EFF para apelar ao tribunal de justiça Interrompendo a conversa com o Hacker do metrô

A Electronic Frontier Foundation planeja apelar de uma decisão do Tribunal Distrital dos EUA que imponha uma liminar em uma apresentação da Defcon que detalharia falhas no sistema de bilhetagem eletrônica da Massachusetts Bay Transportation Authority.

"The O tribunal finalmente chegou a uma conclusão muito, muito errada, disse Kurt Opsahl, advogado da EFF durante uma discussão na Defcon algumas horas depois de o juiz Douglas Woodlock, do Tribunal Distrital do Distrito de Massachusetts, ter emitido uma ordem judicial para suspender a conversa planejada. sobre as falhas de segurança do sistema de trânsito.

Ação preventiva

A MBTA entrou com uma ação na sexta-feira buscando deter três estudantes do Instituto de Tecnologia de Massachusetts (MIT). om dando a palestra. O processo também aponta o MIT como réu. A autoridade de transporte da área de Boston argumentou que a apresentação causaria "danos significativos ao sistema de trânsito da MBTA", de acordo com uma publicação online da ação.

[Leitura adicional: Como remover malware do seu PC com Windows]

Os alunos do MIT Zack Anderson, Russell "RJ" Ryan e Alessandro Chiesa estavam programados para falar sobre "A Anatomia de um Hack do Metrô: Quebrando Criptografia RFID e Magstripes de Sistemas de Ticketing" na conferência da Defcon no domingo. Eles receberam uma nota "A" do projeto em uma turma do MIT, disse Opsahl.

"A primeira notificação de que a MBTA estava indo para a corte foi depois que eles foram ao tribunal", disse Opsahl no Sessão EFF. O juiz citou um estatuto de intrusão de computador na emissão da ordem, disse ele. "O estatuto em seu rosto parece estar discutindo o envio de programas de código ou tipo similar de informação para um computador e não parece contemplar alguém que está dando uma ordem." falar com os humanos ", disse Opsahl. "No entanto, o tribunal discordou dessa interpretação."

A ordem judicial parece dizer que uma tira magnética em um cartão de papel ou um cartão inteligente conta como um computador e a EFF discorda dessa interpretação, disse ele. ordem de restrição temporária "reflete a opinião do tribunal de que eles acreditam que a Autoridade de Trânsito da Baía de Massachusetts teria sucesso nos méritos - acreditamos que esse não seja o caso", disse Opsahl.

Anteriormente divulgado

na palestra dos estudantes sobre problemas de segurança com o sistema de bilhetagem eletrônica da MBTA havia sido relatado anteriormente nos jornais Boston Globe e Boston Herald, disse Opsahl.

"Tribunais descobriram que a Primeira Emenda cobre essas coisas", disse Opsahl. "Acreditamos que esta é uma atividade de discurso protegida. Quando você discute questões de segurança, se você está dizendo a verdade, isso é algo que deve ser protegido."

Embora os estudantes sejam impedidos por ordem judicial de fornecer informações que teriam ajudou os outros a contornar a conversa, seus slides de apresentação já haviam sido incluídos em um CD de conferência dado aos participantes da Defcon. A própria MBTA colocou alguns detalhes no registro público, arquivando uma avaliação confidencial de seu sistema de segurança com a corte.

Nos slides de apresentação da Defcon, os alunos descrevem uma variedade de técnicas que poderiam ser usadas para obter acesso gratuito a Boston. sistema de trânsito, alguns dos quais eles admitem serem ilegais. Eles dizem que o objetivo da conversa é mostrar os resultados de um teste de penetração do sistema MBTA, mas eles estavam claramente cientes de que isso poderia ter causado problemas legais. Um slide diz simplesmente "O que esta conversa não é: evidência no tribunal (esperançosamente)".

A passagem no guia do Defcon mostra que a conversa começa: "Quer um metrô grátis para a vida?" Essa linha foi removida da descrição da palestra postada no site da Defcon na Web.

Os alunos discutem problemas de segurança física encontrados no sistema, como portões destravados e cabines de vigilância desacompanhadas. Eles dizem que conseguiram acessar os comutadores de fibra que conectam as máquinas de venda automática de tarifas à rede desbloqueada e também descrevem técnicas para clonar e fazer engenharia reversa dos tickets de tarja magnética CharlieTicket da MBTA e dos smartcards CharlieCard.

Em documentos judiciais, a MBTA diz que 68% de seus passageiros usam o CharlieCard, que arrecada cerca de US $ 475.000 para a autoridade de trânsito todos os dias da semana.

Met com MBTA

Um fornecedor da MBTA avisou a autoridade em 30 de julho a conversa foi marcada, afirma o tribunal. De acordo com Opsahl, os estudantes se reuniram com funcionários da MBTA na segunda-feira e foi compreendido depois da reunião que a situação havia sido resolvida. Os estudantes ficaram "muito, muito surpresos" com o processo, disse Zack Anderson em uma prensa. conferência após a discussão EFF.

"Sentimos, devido a comentários verbais que nos foram dadas que a questão foi resolvida", disse ele. "Eles pediram que alguns materiais fossem enviados a eles, com os quais concordamos, e nós os recebemos ontem."

Os estudantes disseram que tentaram entrar em contato com a MBTA em 20 de julho através de seu professor Ron Rivest, que ensina no Departamento de Engenharia Elétrica e Ciência da Computação do MIT, mas não se conectou com a agência até cerca de 30 de julho.

Tem sido uma semana louca para Anderson, que parecia abatido - ele disse que levou 18 horas para viajar de avião para Defcon e ele não tinha dormido desde quinta-feira.

Um advogado da MBTA não retornou mensagens no sábado em busca de comentários sobre o assunto.

O CharlieCard é baseado na mesma tecnologia RFID (identificação por freqüência de rádio) do Mifare Classic muitos outros sistemas de trânsito ao redor do mundo. No início deste ano, a produtora da Mifare, a NXP, processou para evitar que pesquisadores apresentassem pesquisas sobre como decifrar essa tecnologia. Um tribunal holandês rejeitou as reclamações da NXP no mês passado. Com uma média de passageiros de 1,4 milhão, a MBTA é o quinto maior sistema de trânsito do país, de acordo com o processo.

Processos envolvendo apresentações da Defcon também ocorreram no passado. O pesquisador de segurança Mike Lynn foi processado em 2005 depois que ele fez uma apresentação polêmica revelando falhas nos roteadores da Cisco. Em resposta, a EFF iniciou este ano um serviço de atendimento gratuito, oferecendo aos assessores da Defcon aconselhamento jurídico gratuito sobre como responder a ameaças de ação legal.

Embora os participantes da conferência especulem que outra palestra no sistema MBTA possa substituir a cancelada Anderson disse que ele e seus colegas pesquisadores dizem que pretendem cumprir a ordem judicial. "Nós discordamos da decisão, mas não vamos desobedecê-la", disse ele.