韩国对平壤被控组织黑客攻击暂表沉默
马萨诸塞湾运输管理局星期五提交了一份联邦申诉,要求一组麻省理工学院的学生们正在讨论他们在波士顿地铁票价系统中发现的漏洞,称为“T”。学生们将在星期天在拉斯维加斯举行的DEFCON 16年度黑客大会上展示他们的发现。然而,法官发布了一项临时限制令,强迫他们取消谈话并保持安静。
问题出在这里:MBTA的投诉包括了学生演讲的完整副本。因为它现在成为公共记录的一部分,所以这份文件已经在互联网上找到了方法 - 可能还有数百万的屏幕。
根据MIT的 The Tech 学生报 - 在其网站上发布完整的法庭文件以及整个演示文稿。
Scholastic Discovery
这些信息实际上是学生为麻省理工学院课程写的论文的一部分。它详述了用于票价的CharlieCard系统的几个问题 - 即它不使用中央数据库来跟踪卡的价值,也没有安全的数字签名来防止人们改变卡的价值。有了正确的设备 - 你可以在几分钟内在网上找到的东西 - 学生说任何人都可以将50美分的卡换成500美元的卡。
“CharlieTicket容易受到克隆和伪造攻击,”学生写。
法律讲话
MBTA是否有权让团队讨论其发现?可能 - 至少在法律的眼中。如果组织能够合理地表明发布信息会造成伤害,那么技术上就是明确的。
其中一名麻省理工学院的学生确实表示,他和他的同学们已经向MBTA提前通知了他们的调查结果 - 但他采访了 波士顿先驱报 表明,在预定的DEFCON演讲前几天发生了这种情况。这使得MBTA会议室争辩说它没有足够的时间来采取预防措施。
当然,从长远来看,MBTA本质上是在自己的脚下开枪。这些文档以PDF格式形成,名为“地铁黑客解剖”(PDF)现在已遍布全球,而那些可能从未听说过黑客攻击的人现在知道了关于它的每一个细节。不清楚的是,为什么涉案法官没有盖上相关文件,而这些文件不会公开。
最终裁决
毫无疑问,这是一个棘手的案例。当然,这些学生不是MBTA的雇员,也没有义务分享他们发现的任何东西。与此同时,公开提供这些信息而不让MBTA第一次作出回应可能会明显造成与业务相关的损失。
最好的情况可能是跟随安全分析师Dan Kaminsky的领导,后者是发现7月份影响整个互联网的大量DNS漏洞。 Kaminsky实际上在六个月前已经遇到了这个问题。他努力工作以保密,直到行业领导者找到可靠的解决方案。即使在最初宣布发现和解决方案后,Kaminsky也恳求黑客保留他们自己发现的任何东西一个月,因此全球的ISP可以有充足的时间修补漏洞并保护他们的系统。
但最终,没有人在麻省理工学院的情况下,情况太糟糕了。学生们获得了一些短暂的名气,希望MBTA能够对一个严重的问题以及如何修复这个问题有所了解。即使麻省理工学院的团队对它的想法没有任何感谢,它也得到了一个奖励:一个A作为任务。