Tech události

V posledních ironických zprávách vedl městský boj o zastavení publikování systému havárie v metru, který vedl k tomu, že informace byly vysílány světu.

Massachusetts Bay Transportation Authority podala federální stížnost pátek, aby udržel skupinu Studenti MIT diskutovali o mezerě, kterou našli v rámci systému jízdného pro metro Boston, nazvaný "T." Studenti měli představit své poznatky na výroční hackerské konferenci DEFCON 16 v neděli v Las Vegas. Soudce však vydal dočasnou zadržovací příkaz, a přinutil je, aby zrušili rozhovor a mlčeli.

Zde je problém: Stížnost MBTA obsahovala úplnou kopii prezentace studentů. Jelikož je to nyní součástí veřejných záznamů, tento dokument našel cestu na internetu - a potenciálně na obrazovkách milionů.

Studenti apelují na rozhodnutí soudu, podle MIT The Tech studentské noviny - které zveřejnily plné soudní dokumenty spolu s celou prezentací na svých webových stránkách.

Scholastic Discovery

Informace jsou vlastně součástí příspěvku, který studenti napsali pro třídu MIT. Podrobně popisuje několik problémů se systémem CharlieCard používaným pro jízdné - a to, že nepoužívá žádnou centrální databázi pro sledování hodnot karty a žádné bezpečné digitální podpisy, které by lidem zabránilo v změně hodnoty karet. Se správným vybavením - věci, které byste mohli najít během několika minut on-line - studenti říkají, že by někdo mohl změnit kartu s 50 centy na 500 dolarů.

"CharlieTicket je zranitelná jak klonováním, tak i paděláním útoků" psát.

Právní mluvení

Také má MBTA právo nechat tým, aby diskutoval o svém nálezu? Pravděpodobně - alespoň v očích zákona. Pokud organizace může rozumně ukázat, že uvolnění informací by mohlo způsobit škody, je to technicky jasné.

Jeden z studentů MIT řekl, že on a jeho spolužáci dali MBTA předem oznámení o svých zjištěních - ale jeho rozhovor s Boston Herald naznačuje, že se to stalo jen pár dní před plánovanou prezentací DEFCON. To zanechává místnost MBTA, která tvrdí, že neměla dostatek času na to, aby mohla podniknout preventivní opatření.

Samozřejmě, v dlouhodobém horizontu, MBTA se v podstatě natáhla do nohy. Dokumenty ve formátu PDF s názvem "Anatomie metra Hack" (PDF) jsou nyní všude a lidé, kteří pravděpodobně nikdy neslyšeli o hackeři, nyní znávají každý poslední detail. To, co není jasné, je důvod, proč zúčastněný soudce neuzavřel související dokumenty, které by je znemožnily veřejnému zveřejnění.

Závěrečný rozsudek

Je to pochybný případ. Jistě, studenti nejsou zaměstnanci MBTA a nejsou povinni sdílet nic, co našli. Současně, zveřejnění těchto informací veřejně, aniž byste MBTA poprvé reagovali, by to mohlo zjevně způsobit škody způsobené podnikání.

Nejlepším scénářem by mohlo být sledování vedení bezpečnostního analytika Dana Kaminského, který našel masivní DNS chyba ovlivňující celý internet v červenci. Kaminsky skutečně narazil na celý problém před šesti měsíci. Snažil se udržet si to, dokud vedoucí představitelé průmyslu nenajdou pevné řešení. Dokonce i poté, co začal objevovat objev a řešení, Kaminsky prosil s hackery, aby si udrželi všechno, co si našli pro sebe ještě jeden měsíc, takže poskytovatelé internetových služeb po celém světě by mohli mít dostatek času na zaplombování díry a na ochranu svých systémů.

Nakonec však nikdo v instanci MIT je příliš špatně. Studenti získali krátkou trvanlivost a doufejme, že MBTA získala nějaký pohled na vážný problém a jak může být opravena. A i kdyby tým MIT nezískal vděčnost za své myšlenky, dostal jednu odměnu: A pro úkol.