellung, sagte er.

"Das Gesetz auf seinem Gesicht scheint zu diskutieren, senden Code-Programme oder ähnliche Art von Informationen an einen Computer und scheint nicht zu betrachten jemanden, der eine gibt Rede mit Menschen ", sagte Opsahl. "Dennoch widersprach das Gericht dieser Interpretation."

Die Gerichtsentscheidung scheint zu sagen, dass ein Magnetstreifen auf einer Papierkarte oder einer Chipkarte als Computer gilt und die EFF dieser Interpretation nicht zustimmt, sagte er Temporäre einstweilige Verfügung "spiegelt die Auffassung des Gerichts, dass sie glauben, dass die Massachusetts Bay Transit Authority wahrscheinlich erfolgreich sein würde - wir denken, dass das tatsächlich nicht der Fall ist", sagte Opsahl.

Zuvor bekannt gegeben

Ein Teil des Materials In den Gesprächen der Studenten über Sicherheitsprobleme mit dem elektronischen Ticketsystem der MBTA wurde zuvor in den Zeitungen Boston Globe und Boston Herald berichtet, sagte Opsahl.

"Gerichte haben festgestellt, dass der Erste Zusatzartikel diese Dinge abdeckt", sagte Opsahl. "Wir glauben, dass dies eine geschützte Redeaktivität ist. Wenn Sie über Sicherheitsthemen sprechen, wenn Sie die Wahrheit sagen, sollte dies geschützt werden."

Obwohl die Studenten durch Gerichtsbeschluss daran gehindert werden, Informationen zu liefern, die hätten Während sie anderen dabei halfen, den Vortrag zu umgehen, waren ihre Präsentationsfolien bereits in einer Konferenz-CD enthalten, die den Defcon-Teilnehmern ausgehändigt wurde. Die MBTA selbst legte einige Details in die öffentliche Akte, indem sie eine vertrauliche Bewertung ihres Sicherheitssystems beim Gericht einreichte.

In den Defcon-Präsentationsfolien beschreiben die Studenten eine Vielzahl von Techniken, die verwendet werden könnten, um freien Zugang zu Boston zu erhalten Transitsystem, von denen einige zugeben, dass sie illegal sind. Sie sagen, dass der Punkt des Vortrags darin besteht, die Ergebnisse eines Penetrationstests des MBTA-Systems zu zeigen, aber sie waren sich bewusst, dass es rechtliche Probleme verursacht haben könnte. Eine Folie liest einfach "Was dieses Gespräch nicht ist: Beweise vor Gericht (hoffentlich)".

Die Passage in der Defcon-Showanleitung, die ihr Gespräch beschreibt, beginnt: "Willst du kostenlose U-Bahnfahrten für das Leben?" Diese Zeile wurde aus der Beschreibung des auf der Defcon-Website veröffentlichten Vortrags entfernt.

Die Schüler besprechen physische Sicherheitsprobleme, die sie mit dem System gefunden haben, wie z. B. entsperrte Tore und unbeaufsichtigte Überwachungskabinen. Sie sagen, dass sie in der Lage waren, auf Faserschalter zuzugreifen, die Fahrkartenautomaten mit dem freigeschalteten Netzwerk verbinden, und sie beschreiben auch Techniken zum Klonen und Reverse-Engineering der CharlieTicket-Magnetstreifentickets und CharlieCard-Smartcards der MBTA.

In Gerichtsakten meldet die MBTA, dass 68 Prozent ihrer Fahrer die CharlieCard benutzen, die an jedem Wochentag etwa 475.000 US-Dollar an die Transitbehörde bringt.

Mit MBTA

Am 30. Juli gab ein MBTA-Verkäufer der Behörde einen Tipp das Gespräch wurde angesetzt, heißt es in der Gerichtsakte. Laut Opsahl trafen sich die Studenten am Montag mit Vertretern der MBTA, und nach diesem Treffen waren sie der Ansicht, dass die Situation geklärt sei.

Die Studenten waren "sehr, sehr überrascht" von der Klage, sagte Zack Anderson in einer Presse Konferenz nach der EFF-Diskussion.

"Wir hatten das Gefühl, aufgrund von mündlichen Kommentaren, die uns gegeben wurden, dass das Problem gelöst wurde", sagte er. "Sie haben darum gebeten, dass ihnen einige Materialien vorgelegt werden, denen wir zugestimmt haben, und wir haben ihnen diese gestern gebracht."

Die Studenten sagten, sie versuchten, die MBTA um den 20. Juli herum durch ihren Professor Ron Rivest zu erreichen in MIT Department of Electrical Engineering und Computer Science, aber nicht wirklich mit der Agentur bis etwa 30. Juli.

Es war eine verrückte Woche für Anderson, der hager aussah - er sagte, es dauerte 18 Stunden, um mit dem Flugzeug zu reisen zu Defcon und er hatte seit Donnerstag nicht geschlafen.

Ein MBTA Anwalt hat keine Nachrichten zurückgesendet Samstag sucht einen Kommentar für Geschichten über die Angelegenheit.

Die CharlieCard basiert auf der gleichen Mifare Classic RFID (Radio Frequency Identification) Technologie von viele andere Transitsysteme auf der ganzen Welt. Anfang dieses Jahres hat Mifares Produzent, NXP, verklagt, um Forscher daran zu hindern, Forschung darüber zu präsentieren, wie man diese Technologie knacken kann. Ein niederländisches Gericht wies NXPs Behauptungen im letzten Monat zurück.

Mit einem durchschnittlichen Wochenend-Fahrgastaufkommen von 1,4 Millionen Pendlern ist die MBTA laut der Klage das fünftgrößte Versandsystem der USA.

Auch im Zusammenhang mit Defcon wurden Klagen erhoben Vergangenheit. Security-Forscher Mike Lynn wurde im Jahr 2005 verklagt, nachdem er eine kontroverse Präsentation offengelegt Mängel in Cisco-Router. Als Antwort darauf startete die EFF in diesem Jahr einen Drop-In-Service, der Defcon-Moderatoren kostenlose Rechtsberatung für die Reaktion auf drohende Rechtsstreitigkeiten bietet.

Obwohl die Konferenzteilnehmer nun spekulieren, dass ein anderes Gespräch über das MBTA-System die gestrichenen ersetzen könnte Sprechen Sie, sagte Anderson, er und seine Kollegen Forscher sagen, sie beabsichtigen, die gerichtliche Anordnung einzuhalten. "Wir sind nicht einverstanden mit der Entscheidung, aber wir werden es nicht ungehorsam sein", sagte er.