Hur (inte) man åtgärdar ett fel

Ansträngningar att censurera tre MIT-studenter som hittade säkerhetsbrister i Bostons tunnelbanas betalningssystem har kritiserats kraftigt av experter, som hävdar att ett undertryckande av sådan forskning i slutändan kan göra systemet mer sårbart.





Studenterna delgavs ett tillfälligt besöksförbud i helgen på Defcon säkerhetskonferens i Las Vegas, vilket hindrar dem från att hålla sitt planerade föredrag om Bostons tunnelbanas betalningssystem.

Enligt bilder som lämnats in före konferensen, som också har lagts ut online, skulle deras presentation Anatomy of a Subway Hack ha avslöjat sätt att förfalska eller kopiera både de gamla magnetremspassen och de nyare radiofrekvensidentifieringskorten (RFID) som används på Bostons tunnelbana, vilket gör det möjligt att resa gratis. Besöksförbudet ingavs på uppdrag av Massachusetts Bay Transportation Authority (MBTA), som spenderade mer än 180 miljoner dollar för att installera systemet, enligt domstolsdokument. MBTA har också väckt en större stämningsansökan som anklagar eleverna för att ha brutit mot lagen om datorbedrägeri och missbruk och anklagar MED att ha varit försumlig i sin tillsyn över dem.

En av de inblandade eleverna, Zack Anderson, säger att hans lag aldrig hade tänkt ge riktiga anfallare en fördel. Vi utelämnade några detaljer i arbetet vi gjorde, eftersom vi inte ville att någon skulle kunna attackera biljettsystemet; vi ville inte att folk skulle kunna kringgå systemet och få gratispriser, säger han.



Marcia Hoffman, personaljurist på Electronic Frontier Foundation, en grupp för digitala rättigheter som hjälper MIT-teamet med dess försvar, hävdar att forskare måste skyddas när de undersöker dessa typer av brister. Det är extremt sällsynt att en domstol hindrar någon från att tala innan den personen ens har haft en chans att tala, säger hon. Vi tror att detta skapar ett fruktansvärt prejudikat som är mycket farligt för säkerhetsforskning.

MBTA säger att det inte försöker stoppa forskningen, bara köpa tid för att ta itu med de brister som studenterna kan ha hittat. Byrån uttryckte också skepsis om huruvida MIT-studenterna verkligen hade hittat verkliga brister. De berättar en fantastisk berättelse om utbredda säkerhetsproblem, men de har fortfarande inte försett MBTA med trovärdig information för att stödja ett sådant påstående, säger Joe Pesaturo, talesman för MBTA. Det är så enkelt.

Det är dock oklart om MBTA realistiskt kan köpa den tid den behöver. Karsten Nohl , en doktorand vid University of Virginia som var en av de första att publicera information om säkerhetsbrister i MiFare Classic, märket av trådlösa smartkort som används i Bostons system, säger att det kan ta ett eller två år att lösa problemen och till och med innebära att man byter ut alla kortläsare och alla kort i omlopp.

Detta är inte den första rättegången som drabbar forskare som har studerat säkerheten i MiFare Classic. Förra månaden, holländskt företag NXP Semiconductors , som gör MiFare-korten, stämde ett holländskt universitet i ett försök att hindra forskare där från att publicera detaljer om liknande säkerhetsbrister. Föreläggandet lyckades inte, men eftersom RFID-tekniken fortsätter att spridas är andra säkerhetsexperter oroade över att kunna diskutera relevant säkerhetsforskning öppet.

Bruce Schneier , chefssäkerhetstekniker på BT Motruta , säger att den senaste rättegången bara distraherar från vad som verkligen står på spel. MiFare sålde en usel produkt till kunder som inte visste hur de skulle be om en bättre produkt, säger han. Det kommer aldrig att fixas så länge MiFares skumma säkerhet hålls hemlig. Han tillägger: Anledningen till att vi publicerar sårbarheter är att det inte finns något annat sätt för säkerheten att förbättras.

Samma märke av RFID-kort används på transportnätverk i andra städer, inklusive London, Los Angeles, Brisbane och Shanghai, samt för företags- och regeringsidentitetskort. Tekniken har till och med införlivats i vissa kreditkort och mobiltelefoner.

Nohl säger att branschen borde se MIT-studenternas arbete som en gratistjänst som i slutändan kan leda till bättre säkerhet. Även om det har funnits gott om akademisk forskning om säkerheten för RFID, säger han, har lite ännu hittat in i produkter. Kärnan i problemet är fortfarande industrins övertygelse att de borde bygga säkerhet själva, och att det de har byggt själva kommer att bli starkare om de håller det hemligt, säger Nohl.

Samtidigt har oberoende forskare kommit med ett antal idéer för att förbättra säkerheten för RFID-kort. Nohl och andra forskar om bättre sätt att kryptera informationen som lagras på korten. Men en del av problemet är att korten är passiva, vilket betyder att de kommer att returnera en signal till alla läsare som skickar en förfrågan. Tadayoshi Kohno och kollegor vid University of Washington arbetar också med ett rörelseavkännande system som skulle låta användare aktivera sina kort med en specifik gest, så att det normalt inte svarar på förfrågningar. Karl Koscher, en av forskarna som arbetade med projektet, säger att deras system syftar till att öka säkerheten utan att förstöra bekvämligheten som har gjort korten så populära.

Dölj