Hackers Silenciados do Metrô, Silenciados Não Mais

A Massachusetts Bay Transportation Authority apresentou uma queixa federal na sexta-feira para manter um grupo de Os estudantes do MIT discutem uma brecha que encontraram dentro do sistema de tarifas do metrô de Boston, chamado de "T". Os estudantes estavam prontos para apresentar suas descobertas na conferência anual de hackers DEFCON 16, em Las Vegas, no domingo. Um juiz emitiu uma ordem de restrição temporária, porém, forçando-os a cancelar a conversa e ficar quieto.

Aqui está o problema: A reclamação da MBTA incluía uma cópia completa da apresentação dos alunos. Sendo que agora faz parte do registro público, esse documento encontrou seu caminho na Internet - e, potencialmente, nas telas de milhões.

Os estudantes estão apelando da decisão do tribunal, segundo o

The Tech

A informação é na verdade parte de um artigo que os alunos escreveram para uma turma do MIT. Ele detalha vários problemas com o sistema CharlieCard usado para tarifas - ou seja, que não usa nenhum banco de dados central para rastrear os valores dos cartões e nenhuma assinatura digital segura para impedir que as pessoas alterem o valor das placas. Com o equipamento certo - coisas que você pode encontrar em poucos minutos on-line - os estudantes dizem que qualquer pessoa pode trocar um cartão de 50 centavos por um de $ 500.

"O CharlieTicket é vulnerável a ataques de clonagem e falsificação" escreva

Legal Speak

Então a MBTA tem o direito de impedir que a equipe discuta sua descoberta? Provavelmente - pelo menos aos olhos da lei. Se a organização puder razoavelmente demonstrar que liberar a informação teria causado danos, está tecnicamente claro.

Um dos alunos do MIT disse que ele e seus colegas deram ao MBTA um aviso prévio de suas descobertas - mas sua entrevista com o O

Boston Herald sugere que aconteceu poucos dias antes da apresentação do DEFCON. Isso deixa a sala da MBTA para argumentar que não teve tempo suficiente para tomar medidas preventivas. É claro que, a longo prazo, a MBTA essencialmente se lançou no pé. Os documentos, na forma de um PDF chamado "Anatomia de um Corte de Metrô" (PDF) estão agora em todo lugar, e pessoas que provavelmente nunca teriam ouvido falar do hack agora sabem cada detalhe sobre isso. O que não está claro é por que o juiz envolvido não selou os documentos relacionados, o que os impediria de ir a público.

O Veredicto Final

Sem dúvida, este é um caso complicado. Certamente, os alunos não são funcionários da MBTA e não têm obrigação de compartilhar qualquer coisa que encontraram. Ao mesmo tempo, apresentar essas informações publicamente sem permitir que a MBTA responda de forma clara poderia ter causado danos relacionados a negócios.

O melhor cenário possível pode ter sido seguir o exemplo do analista de segurança Dan Kaminsky, o cara que encontrou falha enorme DNS afetando toda a Internet em julho. Kaminsky encontrou o problema seis meses antes. Ele trabalhou duro para mantê-lo sob sigilo até que os líderes do setor pudessem encontrar uma solução sólida. Mesmo depois de anunciar inicialmente a descoberta e a solução, Kaminsky pediu aos hackers que guardassem qualquer coisa que encontrassem por mais um mês, então os ISPs em todo o mundo teriam tempo suficiente para consertar o buraco e proteger seus sistemas.

Em última análise, ninguém na instância do MIT está indo muito mal. Os alunos ganharam uma fama de curta duração e, com sorte, a MBTA ganhou algumas dicas sobre um problema sério e como isso pode ser resolvido. E mesmo se a equipe do MIT não receber nenhum agradecimento por seus pensamentos, obteve uma recompensa: um A para a tarefa.