지하철 해커 침묵, 더 이상 침묵하지 않음

MIT 학생들은 보스턴 지하철의 요금 체계에서 발견 한 허점을 "T"라고 불렀습니다. 학생들은 일요일 라스 베이거스에서 열린 DEFCON 연례 해커 컨퍼런스에서 학생들의 연구 결과를 발표 할 예정이었다. 판사가 일시적으로 금지 명령을 내렸지 만, 대화를 취소하고 조용히 유지해야합니다.

문제는 다음과 같습니다. MBTA의 불만 사항에는 학생 프리젠 테이션 사본이 포함되어 있습니다. MIT의

The Tech

에 따르면 학생들은 법원의 판결에 항소하고 있으며, 학생 신문 - 웹 사이트에 전체 프리젠 테이션과 함께 전체 법원 문서를 게시했습니다. 스콜라 스틱 디스커버리 (Scholastic Discovery)

실제로이 정보는 학생들이 MIT 수업을 위해 작성한 논문의 일부입니다. CharlieCard 시스템은 운임에 사용되는 몇 가지 문제점을 상세하게 설명합니다. 즉, 카드의 가치를 추적하기위한 중앙 데이터베이스를 사용하지 않고 사람들이 카드의 가치를 바꾸지 못하게하는 안전한 전자 서명을 사용하지 않습니다. 학생들이 50 센트짜리 카드를 500 달러짜리 카드로 바꿀 수 있다고 말하면서 온라인으로 몇분 만에 찾을 수있는 적절한 장비가 있습니다. "CharlieTicket은 복제 및 위조 공격에 취약합니다."학생들은

Legal Speak

MBTA는 팀이 그 발견을 논의하지 못하도록 할 권리가 있습니까? 아마도 - 적어도 법의 관점에서는. 조직이 정보 유출이 해를 입혔다는 것을 합리적으로 나타낼 수 있다면 기술적으로 명확합니다.

MIT 학생들 중 한 명이 자신과 그의 반 친구들이 MBTA에 사전 조사 결과를 통보했다고 말했지만,

Boston Herald

는 예정된 DEFCON 프리젠 테이션을하기 불과 며칠 전에 일어난 일이라고 제안합니다. 그로 인해 예방 조치를 취할 시간이 충분하지 않다고 MBTA 방이 떠납니다. 물론 MBTA는 장기적으로 볼 때 본질적으로 발을 맞았습니다. "지하철 해킹의 해부학 (Anatomy of a Subway Hack, PDF)"이라는 PDF 형식의 문서가 이제 모든 곳에서 사용되고 있으며 해킹에 대해 들어 본 적이없는 사람들은 이제 모든 세부 정보를 알 수 있습니다. 명확하지 않은 점은 관련 문서를 봉인하지 않아 관련 판사가 공개되지 않는 이유입니다. 최종 평결

의심의 여지가 있지만 이는 까다로운 사례입니다. 확실히, 학생들은 MBTA의 직원이 아니며 그들이 발견 한 것을 공유 할 의무가 없습니다. 동시에 MBTA가 처음 대응할 때 공개적으로 정보를 발표하면 비즈니스 관련 피해가 분명하게 발생할 수 있습니다.

가장 좋은 시나리오는 보안 분석가 인 Dan Kaminsky가 7 월에 전체 인터넷에 영향을 미치는 대규모 DNS 결함. 카민스키는 실제로이 문제를 6 개월 전부터 보았습니다. 그는 업계 지도자들이 견고한 해결책을 찾을 때까지 계속 감싸고있었습니다. 처음 발견과 해결책을 발표 한 후에도 카민스키는 해커들에게 한 달 더 찾은 것을 보관 해달라고 간청 했으므로 전 세계 ISP는 구멍을 뚫고 시스템을 보호 할 충분한 시간을 가질 수있었습니다.

궁극적으로 아무도 MIT 인스턴스에서 너무 심하게 나 빠지고 있습니다. 학생들은 단명적인 명성을 얻었으며 MBTA는 심각한 문제에 대한 통찰력을 얻었고 어떻게 해결 될 수 있기를 희망합니다. 그리고 비록 MIT 팀이 생각에 대해 감사를 표하지 않을지라도, 그것은 하나의 보상, 즉 과제를위한 A를 얻었습니다.