ŠUtnja podzemnih hakera, ušutkan nema više

U konačnoj ironičnoj vijesti, borba grada da zaustavi objavljivanje hakerskog sustava podzemne željeznice rezultirala je informacijom koja se emitira svijetu.

Massachusetts Bay Transportation Authority je u petak podnio savezni prigovor kako bi održao skupinu Studenti MIT-a razgovarali su o prazninama koje su našli u sustavu vozarina za bostonsku podzemnu željeznicu, nazvanu "T." Studenti su bili spremni prezentirati svoje nalaze na DEFCON 16 godišnjoj stranici hakera u nedjelju u Las Vegasu. Sudac je, međutim, izdao privremenu zabrana zaustavljanja, prisiljavajući ih da poništavaju razgovor i šute.

Ovo je problem: prigovor MBTA-e uključio je punu kopiju prezentacije studenata. Budući da je to sada dio javnog zapisa, taj je dokument pronašao svoj put na Internet - i, potencijalno, na ekrane milijuna.

Studenti se žale na odluku suda, prema MIT-ovoj The Tech studentska novina - koja je objavila pune sudske dokumente zajedno s cijelom prezentacijom na svojim internetskim stranicama.

Scholastic Discovery

Informacije su zapravo dio rada koju su studenti napisali za MIT klasu. Navodi nekoliko problema s CharlieCard sustavom koji se koristi za cijene - naime, da ne koristi središnju bazu podataka za praćenje vrijednosti kartica i bez sigurnih digitalnih potpisa kako bi se ljudi mijenjali vrijednosti karata. S pravom opremom - stvari koje možete pronaći u roku od nekoliko minuta online - studenti kažu da svatko može promijeniti karticu od 50 centa na $ 500.

"CharlieTicket je ranjiv na kloniranje i krivotvorenje napada", studenti pisati.

Pravni govor

Tako je i MBTA imala pravo zadržati tim da raspravlja o svom nalazu? Vjerojatno - barem u očima zakona. Ako organizacija može razumno pokazati da bi objavljivanje informacija prouzročilo štetu, to je tehnički jasno.

Jedan od učenika MIT-a rekao je da su njegovi kolege iz razreda dali MBTA unaprijed obavijest o njihovim nalazima - ali njegov intervju s Boston Herald sugerira da se to dogodilo samo nekoliko dana prije zakazane prezentacije DEFCON. To ostavlja prostoru MBTA da tvrdi da nije imao dovoljno vremena da poduzme preventivne akcije.

Naravno, MBTA je dugoročno u biti pucao u stopalo. Dokumenti, u obliku PDF-a pod nazivom "Anatomija podzemne hokeja" (PDF), sada su posvuda, a ljudi koji vjerojatno nikada nisu čuli za hack sada znaju svaki posljednji detalj o tome. Ono što nije jasno je zašto suci koji su sudjelovali nisu zapečatili povezane dokumente koji bi ih zadržali od javnog poziva.

Konačna presuda

Bez sumnje, ovo je jedan lukav slučaj. Dakako, studenti nisu zaposlenici MBTA-e i nisu obvezni podijeliti sve što su pronašli. Istodobno, javno predstavljanje tih podataka, a da MBTA nije prvo odgovorio, mogao je jasno prouzročiti štetu povezanu s poslovanjem.

Najbolji scenarij možda je bio slijediti trag sigurnosnog analitičara Dan Kaminsky, čovjeka koji je pronašao masivni DNS propust koji utječu na cijeli Internet u srpnju. Kaminsky je došao preko problema šest mjeseci ranije. Naporno je radio kako bi se zadržao ispod papira sve dok čelnici industrije ne bi mogli pronaći čvrstu otopinu. Čak i nakon što je prvo objavio otkriće i rješenje, Kaminsky se priziva hakerima da zadrže sve što su pronašli sami za još mjesec dana, tako da ISP-ovi diljem svijeta mogu imati dovoljno vremena da zakrpe rupu i zaštite svoje sustave.

U konačnici, nitko u MIT-ovom slučaju je previše loš. Studenti su stekli neku kratkotrajnu slavu, i nadamo se da je MBTA stekao uvid u ozbiljan problem i kako se to može riješiti. Čak i ako MIT tim ne postane zahvalan za svoje misli, dobio je jednu nagradu: A za zadatak.