Dziura w metrze ujawniona

W Sieci pojawiła się prezentacja na temat podatności na ataki systemu informatycznego metra w Massachusetts, przygotowana przez studentów słynnej uczelni MIT. Co ciekawe, dokument pojawił się w Internecie głównie dlatego, że... władze Massachusetts rozpaczliwie walczyły o zablokowanie jego publikacji.

Prezentacja zatytułowana "Anatomy of a Subway Hack" (Anatomia hakowania metra) pierwotnie miała zostać opublikowana na konferencji DEFCON - gdy jednak pozycja taka znalazła się w programie imprezy, natychmiast zareagowali przedstawiciele Wydziału Transportu Massachusetts (The Massachusetts Bay Transportation Authority - MBTA). Urzędnicy złożyło w piątek oficjalny protest i zażądali usunięcia prezentacji z programu. Okazało się bowiem, że autorzy "Anatomy of a Subway Hack" znaleźli poważną lukę w systemie informatycznym metra, której ujawnienie może - zdaniem władz Massachusetts - wywołać poważne problemy.

Sąd wstępnie zgodził się z tym argumentem - sędzia wydał tymczasowy zakaz publikowania jakichkolwiek informacji na temat owego problemu. Dlatego też autorzy raportu - studenci Massachusetts Institute of Technology (MIT) - musieli wycofać z programu DEFCON swoją prezentację.

Tu jednak pojawił się pewien problem - wniosek złożony do sądu przez MBTA zawierał również... kopię owej prezentacji (w postaci załącznika). Jako, że dokumenty takie są w USA z zasady udostępniane publicznie, wniosek - wraz z prezentacją - znalazł się więc na... stronie sądu. Urzędnicy MBTA przez swoją nieuwagę doprowadzili więc do opublikowania dokumentu, o którego zatajenie tak się starali.

Badania studentów dotyczyły głownie elektronicznych kart przejazdowych - autorzy raportu wykazali, że karty te są wyjątkowo kiepsko zabezpieczone przed nielegalnymi działaniami. Okazało się, że oszczędność władz stanu - polegająca na tym, że nie stworzono centralnej bazy danych kart przejazdowych - pozwala m.in. na łatwe kopiowanie kart lub modyfikowanie zapisanych w nich informacji. Możliwe jest np. kupienie karty za 50 centów i łatwe - aczkolwiek nielegalne - doładowanie jej do wartości 500 USD. W swojej prezentacji studenci nie podawali żadnych szczegółowych informacji na temat przebiegu takich operacji - przedstawiciele MBTA uznali jednak, że danych takich nie można ujawnić. Stąd wniosek do sądu.

Urzędnicy z Massachusetts Bay Transportation Authority tłumaczą, że studenci postąpili nierozsądnie, ponieważ o swoich odkryciach poinformowali odpowiednie władze zaledwie kilka dni przed ich planowanym upublicznieniem. A to oznacza, że MBTA nie miało odpowiednio dużo czasu na wprowadzenie niezbędnych modyfikacji do systemu kart przejazdowych.

Specjaliści ds. bezpieczeństwa zgadzają się co do tego, że studenci nieco pospieszyli się z prezentowaniem efektów swoich badań. Zdaniem ekspertów, znacznie lepiej byłoby, gdyby MBTA zostało powiadomiony o problemie na tyle wcześnie, by do czasu ogłoszenia na DEFCON szczegółowych informacji o problemie wszelkie luki z systemu kart zostały usunięte.


Zobacz również