stringtranslate.com

Управление транспорта залива Массачусетс против Андерсона

Massachusetts Bay Transportation Authority против Anderson, et al. , гражданский иск № 08-11364, был иском, поданным Massachusetts Bay Transportation Authority (MBTA) с целью помешать трем студентам Массачусетского технологического института (MIT) публично представить уязвимость безопасности, которую они обнаружили в автоматизированной системе сбора платы за проезд CharlieCard MBTA. Дело касается того, в какой степени раскрытие уязвимости компьютерной безопасности является формой свободы слова, защищенной Первой поправкой к Конституции Соединенных Штатов .

MBTA заявила, что студенты MIT нарушили Закон о компьютерном мошенничестве и злоупотреблении (CFAA), и 9 августа 2008 года вынесла временный запретительный судебный приказ (TRO) против студентов, чтобы помешать им предоставить участникам конференции DEFCON информацию , которая потенциально могла быть использована для обмана MBTA с оплатой проезда. Студенты MIT утверждали, что представление их исследований на рассмотрение и одобрение государственного органа до публикации является неконституционным предварительным запретом .

Дело привлекло значительное внимание общественности и прессы, когда судебный запрет непреднамеренно стал жертвой эффекта Стрейзанд , что привело к увеличению распространения конфиденциальной информации о презентации студентов, поскольку слайды были распространены среди организаторов конференции за несколько недель до вынесения судебного запрета, а также непреднамеренно размещены на общедоступном веб-сайте окружного суда в качестве доказательств к первоначальной жалобе MBTA.

19 августа судья отклонил ходатайство MBTA о продлении запретительного судебного приказа, и срок действия запретительного судебного приказа также истек, тем самым предоставив студентам право обсудить и представить свои выводы. [2]

Фон

В декабре 2007 года Карстен Ноль [3] и Генрик Плотц опубликовали отдельные предостережения относительно слабого шифрования и других уязвимостей конкретной схемы безопасности, реализованной в чипе MIFARE компании NXP и системе бесконтактных электронных карт . [4] [5] В марте 2008 года статьи об уязвимостях появились в газетах и ​​компьютерных отраслевых журналах. [6] [7] Сопоставимый независимый криптоанализ , сосредоточенный на чипе MIFARE Classic, был проведен в Университете Радбауда в Неймегене . 7 марта ученым удалось восстановить криптографический ключ с RFID- карты без использования дорогостоящего оборудования. [8] Что касается ответственного раскрытия информации, Университет Радбауда в Неймегене опубликовал статью [9] шесть месяцев спустя. NXP попыталась остановить публикацию второй статьи с помощью предварительного судебного запрета. В Нидерландах судья 18 июля постановил, что публикация этой научной статьи подпадает под принцип свободы выражения мнений и что в демократическом обществе очень важно, чтобы результаты научных исследований могли быть опубликованы. [10]

В мае 2008 года студенты Массачусетского технологического института Зак Андерсон, [11] [12] Рассел Дж. Райан, [13] Алессандро Кьеза, [14] и Сэмюэл Г. МакВити представили итоговую работу в классе профессора Рона Ривеста 6.857 : Безопасность компьютеров и сетей , демонстрирующую слабые стороны автоматизированной системы сбора платы за проезд MBTA. В отчете были выявлены четыре проблемы: стоимость хранится на карте, а не в защищенной базе данных, данные на карте могут быть легко прочитаны и перезаписаны, нет алгоритма криптографической подписи для предотвращения подделок, и нет централизованной системы проверки карты. [15] Андерсон, Райан и Кьеза представили презентацию под названием «Анатомия взлома метро: взлом криптографических RFID-меток и магнитных полос билетных систем» на хакерской конференции DEF CON , в которой, как утверждалось, рассматривался и демонстрировался способ обратного проектирования данных на карте с магнитной полосой , несколько атак для взлома карты Charlie на основе MIFARE и атаки методом подбора с использованием ПЛИС . [16]

До подачи жалобы в августе 2008 года Брюс Шнайер писал по этому поводу, что «Публикация этой атаки может дорого обойтись NXP и ее клиентам, но она полезна для безопасности в целом. Компании будут разрабатывать безопасность только на том уровне, на котором их клиенты знают, что их просят». [17]

Судебные разбирательства

8 августа 2008 года MBTA подала иск с требованием выдать временный запретительный судебный приказ, чтобы не допустить студентов к представлению или иному обсуждению своих выводов до тех пор, пока у поставщиков не будет достаточно времени для исправления дефектов, а также для требования денежной компенсации. Ходатайство было удовлетворено 9 августа судьей Дугласом П. Вудлоком [18], и хотя студенты явились в назначенное время, они не выступали и не присутствовали на съезде. [19] [20] Однако запрет не только привлек больше внимания прессы к делу, но и конфиденциальная информация в презентации студентов стала еще более широко распространенной впоследствии (благодаря так называемому эффекту Стрейзанд ), поскольку она была распространена среди организаторов конференции за несколько недель до запрета, а также непреднамеренно размещена на общедоступном веб-сайте окружного суда в качестве доказательств к первоначальной жалобе MBTA. [21] [22]

MBTA наняла Holland & Knight в качестве своего представителя и утверждала, что в соответствии с нормой ответственного раскрытия информации студенты не предоставили достаточно информации или времени до презентации, чтобы MBTA исправила ошибку, и далее утверждала, что студенты передали программы, чтобы нанести ущерб (или попытались передать и повредить) компьютерам MBTA на сумму, превышающую 5000 долларов США в соответствии с Законом о компьютерном мошенничестве и злоупотреблении . Кроме того, утверждалось, что этот ущерб представлял угрозу общественному здоровью и безопасности, и MBTA понесет непоправимый ущерб, если студентам будет разрешено присутствовать; что студенты переделали и проникли на собственность MBTA; что студенты незаконно наживались на своей деятельности; и что сам MIT проявил халатность в надзоре за студентами и уведомлении MBTA. [23]

Студенты Массачусетского технологического института наняли Electronic Frontier Foundation и Fish & Richardson в качестве своих представителей и заявили, что термин «передача» в CFAA не может быть широко истолкован как любая форма коммуникации, а запретительный судебный приказ является предварительным запретом , нарушающим их право на защищенную свободу слова в отношении академических исследований, гарантированное Первой поправкой . [24] [25] Письмо, опубликованное 11 августа 11 видными учеными-компьютерщиками, поддержало утверждения ответчиков и заявило, что прецедент запретительного судебного приказа «подавит исследовательские усилия и ослабит программы академических компьютерных исследований. В свою очередь, мы опасаемся, что тень двусмысленности закона снизит нашу способность вносить вклад в промышленные исследования в области технологий безопасности, лежащих в основе нашей информационной инфраструктуры». [26]

19 августа судья отклонил ходатайство MBTA о продлении запретительного судебного приказа, и срок действия запретительного судебного приказа также истек, тем самым предоставив студентам право обсудить и представить свои выводы. [2]

Смотрите также

Ссылки

  1. ^ "Судьи судов Соединенных Штатов - Биография судьи Джорджа А. О'Тула-младшего". Федеральный судебный центр. Архивировано из оригинала 21 сентября 2008 года . Получено 15 августа 2008 года .
  2. ^ ab Malone, Scott (19 августа 2008 г.). «Судья поддерживает хакеров в споре о Бостонском метро». Reuters . Получено 19 августа 2008 г.
  3. ^ "Веб-страница Карстена Ноля". Университет Вирджинии. Архивировано из оригинала 4 февраля 2020 г. Получено 15 августа 2008 г.
  4. ^ Плётц, Генрик; Мериак, Милош (август 2007 г.). «Практические атаки RFID». Берлин, Германия: Chaos Communication Camp. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  5. ^ Куртуа, Николас Т.; Ноль, Карстен; О'Нил, Шон (14 апреля 2008 г.). «Алгебраические атаки на потоковый шифр Crypto-1 в картах MiFare Classic и Oyster». Архив препринтов IACR . Получено 15 августа 2008 г. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
  6. ^ «Группа демонстрирует уязвимость в самой популярной в мире смарт-карте». UVA Today. 26 февраля 2008 г. Архивировано из оригинала 5 августа 2012 г. Получено 15 августа 2008 г.
  7. ^ Даял, Гита (19 марта 2008 г.). «Как они это взломали: объяснение взлома MiFare RFID: взгляд на исследование, лежащее в основе взлома чипа». Computerworld . Получено 15 августа 2008 г.
  8. ^ "Ученые из Университета Радбауд в Неймегене взломали защиту карт MIFARE Classic" (PDF) . Архивировано из оригинала (PDF) 18 марта 2021 г. . Получено 29 апреля 2009 г. .
  9. ^ Гарсия, Флавио Д.; Герхард де Конинг Ганс; Рубен Мюйрерс; Питер ван Россум, Рул Вердулт; Ронни Вихерс Шройр; Барт Джейкобс (4 октября 2008 г.). «Демонтаж MIFARE Classic» (PDF) . 13-й Европейский симпозиум по исследованиям в области компьютерной безопасности (ESORICS 2008), LNCS, Springer. Архивировано из оригинала (PDF) 23 февраля 2021 г. . Получено 19 июля 2020 г. .
  10. ^ Arnhem Court Judge Services (18 июля 2008 г.). «Произношение, основное требование (голландский)». Rechtbank Arnhem. Архивировано из оригинала 15 февраля 2012 г. Получено 29 апреля 2009 г.
  11. ^ Домашняя страница Зака ​​Андерсона в Массачусетском технологическом институте
  12. ^ Персональная домашняя страница Зака ​​Андерсона
  13. ^ Домашняя страница Рассела Дж. Райана
  14. ^ Страница Алессандро Кьезы в Массачусетском технологическом институте
  15. Бакстер, Кристофер (12 августа 2008 г.). «Отчет студентов MIT дает рекомендации по безопасности для T». Boston Globe . Получено 15 августа 2008 г.
  16. ^ "Динамики для DEFCON 16". DEFCON Communications . Получено 16 августа 2008 г.
  17. ^ Шнайер, Брюс (7 августа 2008 г.). «Взлом транспортных карт Mifare». Информационный бюллетень Schneier on Security.
  18. ^ "Судьи судов Соединенных Штатов - Биография судьи Дугласа Вудлока". Федеральный судебный центр . Архивировано из оригинала 16 сентября 2008 года . Получено 15 августа 2008 года .
  19. ^ МакКаллах, Деклан (9 августа 2008 г.). «Судья приказал остановить выступление на Defcon по поводу взлома карт метро». CNET News . Получено 15 августа 2008 г.
  20. ^ Lundin, Leigh (17 августа 2008 г.). «Опасные идеи». MBTA v DefCon 16. Уголовное дело . Получено 7 октября 2010 г.
  21. Хойснер, Ки Мэй (12 августа 2008 г.). «Запрет на замалчивание действий студентов-хакеров Массачусетского технологического института дал обратный эффект». ABC News . Получено 15 августа 2008 г.
  22. ^ Стикс, Гэри (14 августа 2008 г.). «Хакеры MIT нервируют чиновников Массачусетса на Defcon». Scientific American: 60-секундный научный блог. Архивировано из оригинала 11 сентября 2012 г. Получено 15 августа 2008 г.
  23. Жалоба, стр. 12–16.
  24. Ответ, стр. 9–17.
  25. ^ МакКаллах, Деклан (13 августа 2008 г.). «Транспортное агентство хочет, чтобы студенты Массачусетского технологического института оставались с кляпом во рту». CNET News . Получено 15 августа 2008 г. [ мертвая ссылка ‍ ]
  26. Письмо профессоров компьютерных наук и ученых-компьютерщиков, стр. 7.

Дальнейшее чтение

Внешние ссылки

Судебные документы

Другие ссылки