Silenced Subway Hackers, Silenced No More

I den ultimata ironi-nyheten har en stads kamp för att stoppa publiceringen av ett tunnelbanahack resulterat i att informationen sänds till världen.

Massachusetts Bay Transportation Authority lämnade ett federalt klagomål fredag ​​för att hålla en grupp MIT studenter från att diskutera ett smutthål de hittade inom biljettpriset för Boston tunnelbanan, kallade "T." Eleverna skulle presentera sina resultat vid DEFCON 16 årliga hackers konferens i Las Vegas söndag. En domare utfärdade en tillfällig begränsningsorder, men tvingar dem att avbryta samtalet och hålla tyst.

Här är problemet: MBTA: s klagomål innehöll en fullständig kopia av elevernas presentation. Att det nu är en del av det offentliga dokumentet, har det här dokumentet hittat på Internet - och eventuellt på skärmarna på miljontals.

Eleverna appellerar domstolens beslut enligt MITs The Tech student tidning - som skickade in fullrättsliga dokument tillsammans med hela presentationen på sin webbplats.

Scholastic Discovery

Informationen är faktiskt en del av ett papper som eleverna skrev för en MIT-klass. Det beskriver flera problem med CharlieCard-systemet som används för biljettpriser, nämligen att det inte använder någon central databas för att spåra kortens värden och inga säkra digitala signaturer för att hålla människor från att ändra korten. Med rätt utrustning - saker du kunde hitta inom några minuter online - studenterna säger att alla kan byta ett 50 cent kort till en $ 500.

"CharlieTicket är sårbart för både kloning och förfalskning," studenterna skriv.

Legal Speak

Så har MBTA rätt att hålla laget från att diskutera sin sökning? Förmodligen - åtminstone i lagens ögon. Om organisationen med rimlighet kan visa att frisläppandet av informationen skulle ha orsakat skada är det tekniskt klart.

En av MIT-studenterna sa att han och hans klasskamrater gav MBTA-förhandsmeddelandet om sina resultat - men hans intervju med Boston Herald föreslår att det hände några dagar före den planerade DEFCON-presentationen. Det gör det möjligt för MBTA-rummet att argumentera för att det inte hade tillräckligt med tid att ta förebyggande åtgärder.

Självklart sköt MBTA i själva verket sig själv i foten. Dokumenten, i form av en PDF kallad "Anatomy of a Subway Hack" (PDF) finns nu överallt, och människor som förmodligen inte någonsin hört talas om hacket vet nu alla detaljer om det. Det som inte är klart är varför domaren inte förseglade de relaterade dokumenten, vilket skulle ha hindrat dem från att gå offentligt.

Den slutgiltiga domen

Det här är ingen tvivel. Visst är studenterna inte anställda i MBTA och är inte skyldiga att dela med sig av vad de hittat. Samtidigt presenterade den informationen offentligt utan att låta MBTA först reagera ha klart orsakat företagsrelaterade skador.

Det bästa fallet kunde ha varit att följa ledningen av säkerhetsanalytiker Dan Kaminsky, killen som hittade massiv DNS-fel som påverkar hela Internet i juli. Kaminsky kom faktiskt över problemet en hel sex månader tidigare. Han arbetade hårt för att hålla det under omslag tills industrins ledare kunde hitta en solid lösning. Till och med efter att ha tillkännagivit upptäckten och lösningen, bad Kaminsky hackare att behålla någonting de befann sig i en månad, så Internetleverantörer över hela världen kunde ha gott om tid att patchera hålet och skydda sina system.

Men ingen i MIT-fallet är det farligt. Studenterna har fått kortvarig berömmelse, och förhoppningsvis har MBTA fått insikt i ett allvarligt problem och hur det kan lösas. Och även om MIT-teamet inte får något tack för sina tankar fick det en belöning: ett A för uppdraget.