注册
登录
| 关键词: 波士顿 学生 地铁 Defcon 三名 系统 安全 法院 拉斯维加斯 律师 |
“你希望获得终身免费乘坐地铁的生活吗? 非接触式IC卡标准射频识别( RFID )技术被广泛使用在世界各地的许多运输系统中。波士顿地铁公司平日的平均载客量为140万它也是全美第五大运输系统。早些时候,非接触式IC卡的生产商,恩智浦,还要求过法院发布命令,禁止研究人员传播如何破解这一技术。 去年八月,三名麻省理工学院(MIT)学生研究地铁票证安全漏洞成功,学生们在研究报告中描述了各种技术,可以用来自由进入波士顿的地铁系统内。就如打开无人值守大门一样方便。他们利用某种技术连接到自动售票系统解锁网络,他们还描述了用克隆技术和反向工程的来制作假的MBTA的CharlieTicket磁卡车票和CharlieCard智能卡。 这三名学生原本计划在8月10日在拉斯维加斯举行的Defcon骇客大会上发表研究结果,但随后被波士顿海湾交通局(Massachusetts Bay Transit Authority,MBTA)告上法院。法官在会议举行前一日应MBTA之请发给禁制令,迫使学生取消简报会。 如今,这三名MIT学生正与波士顿海湾交通局合作改善自动收费系统。 MBTA总管理者Daniel Grabauskas在电子边境基金会(EFF)网站上刊出的书面声明中说:「这对MBTA与MIT学生而言,都是很好的机会。在我们持续为顾客研究如何改良票证系统的同时,我们感谢MIT学生所展现的合作精神。」EFF律师在这桩桉件中为这三名学生辩护。 声明中引述其中一名学生Zack Anderson的说法:「我们的目标向来一致,就是让地铁系统尽可能地安全无忧。我很高兴能与MBTA合作,对波士顿居民有所帮助,我们对能够为民众福祉贡献一己之力引以为傲。」 这三名学生之前预定作的简报标题是〈解构地铁骇客攻击:破解票证系统的RFID加密与磁条〉(The Anatomy of a Subway Hack:Breaking Crypto RFIDs and Magstripes of Ticketing Systems)。他们打算描述几种破解CharlieCard卡(波士顿地铁采用的RFID卡)的攻击手法。 以下是回顾8月10的新闻内容: CNET科技资讯网8月12日国际报道 美国联邦法官日前下令,禁止3名麻省理工学院(MIT)学生在Defcon黑客大会上,示范如何骇入波士顿地铁系统使用的智能票卡。 代表这3名学生的电子前线基金会(EFF)资深律师Kurt Opsahl表示,这个结果在意料之中。 MIT学生Alessandro Chiesa、 R.J. Ryan与 Zack Anderson,以及EFF基金会律师Kurt Opsahl 在Defcon会场上举行记者会。 这3名学生原订在拉斯维加斯的Defcon黑客会议上,示范“完全破解CharlieCard的几次攻击”。这种无线射频识别(RFID)卡是波士顿地铁T线目前使用的票卡,学生们还计划发布他们制作的骇卡软件。 美国联邦地方法官Douglas Woodlock下令,这些学生不得提供“得以协助他人以任何实质方法回避,或以其他方式攻击该系统安全的程序、资讯、软件代码或指令。” EFF律师Kurt Opsahl表示,这项暂时禁止令“侵害了他们的言论自由权”,另一位EFF律师则说,法院预先下令阻止安全研究员是“空前的”作法。这3名学 生,Alessandro Chiesa、R.J. Ryan和Zack Anderson,仍在律师的陪同下出席Defcon,但无法回答问题。Defcon主办单位暗示,可能会举办另一个相关主题的发表会。 学生表示,他们主动与麻州主管当局的接触并不愉快,因为对方一开始就提到联邦调查局(FBI)已对他们展开犯罪调查。EFF律师Opsahl说,学 生只想“发表一场有趣和有用的演说,不会导致民众诈骗麻州政府”。但当局认为,“揭露这项资讯将明显危及公众运输系统”,并且“对公众健康或安全构成威胁 ”。 已经散发给Defcon现场参与听众的简报CD内容。 但法院的禁止令可能无济于事,因为登记参加Defcon的会众,早在法院裁决的两天前就拿到一片包含这次示范详细内容的光碟。 一名不愿具名的Defcon代表说,学生至少在一个月前就提供他们的Powerpoint简报内容给大会。当中提到,这些内容相当违法,因此仅供教育使用。此外,相关内容的拷贝似乎已成为对外公开的呈堂证据,代表未来若要进一步限制其传播,可能面临额外的阻碍。 公开的法庭文件中,还包括一份标示为“机密”的研究报告,说明如何复制和假造波士顿的地铁卡。文件中还提到,地铁的主管单位管理松散、毫无门禁可言,缺乏实际的安全防护。 这并非Defcon会议第一次遭受法院禁令的干扰。2005年,思科(Cisco Systems)就在安全研究员Michael Lynn公开如何攻击思科路由器的数小时后,向法院提告。此案最后和解。4年前,俄罗斯密码专家Dmitri Sklyarov甚至在拉斯维加斯的饭店内被FBI逮捕,只因他前一日在Defcon发表了一场有关电子书安全软件弱点的演说。 普林斯顿大学电脑科学教授Ed Felten和他的写作伙伴,因计划在匹兹堡一场安全会议中发表演说,被唱片业威胁控告。荷兰的一群大学研究员也因为研究麻州政府使用之Mifare Classic卡的加密漏洞而被诉,但当地法院上月判决,被告有权公布这项资讯。 去年与其他人合作破解Mifare Classic密码规则的维吉尼亚大学学生Karsten Nohl表示,麻州当局不该控告主动与他们讨论这些问题的研究员。他说:“磁条卡可以轻易被窜改,早在多年前就广为人知。麻州当局不该依赖隐瞒其资料格式 为一种安全防卫手段。他们清楚地表明,他们无意与研究员合作找出和解决安全弱点,但提告将促使更多人研究波士顿大众运输系统的安全防护。” MIT的学生报已登出一份取自Defcon光碟的内容,和这次争议的相关报道。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
