终身免费坐地铁黑客成功破解地铁售票系统

2009/1/20 来源:www.arpun.com 作者:小白

终身免费坐地铁黑客成功破解地铁售票系统终身免费坐地铁黑客成功破解地铁售票系统以下是回顾8月10的新闻内容:

  CNET科技资讯网8月12日国际报道 美国联邦法官日前下令, 禁止3名麻省理工学院(MIT)学生在Defcon黑客大会上, 示范如何骇入波士顿地铁系统使用的智能票卡。

  代表这3名学生的电子前线基金会(EFF)资深律师Kurt Opsahl表示, 这个结果在意料之中。

  MIT学生Alessandro Chiesa、 R.J. Ryan与 Zack Anderson, 以及EFF基金会律师Kurt Opsahl 在Defcon会场上举行记者会。

  这3名学生原订在拉斯维加斯的Defcon黑客会议上, 示范“完全破解CharlieCard的几次攻击”。 这种无线射频识别(RFID)卡是波士顿地铁T线目前使用的票卡, 学生们还计划发布他们制作的骇卡软件。

  美国联邦地方法官Douglas Woodlock下令, 这些学生不得提供“得以协助他人以任何实质方法回避, 或以其他方式攻击该系统安全的程序、资讯、软件代码或指令。 ”

  EFF律师Kurt

  Opsahl表示, 这项暂时禁止令“侵害了他们的言论自由权”, 另一位EFF律师则说, 法院预先下令阻止安全研究员是“空前的”作法。 这3名学

  生, Alessandro Chiesa、R.J. Ryan和Zack

  Anderson, 仍在律师的陪同下出席Defcon, 但无法回答问题。 Defcon主办单位暗示, 可能会举办另一个相关主题的发表会。

  学生表示, 他们主动与麻州主管当局的接触并不愉快, 因为对方一开始就提到联邦调查局(FBI)已对他们展开犯罪调查。 EFF律师Opsahl说, 学

  生只想“发表一场有趣和有用的演说, 不会导致民众诈骗麻州政府”。 但当局认为, “揭露这项资讯将明显危及公众运输系统”, 并且“对公众健康或安全构成威胁

  ”。

  已经散发给Defcon现场参与听众的简报CD内容。

  但法院的禁止令可能无济于事, 因为登记参加Defcon的会众, 早在法院裁决的两天前就拿到一片包含这次示范详细内容的光碟。

  一名不愿具名的Defcon代表说, 学生至少在一个月前就提供他们的Powerpoint简报内容给大会。 当中提到, 这些内容相当违法, 因此仅供教育使用。 此外, 相关内容的拷贝似乎已成为对外公开的呈堂证据, 代表未来若要进一步限制其传播, 可能面临额外的阻碍。

  公开的法庭文件中, 还包括一份标示为“机密”的研究报告, 说明如何复制和假造波士顿的地铁卡。 文件中还提到, 地铁的主管单位管理松散、毫无门禁可言, 缺乏实际的安全防护。

  这并非Defcon会议第一次遭受法院禁令的干扰。 2005年, 思科(Cisco Systems)就在安全研究员Michael

  Lynn公开如何攻击思科路由器的数小时后, 向法院提告。 此案最后和解。 4年前, 俄罗斯密码专家Dmitri

  Sklyarov甚至在拉斯维加斯的饭店内被FBI逮捕, 只因他前一日在Defcon发表了一场有关电子书安全软件弱点的演说。

  普林斯顿大学电脑科学教授Ed Felten和他的写作伙伴, 因计划在匹兹堡一场安全会议中发表演说, 被唱片业威胁控告。 荷兰的一群大学研究员也因为研究麻州政府使用之Mifare Classic卡的加密漏洞而被诉, 但当地法院上月判决, 被告有权公布这项资讯。

  去年与其他人合作破解Mifare Classic密码规则的维吉尼亚大学学生Karsten

  Nohl表示, 麻州当局不该控告主动与他们讨论这些问题的研究员。 他说:“磁条卡可以轻易被窜改, 早在多年前就广为人知。 麻州当局不该依赖隐瞒其资料格式

  为一种安全防卫手段。 他们清楚地表明, 他们无意与研究员合作找出和解决安全弱点, 但提告将促使更多人研究波士顿大众运输系统的安全防护。 ”

  MIT的学生报已登出一份取自Defcon光碟的内容, 和这次争议的相关报道。

“你希望获得终身免费乘坐地铁的生活吗?

  非接触式IC卡标准射频识别( RFID )技术被广泛使用在世界各地的许多运输系统中。 波士顿地铁公司平日的平均载客量为140万它也是全美第五大运输系统。 早些时候, 非接触式IC卡的生产商, 恩智浦, 还要求过法院发布命令, 禁止研究人员传播如何破解这一技术。

  去年八月, 三名麻省理工学院(MIT)学生研究地铁票证安全漏洞成功, 学生们在研究报告中描述了各种技术, 可以用来自由进入波士顿的地铁系统内。 就如打开无人值守大门一样方便。 他们利用某种技术连接到自动售票系统解锁网络, 他们还描述了用克隆技术和反向工程的来制作假的MBTA的CharlieTicket磁卡车票和CharlieCard智能卡。

  这三名学生原本计划在8月10日在拉斯维加斯举行的Defcon骇客大会上发表研究结果, 但随后被波士顿海湾交通局(Massachusetts Bay Transit Authority, MBTA)告上法院。 法官在会议举行前一日应MBTA之请发给禁制令, 迫使学生取消简报会。

  如今, 这三名MIT学生正与波士顿海湾交通局合作改善自动收费系统。

  MBTA总管理者Daniel Grabauskas在电子边境基金会(EFF)网站上刊出的书面声明中说:「这对MBTA与MIT学生而言, 都是很好的机会。 在我们持续为顾客研究如何改良票证系统的同时, 我们感谢MIT学生所展现的合作精神。 」EFF律师在这桩桉件中为这三名学生辩护。

  声明中引述其中一名学生Zack Anderson的说法:「我们的目标向来一致, 就是让地铁系统尽可能地安全无忧。 我很高兴能与MBTA合作, 对波士顿居民有所帮助, 我们对能够为民众福祉贡献一己之力引以为傲。 」

  这三名学生之前预定作的简报标题是〈解构地铁骇客攻击:破解票证系统的RFID加密与磁条〉(The Anatomy of a Subway Hack:Breaking Crypto RFIDs and Magstripes of Ticketing Systems)。 他们打算描述几种破解CharlieCard卡(波士顿地铁采用的RFID卡)的攻击手法。

 

网友评论
评论(...
全部评论