Peretasan Peretasan Subway, Tidak Ada Peredam Lagi

Dalam berita ironi akhir, perjuangan kota untuk menghentikan publikasi peretasan sistem kereta bawah tanah telah menghasilkan informasi yang disiarkan ke dunia.

Otoritas Transportasi Teluk Massachusetts mengajukan keluhan federal Jumat untuk menjaga kelompok Mahasiswa MIT dari mendiskusikan celah yang mereka temukan dalam sistem tarif untuk kereta bawah tanah Boston, yang disebut "T." Para siswa ditetapkan untuk mempresentasikan temuan mereka pada konferensi peretas tahunan DEFCON 16 di Las Vegas, Minggu. Seorang hakim mengeluarkan perintah penahanan sementara, meskipun, memaksa mereka untuk membatalkan pembicaraan dan tetap diam.

Inilah masalahnya: Keluhan MBTA termasuk salinan lengkap dari presentasi siswa. Karena itu sekarang menjadi bagian dari catatan publik, dokumen itu telah menemukan jalannya ke Internet - dan, berpotensi, ke layar jutaan.

Para siswa mengajukan banding atas putusan pengadilan, menurut MIT The Tech koran mahasiswa - yang memposting dokumen pengadilan lengkap bersama dengan seluruh presentasi di situs Web-nya.

Penemuan Skolastik

Informasi ini sebenarnya bagian dari makalah yang ditulis siswa untuk kelas MIT. Ini merinci beberapa masalah dengan sistem CharlieCard yang digunakan untuk tarif - yaitu bahwa ia tidak menggunakan basis data pusat untuk melacak nilai kartu dan tidak ada tanda tangan digital yang aman untuk mencegah orang mengubah nilai kartu. Dengan peralatan yang tepat - hal-hal yang dapat Anda temukan dalam beberapa menit online - para siswa mengatakan siapa pun dapat mengubah kartu 50 sen menjadi $ 500 satu.

"CharlieTicket rentan terhadap serangan kloning dan pemalsuan," para siswa tulis.

Legal Speak

Jadi, apakah MBTA memiliki hak untuk mencegah tim mendiskusikan temuannya? Mungkin - setidaknya di mata hukum. Jika organisasi dapat menunjukkan bahwa melepaskan informasi akan menyebabkan kerugian, secara teknis jelas.

Salah satu siswa MIT mengatakan dia dan teman-teman sekelasnya memberikan pemberitahuan terlebih dahulu MBTA tentang temuan mereka - tetapi wawancaranya dengan Boston Herald menunjukkan bahwa terjadi hanya beberapa hari sebelum presentasi DEFCON yang dijadwalkan. Itu membuat ruang MBTA berpendapat bahwa tidak ada cukup waktu untuk mengambil tindakan pencegahan.

Tentu saja, dalam jangka panjang, MBTA pada dasarnya menembak dirinya sendiri di kaki. Dokumen-dokumen itu, dalam bentuk PDF yang disebut "Anatomy of a Subway Hack" (PDF) sekarang ada di mana-mana, dan orang-orang yang mungkin tidak pernah mendengar tentang peretasan itu sekarang tahu setiap detail terakhir tentangnya. Yang tidak jelas adalah mengapa hakim yang terlibat tidak menyegel dokumen terkait, yang akan membuat mereka tidak bisa go public.

Putusan Akhir

Tidak diragukan, ini adalah satu kasus yang rumit. Tentu saja, para siswa bukanlah karyawan MBTA dan tidak berkewajiban untuk membagikan apa pun yang mereka temukan. Pada saat yang sama, menyajikan informasi itu secara terbuka tanpa membiarkan MBTA pertama merespon dapat dengan jelas menyebabkan kerusakan terkait bisnis.

Skenario terbaik mungkin adalah mengikuti jejak analis keamanan Dan Kaminsky, orang yang menemukan cacat DNS besar yang mempengaruhi seluruh Internet pada bulan Juli. Kaminsky benar-benar menemukan masalahnya enam bulan sebelumnya. Dia bekerja keras untuk tetap tertutup sampai para pemimpin industri bisa menemukan solusi yang solid. Bahkan setelah awalnya mengumumkan penemuan dan solusi, Kaminsky memohon dengan peretas untuk menyimpan apa pun yang mereka temukan untuk diri mereka sendiri selama satu bulan lagi, sehingga ISP di seluruh dunia dapat memiliki banyak waktu untuk menambal lubang dan melindungi sistem mereka.

dalam contoh MIT terlalu buruk. Para siswa telah mendapatkan ketenaran singkat, dan semoga MBTA telah mendapatkan beberapa wawasan tentang masalah serius dan bagaimana hal itu dapat diperbaiki. Dan bahkan jika tim MIT tidak mendapatkan ucapan terima kasih untuk pikirannya, itu memang mendapatkan satu hadiah: nilai A untuk tugas itu.