Управление транспорта залива Массачусетс против Андерсона

Действия по блокированию публикации уязвимости

Massachusetts Bay Transportation Authority против Anderson, et al. , гражданский иск № 08-11364, был иском, поданным Massachusetts Bay Transportation Authority (MBTA) с целью помешать трем студентам Массачусетского технологического института (MIT) публично представить уязвимость безопасности, которую они обнаружили в автоматизированной системе сбора платы за проезд CharlieCard MBTA. Дело касается того, в какой степени раскрытие уязвимости компьютерной безопасности является формой свободы слова, защищенной Первой поправкой к Конституции Соединенных Штатов .

MBTA заявила, что студенты MIT нарушили Закон о компьютерном мошенничестве и злоупотреблении (CFAA), и 9 августа 2008 года вынесла временный запретительный судебный приказ (TRO) против студентов, чтобы помешать им предоставить участникам конференции DEFCON информацию , которая потенциально могла быть использована для обмана MBTA с оплатой проезда. Студенты MIT утверждали, что представление их исследований на рассмотрение и одобрение государственного органа до публикации является неконституционным предварительным запретом .

Дело привлекло значительное внимание общественности и прессы, когда судебный запрет непреднамеренно стал жертвой эффекта Стрейзанд , что привело к увеличению распространения конфиденциальной информации о презентации студентов, поскольку слайды были распространены среди организаторов конференции за несколько недель до вынесения судебного запрета, а также непреднамеренно размещены на общедоступном веб-сайте окружного суда в качестве доказательств к первоначальной жалобе MBTA.

19 августа судья отклонил ходатайство MBTA о продлении запретительного судебного приказа, и срок действия запретительного судебного приказа также истек, тем самым предоставив студентам право обсудить и представить свои выводы. ^[2]

Фон

^{В декабре 2007 года Карстен Ноль [3]} и Генрик Плотц опубликовали отдельные предостережения относительно слабого шифрования и других уязвимостей конкретной схемы безопасности, реализованной в чипе MIFARE компании NXP и системе бесконтактных электронных карт . ^{[4] [5]} В марте 2008 года статьи об уязвимостях появились в газетах и ​​компьютерных отраслевых журналах. ^{[6] [7]} Сопоставимый независимый криптоанализ , сосредоточенный на чипе MIFARE Classic, был проведен в Университете Радбауда в Неймегене . 7 марта ученым удалось восстановить криптографический ключ с RFID- карты без использования дорогостоящего оборудования. ^[8] Что касается ответственного раскрытия информации, Университет Радбауда в Неймегене опубликовал статью ^[9] шесть месяцев спустя. NXP попыталась остановить публикацию второй статьи с помощью предварительного судебного запрета. В Нидерландах судья 18 июля постановил, что публикация этой научной статьи подпадает под принцип свободы выражения мнений и что в демократическом обществе очень важно, чтобы результаты научных исследований могли быть опубликованы. ^[10]

В мае 2008 года студенты Массачусетского технологического института Зак Андерсон, ^{[11] [12]} Рассел Дж. Райан, ^[13] Алессандро Кьеза, ^[14] и Сэмюэл Г. МакВити представили итоговую работу в классе профессора Рона Ривеста 6.857 : Безопасность компьютеров и сетей , демонстрирующую слабые стороны автоматизированной системы сбора платы за проезд MBTA. В отчете были выявлены четыре проблемы: стоимость хранится на карте, а не в защищенной базе данных, данные на карте могут быть легко прочитаны и перезаписаны, нет алгоритма криптографической подписи для предотвращения подделок, и нет централизованной системы проверки карты. ^[15] Андерсон, Райан и Кьеза представили презентацию под названием «Анатомия взлома метро: взлом криптографических RFID-меток и магнитных полос билетных систем» на хакерской конференции DEF CON , в которой, как утверждалось, рассматривался и демонстрировался способ обратного проектирования данных на карте с магнитной полосой , несколько атак для взлома карты Charlie на основе MIFARE и атаки методом подбора с использованием ПЛИС . ^[16]

До подачи жалобы в августе 2008 года Брюс Шнайер писал по этому поводу, что «Публикация этой атаки может дорого обойтись NXP и ее клиентам, но она полезна для безопасности в целом. Компании будут разрабатывать безопасность только на том уровне, на котором их клиенты знают, что их просят». ^[17]

Судебные разбирательства

8 августа 2008 года MBTA подала иск с требованием выдать временный запретительный судебный приказ, чтобы не допустить студентов к представлению или иному обсуждению своих выводов до тех пор, пока у поставщиков не будет достаточно времени для исправления дефектов, а также для требования денежной компенсации. Ходатайство было удовлетворено 9 августа судьей Дугласом П. Вудлоком ^[18], и хотя студенты явились в назначенное время, они не выступали и не присутствовали на съезде. ^{[19] [20]} Однако запрет не только привлек больше внимания прессы к делу, но и конфиденциальная информация в презентации студентов стала еще более широко распространенной впоследствии (благодаря так называемому эффекту Стрейзанд ), поскольку она была распространена среди организаторов конференции за несколько недель до запрета, а также непреднамеренно размещена на общедоступном веб-сайте окружного суда в качестве доказательств к первоначальной жалобе MBTA. ^{[21] [22]}

MBTA наняла Holland & Knight в качестве своего представителя и утверждала, что в соответствии с нормой ответственного раскрытия информации студенты не предоставили достаточно информации или времени до презентации, чтобы MBTA исправила ошибку, и далее утверждала, что студенты передали программы, чтобы нанести ущерб (или попытались передать и повредить) компьютерам MBTA на сумму, превышающую 5000 долларов США в соответствии с Законом о компьютерном мошенничестве и злоупотреблении . Кроме того, утверждалось, что этот ущерб представлял угрозу общественному здоровью и безопасности, и MBTA понесет непоправимый ущерб, если студентам будет разрешено присутствовать; что студенты переделали и проникли на собственность MBTA; что студенты незаконно наживались на своей деятельности; и что сам MIT проявил халатность в надзоре за студентами и уведомлении MBTA. ^[23]

Студенты Массачусетского технологического института наняли Electronic Frontier Foundation и Fish & Richardson в качестве своих представителей и заявили, что термин «передача» в CFAA не может быть широко истолкован как любая форма коммуникации, а запретительный судебный приказ является предварительным запретом , нарушающим их право на защищенную свободу слова в отношении академических исследований, гарантированное Первой поправкой . ^{[24] [25]} Письмо, опубликованное 11 августа 11 видными учеными-компьютерщиками, поддержало утверждения ответчиков и заявило, что прецедент запретительного судебного приказа «подавит исследовательские усилия и ослабит программы академических компьютерных исследований. В свою очередь, мы опасаемся, что тень двусмысленности закона снизит нашу способность вносить вклад в промышленные исследования в области технологий безопасности, лежащих в основе нашей информационной инфраструктуры». ^[26]

19 августа судья отклонил ходатайство MBTA о продлении запретительного судебного приказа, и срок действия запретительного судебного приказа также истек, тем самым предоставив студентам право обсудить и представить свои выводы. ^[2]

Смотрите также

• Безопасность через неизвестность

Ссылки

1. "Судьи судов Соединенных Штатов - Биография судьи Джорджа А. О'Тула-младшего". Федеральный судебный центр. Архивировано из оригинала 21 сентября 2008 года . Получено 15 августа 2008 года .
2. Malone, Scott (19 августа 2008 г.). «Судья поддерживает хакеров в споре о Бостонском метро». Reuters . Получено 19 августа 2008 г.
3. "Веб-страница Карстена Ноля". Университет Вирджинии. Архивировано из оригинала 4 февраля 2020 г. Получено 15 августа 2008 г.
4. Плётц, Генрик; Мериак, Милош (август 2007 г.). «Практические атаки RFID». Берлин, Германия: Chaos Communication Camp. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
5. Куртуа, Николас Т.; Ноль, Карстен; О'Нил, Шон (14 апреля 2008 г.). «Алгебраические атаки на потоковый шифр Crypto-1 в картах MiFare Classic и Oyster». Архив препринтов IACR . Получено 15 августа 2008 г. {{cite journal}}: Цитировать журнал требует |journal=( помощь )
6. «Группа демонстрирует уязвимость в самой популярной в мире смарт-карте». UVA Today. 26 февраля 2008 г. Архивировано из оригинала 5 августа 2012 г. Получено 15 августа 2008 г.
7. Даял, Гита (19 марта 2008 г.). «Как они это взломали: объяснение взлома MiFare RFID: взгляд на исследование, лежащее в основе взлома чипа». Computerworld . Получено 15 августа 2008 г.
8. "Ученые из Университета Радбауд в Неймегене взломали защиту карт MIFARE Classic" (PDF) . Архивировано из оригинала (PDF) 18 марта 2021 г. . Получено 29 апреля 2009 г. .
9. Гарсия, Флавио Д.; Герхард де Конинг Ганс; Рубен Мюйрерс; Питер ван Россум, Рул Вердулт; Ронни Вихерс Шройр; Барт Джейкобс (4 октября 2008 г.). «Демонтаж MIFARE Classic» (PDF) . 13-й Европейский симпозиум по исследованиям в области компьютерной безопасности (ESORICS 2008), LNCS, Springer. Архивировано из оригинала (PDF) 23 февраля 2021 г. . Получено 19 июля 2020 г. .
10. Arnhem Court Judge Services (18 июля 2008 г.). «Произношение, основное требование (голландский)». Rechtbank Arnhem. Архивировано из оригинала 15 февраля 2012 г. Получено 29 апреля 2009 г.
11. Домашняя страница Зака ​​Андерсона в Массачусетском технологическом институте
12. Персональная домашняя страница Зака ​​Андерсона
13. Домашняя страница Рассела Дж. Райана
14. Страница Алессандро Кьезы в Массачусетском технологическом институте
15. Бакстер, Кристофер (12 августа 2008 г.). «Отчет студентов MIT дает рекомендации по безопасности для T». Boston Globe . Получено 15 августа 2008 г.
16. "Динамики для DEFCON 16". DEFCON Communications . Получено 16 августа 2008 г.
17. Шнайер, Брюс (7 августа 2008 г.). «Взлом транспортных карт Mifare». Информационный бюллетень Schneier on Security.
18. "Судьи судов Соединенных Штатов - Биография судьи Дугласа Вудлока". Федеральный судебный центр . Архивировано из оригинала 16 сентября 2008 года . Получено 15 августа 2008 года .
19. МакКаллах, Деклан (9 августа 2008 г.). «Судья приказал остановить выступление на Defcon по поводу взлома карт метро». CNET News . Получено 15 августа 2008 г.
20. Lundin, Leigh (17 августа 2008 г.). «Опасные идеи». MBTA v DefCon 16. Уголовное дело . Получено 7 октября 2010 г.
21. Хойснер, Ки Мэй (12 августа 2008 г.). «Запрет на замалчивание действий студентов-хакеров Массачусетского технологического института дал обратный эффект». ABC News . Получено 15 августа 2008 г.
22. Стикс, Гэри (14 августа 2008 г.). «Хакеры MIT нервируют чиновников Массачусетса на Defcon». Scientific American: 60-секундный научный блог. Архивировано из оригинала 11 сентября 2012 г. Получено 15 августа 2008 г.
23. Жалоба, стр. 12–16.
24. Ответ, стр. 9–17.
25. МакКаллах, Деклан (13 августа 2008 г.). «Транспортное агентство хочет, чтобы студенты Массачусетского технологического института оставались с кляпом во рту». CNET News . Получено 15 августа 2008 г. ^{[ мертвая ссылка ]}
26. Письмо профессоров компьютерных наук и ученых-компьютерщиков, стр. 7.

Дальнейшее чтение

• Гринберг, Энди (10 августа 2023 г.). «Подростки взломали карты метро Бостона, чтобы получить бесконечные бесплатные поездки — и на этот раз никого не засудили». Wired . Получено 10 августа 2023 г.
• McGraw-Herdeg, Michael; Vogt, Marissa (25 августа 2008 г.). «MBTA подала в суд на трех студентов, чтобы остановить выступления об уязвимостях метро». The Tech . MIT. Архивировано из оригинала 18 сентября 2008 г.

Внешние ссылки

Судебные документы

• Жалоба : MBTA против Андерсона и др.
• Временный запретительный судебный приказ : запретительный судебный приказ от 9 августа
• Ответ : Ответ студентов Массачусетского технологического института и ходатайство об изменении
• Экспонат : Письмо от профессоров компьютерных наук и ученых-компьютерщиков

Другие ссылки

• Домашняя страница дела Electronic Frontier Foundation
• Обсуждение в сети Legal Talk