Subway-Hacker zum Schweigen gebracht, zum Schweigen gebracht

In allerletzter Ironie hat der Kampf einer Stadt, die Veröffentlichung eines U-Bahn-Hacks zu stoppen, dazu geführt, dass die Informationen in die Welt übertragen wurden.

Die Massachusetts Bay Transportation Authority hat am Freitag eine Bundesbeschwerde eingereicht MIT Studenten von einer Diskussion über eine Lücke, die sie innerhalb des Tarifsystems für Bostons U-Bahn fanden, nannte das "T." Die Studenten sollten ihre Ergebnisse bei der jährlichen DEFCON 16-Hackerkonferenz in Las Vegas am Sonntag vorstellen. Ein Richter erließ jedoch eine einstweilige Verfügung, die sie zwang, den Vortrag abzubrechen und still zu bleiben.

Hier ist das Problem: Die Beschwerde der MBTA beinhaltete eine vollständige Kopie der Präsentation der Schüler. Da es nun Teil der öffentlichen Dokumentation ist, hat dieses Dokument seinen Weg ins Internet gefunden - und möglicherweise auf die Bildschirme von Millionen.

Die Studenten appellieren an die Entscheidung des Gerichts, laut MIT The Tech Studentenzeitung - die die vollständigen Gerichtsdokumente zusammen mit der gesamten Präsentation auf ihrer Website veröffentlicht hat.

Scholastic Discovery

Die Information ist eigentlich Teil eines Papiers, das die Studenten für eine MIT-Klasse geschrieben haben. Es beschreibt einige Probleme mit dem CharlieCard-System, das für Tarife verwendet wird - nämlich dass es keine zentrale Datenbank zum Verfolgen von Kartenwerten und keine sicheren digitalen Signaturen verwendet, um die Leute daran zu hindern, den Wert der Karten zu ändern. Mit der richtigen Ausrüstung - Zeug, das Sie innerhalb weniger Minuten online finden konnten - sagen die Schüler, dass jeder eine 50-Cent-Karte in eine 500-Dollar-Karte umwandeln kann.

"Das CharlieTicket ist anfällig für Klonen und Fälschungen", so die Schüler schreiben.

Legal Speak

Hat die MBTA das Recht, das Team davon abzuhalten, über seinen Fund zu sprechen? Wahrscheinlich - zumindest in den Augen des Gesetzes. Wenn die Organisation vernünftigerweise zeigen kann, dass die Veröffentlichung der Informationen Schaden verursacht hätte, wäre das technisch eindeutig.

Einer der MIT-Studenten sagte, er und seine Klassenkameraden hätten der MBTA ihre Ergebnisse mitgeteilt - aber sein Interview mit der Boston Herald deutet darauf hin, dass dies nur wenige Tage vor der geplanten DEFCON-Präsentation geschah. Damit bleibt der MBTA der Raum, zu argumentieren, dass sie nicht genügend Zeit hatte, vorbeugende Maßnahmen zu ergreifen.

Natürlich hat sich die MBTA auf lange Sicht im Wesentlichen selbst in den Fuß geschossen. Die Dokumente in Form eines PDF mit dem Titel "Anatomie eines U-Bahn-Hacks" (PDF) sind jetzt überall zu finden, und Leute, die wahrscheinlich nie etwas von dem Hack gehört hätten, wissen jetzt jedes Detail darüber. Es ist nicht klar, warum der betreffende Richter die entsprechenden Dokumente nicht versiegelt hat, was sie davon abgehalten hätte, an die Öffentlichkeit zu gehen.

Das endgültige Urteil

Dies ist zweifellos ein schwieriger Fall. Sicherlich sind die Studenten keine Angestellten der MBTA und sind nicht verpflichtet, etwas zu teilen, was sie gefunden haben. Gleichzeitig könnte die Präsentation dieser Informationen in der Öffentlichkeit, ohne dass die MBTA zuerst reagieren konnte, eindeutig geschäftsbedingte Schäden verursacht haben.

Das Best-Case-Szenario hätte möglicherweise der Führung des Sicherheitsanalysten Dan Kaminsky folgen können Der massive DNS-Fehler betrifft das gesamte Internet im Juli. Kaminsky ist tatsächlich sechs Monate zuvor auf das Problem gestoßen. Er arbeitete hart, um es geheim zu halten, bis Branchenführer eine solide Lösung finden konnten. Auch nach der ersten Ankündigung der Entdeckung und Lösung bat Kaminsky Hacker, alles, was sie gefunden hatten, für einen weiteren Monat geheim zu halten, damit ISPs weltweit genügend Zeit haben, das Loch zu patchern und ihre Systeme zu schützen.

Letztendlich aber niemand in der MIT-Instanz geht es zu schlecht. Die Schüler haben kurzlebigen Ruhm erlangt und hoffentlich hat die MBTA Einblick in ein ernstes Problem und wie es behoben werden kann. Und selbst wenn das MIT-Team keinen Dank für seine Gedanken bekommt, bekommt es eine Belohnung: ein A für die Aufgabe.