EFF till överklagandenämnden stoppar tunnelbanan Hacker Talk

Electronic Frontier Foundation planerar att överklaga en amerikansk tingsrättsbeslut som innebär ett tillfälligt förbud mot Defcon-presentationen som skulle ha detaljerade brister i det elektroniska biljettsystemet för Massachusetts Bay Transportation Authority. domstol slutligen kom till en mycket, mycket fel konklusion ", sade EFF: s senioransvariga advokat Kurt Opsahl under en EFF-diskussion i Defcon några timmar efter domare Douglas Woodlock från US District Court för Massachusetts District, utfärdat en domstolsbeslut som upphörde det planerade samtalet om säkerhetssäkerhetsbristerna i transitsystemet.

Preventive Suit

MBTA inlämnad en rättegång fredag ​​som vill stoppa tre Massachusetts Institute of Technology students fr om att ge talet. Rättegången heter även MIT som svarande. Boston-områdets transportmyndighet hävdade att presentationen skulle leda till "betydande skada på MBTAs transitsystem", enligt en online-postering av rättegången.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

MIT-studenterna Zack Anderson, Russell "RJ" Ryan och Alessandro Chiesa hade planerat att prata om "Anatomi av en tunnelbanahack: Breaking Crypto RFIDs & Magstripes of Ticketing Systems" på Defcon-konferensen söndag. De fick en "A" -grad på projektet i en MIT-klass, sade Opsahl. "Det första meddelandet om att MBTA ansåg att de skulle gå till domstolen var efter att de hade gått till domstolen, sade Opsahl vid EFF-session. Domaren citerade en datorintrångsförfattning vid utfärdandet av ordern, sade han.

"Statutet på sitt ansikte tycks diskutera sändningsprogram eller liknande information till en dator och tycks inte överväga någon som ger en prata med människor, säger Opsahl. "Domstolen var emellertid oenig med den tolkningen."

Domstolsordningen tyder på att en magnetremsa på ett papperskort eller ett smartkort räknas som en dator och EFF håller inte med den tolkningen, säger han. tillfällig begränsningsorder "återspeglar domstolens uppfattning att de tror att Massachusetts Bay Transit Authority var sannolikt att lyckas med meriterna - det tror vi faktiskt inte är fallet, säger Opsahl.

Tidigare publicerad

Några av materialet i elevernas prat om säkerhetsproblem med MBTA: s elektroniska biljettsystem hade tidigare rapporterats i Boston Globe och Boston Herald-tidningarna, sade Opsahl. "Domstolar har funnit att det första ändringsförslaget täcker dessa saker", sade Opsahl. "Vi tror att det här är en skyddad talaktivitet. När du diskuterar säkerhetsfrågor, om du säger sanningen, det är något som borde skyddas."

Även om eleverna hindras av domstolsbeslut från att tillhandahålla information som skulle ha hjälpte andra att kringgå pratstunden, deras presentationsglas hade redan inkluderats i en konferens-cd som gavs till Defcon-deltagarna. MBTA själv sätta några detaljer i den offentliga skivan genom att lämna in en konfidentiell bedömning av sitt säkerhetssystem med domstolen.

I Defcon-presentationsglasen beskriver eleverna en mängd olika tekniker som kan användas för att få gratis tillgång till Boston transiteringssystem, av vilka vissa erkänner är olagliga. De säger att punkten i samtalen är att visa resultaten av ett penetrationstest av MBTA-systemet, men de var tydligt medvetna om att det kunde ha orsakat juridiska problem. En slump läser bara "Vad det här talet inte är: Bevis i domstol (förhoppningsvis)".

Passagen i Defcon-showguiden som beskriver deras samtal börjar, "Vill du ha gratis tunnelbanestationer för livet?" Den linjen togs bort från beskrivningen av pratningen som publicerades på Defcon-webbplatsen.

Eleverna diskuterar fysiska säkerhetsproblem som de hittat med systemet, till exempel olåsta grindar och obevakade övervakningskabiner. De säger att de kunde få tillgång till fiberväxlar som kopplar biljettförsäljningsautomater till det olåsta nätverket, och de beskriver också tekniker för att klona och omvända MBTAs CharlieTicket-magnetband och CharlieCard-smartkort.

I domstolsansökningar säger MBTA att 68 procent av sina ryttare använder CharlieCard, vilket medför cirka US $ 475 000 till transitmyndigheten varje vardag.

Möt med MBTA

En MBTA-leverantör tappade av myndigheten den 30 juli Talet var planerat, domstolsansökan säger. Enligt Opsahl träffades eleverna med MBTA-tjänstemän på måndag och det var deras förståelse efter det mötet att situationen hade blivit löst.

Studenterna var "väldigt mycket överraskad" av kostymen, sade Zack Anderson i en press konferens efter EFF-diskussionen.

"Vi kände oss tack vare verbala kommentarer som vi fick att problemet var löst," sa han. "De bad om att vissa material skulle skickas till dem, som vi kom överens om, och vi fick dem till dem igår."

Eleverna sa att de försökte kontakta MBTA runt den 20 juli genom sin professor Ron Rivest, som undervisar i MIT: s institution för elektroteknik och datavetenskap, men har faktiskt inte anslutit sig till byrån fram till den 30 juli.

Det var en galen vecka för Anderson, som såg häftigt - han sa att det tog honom 18 timmar att resa med flyg till Defcon och han hade inte sovit sedan torsdag.

En MBTA-advokat har inte returnerat meddelanden Lördag söker kommentarer till berättelser om frågan.

CharlieCard bygger på samma Mifare Classic RFID-teknik (radiofrekvensidentifikation) som används av många andra transiteringssystem runt om i världen. Tidigare i år stämde Mifares tillverkare, NXP, för att förhindra att forskare presenterar forskning om hur man kan knäcka denna teknik. En holländsk domstol avvisade NXP: s påståenden förra månaden.

Med en genomsnittlig veckodagsförare på 1,4 miljoner pendlare är MBTA nationens femte största transiteringssystem enligt stämningen.

Rättegångar med Defcon-presentationer har också uppstått i dåtid. Säkerhetsforskare Mike Lynn stämdes 2005 efter att han gav en kontroversiell presentation som avslöjar brister i Ciscos routrar. Som svar svarade EFF i år en drop-in-tjänst som ger Defcon-presentanter gratis juridisk rådgivning om hur man svarar på hot om rättsliga åtgärder.

Även om konferensdeltagare nu spekulerar på att ett annat samtal om MBTA-systemet kan ersätta den inställda prata, sade Anderson att han och hans medforskare säger att de avser att följa domstolsbeslutet. "Vi är inte överens med härskningen, men vi kommer inte att lyda det," sade han.