Kā (ne) novērst trūkumu

Centieni cenzēt trīs MIT studentus, kuri atklāja drošības trūkumus Bostonas metro maksājumu sistēmā, ir stingri kritizēti no ekspertu puses, kuri apgalvo, ka šādu pētījumu apturēšana galu galā varētu padarīt sistēmu neaizsargātāku.





Šajā nedēļas nogalē studentiem tika piemērots pagaidu ierobežojums Defcon drošības konferencē Lasvegasā, neļaujot viņiem sniegt plānoto runu par Bostonas metro maksājumu sistēmu.

Saskaņā ar pirms konferences iesniegtajiem slaidiem, kas ir publicēti arī tiešsaistē, viņu prezentācija Subway Hack anatomija būtu atklājusi veidus, kā viltot vai kopēt gan vecās magnētiskās joslas caurlaides, gan jaunākās radiofrekvences identifikācijas (RFID) kartes, kas izmantotas Bostonas metro, kas ļauj ceļot bez maksas. Aizturēšanas rīkojums tika iesniegts vārdā Masačūsetsas līča transporta pārvalde (MBTA), kas sistēmas uzstādīšanai iztērēja vairāk nekā 180 miljonus dolāru, liecina tiesas dokumenti. MBTA ir iesniegusi arī lielāku tiesas prāvu, apsūdzot studentus Datoru krāpšanas un ļaunprātīgas izmantošanas likuma pārkāpšanā un apsūdzot AR nolaidība to uzraudzībā.

Viens no iesaistītajiem studentiem Zeks Andersons saka, ka viņa komanda nekad nebija plānojusi dot priekšrocības īstiem uzbrucējiem. Mēs savā darbā atstājām dažas detaļas, jo nevēlējāmies, lai kāds varētu uzbrukt biļešu pārdošanas sistēmai; mēs negribējām, lai cilvēki varētu apiet sistēmu un saņemt bezmaksas cenas, viņš saka.



Mārsija Hofmane, digitālo tiesību grupas Electronic Frontier Foundation personāla advokāte, kas palīdz MIT komandai tās aizstāvībā, apgalvo, ka pētnieki ir jāaizsargā, jo viņi izmeklē šāda veida trūkumus. Viņa saka, ka ir ārkārtīgi reti gadījumi, kad tiesa kādam aizliedz runāt, pirms šai personai pat nav bijusi iespēja runāt. Mēs domājam, ka tas rada briesmīgu precedentu, kas ir ļoti bīstams drošības pētījumiem.

MBTA saka, ka tā nemēģina apturēt pētniecību, vienkārši iegādājieties laiku, lai novērstu jebkādus trūkumus, kurus studenti varētu būt atraduši. Aģentūra arī pauda skepsi par to, vai MIT studenti patiešām ir atraduši reālus trūkumus. Viņi stāsta par brīnišķīgu stāstu par plaši izplatītām drošības problēmām, taču viņi joprojām nav snieguši MBTA ticamu informāciju, kas pamatotu šādu apgalvojumu, saka Džo Pesaturo, MBTA pārstāvis. Tas ir tik vienkārši.

Tomēr nav skaidrs, vai MBTA var reāli nopirkt vajadzīgo laiku. Karstens Nols , Virdžīnijas Universitātes doktorantūras students, kurš bija viens no pirmajiem, kurš publicēja informāciju par drošības ievainojamībām Bostonas sistēmā izmantotās bezvadu viedkartes zīmola MiFare Classic drošības ievainojamībā, saka, ka problēmu atrisināšana varētu aizņemt gadu vai divus, un tas varētu pat ietvert visu karšu lasītāji un visas apgrozībā esošās kartes.

Šī nav pirmā tiesas prāva, kas skar pētniekus, kuri pētījuši MiFare Classic drošību. Pagājušajā mēnesī Nīderlandes uzņēmums NXP pusvadītāji , kas ražo MiFare kartes, iesūdzēja tiesā Nīderlandes universitāti, cenšoties neļaut pētniekiem publicēt informāciju par līdzīgiem drošības trūkumiem. Rīkojums neizdevās, taču, tā kā RFID tehnoloģija turpina izplatīties, citi drošības eksperti ir nobažījušies par iespēju atklāti apspriest attiecīgos drošības pētījumus.

Brūss Šneiers , galvenais drošības tehnoloģiju speciālists plkst BT Counterpane , teikts, ka jaunākā tiesas prāva tikai novērš uzmanību no tā, kas patiesībā ir uz spēles. Viņš saka, ka MiFare pārdeva sliktu produktu klientiem, kuri nezināja, kā lūgt labāku produktu. Tas nekad netiks novērsts, kamēr MiFare zemā drošība tiks turēta noslēpumā. Viņš piebilst, ka mēs publicējam ievainojamības tāpēc, ka nav citu veidu, kā uzlabot drošību.

Tāda paša zīmola RFID kartes tiek izmantotas transporta tīklos citās pilsētās, tostarp Londonā, Losandželosā, Brisbenā un Šanhajā, kā arī korporatīvās un valdības identitātes caurlaidēm. Šī tehnoloģija ir pat iekļauta dažās kredītkartēs un mobilajos tālruņos.

Nohls saka, ka nozarei MIT studentu darbs būtu jāuzskata par bezmaksas pakalpojumu, kas galu galā varētu nodrošināt labāku drošību. Lai gan ir veikts daudz akadēmisko pētījumu par RFID drošību, viņš saka, ka produktos vēl maz ir nonākts. Problēmas pamatā joprojām ir nozares pārliecība, ka viņiem pašiem jāveido drošība un ka tas, ko viņi ir izveidojuši paši, būs spēcīgāki, ja viņi to paturēs noslēpumā, saka Nols.

Tikmēr neatkarīgi pētnieki nākuši klajā ar vairākām idejām RFID karšu drošības uzlabošanai. Nohl un citi pēta labākus veidus, kā šifrēt kartēs saglabāto informāciju. Taču daļa no problēmas ir tā, ka kartes ir pasīvas, kas nozīmē, ka tās atgriezīs signālu jebkuram lasītājam, kas nosūta pieprasījumu. Tadajoši Kohno un kolēģi Vašingtonas Universitātē arī strādā pie kustības sensoru sistēmas, kas ļautu lietotājiem aktivizēt savas kartes ar īpašu žestu, lai tā parasti nereaģētu uz pieprasījumiem. Kārlis Košers, viens no pētniekiem, kas strādāja pie projekta, saka, ka viņu sistēmas mērķis ir palielināt drošību, neiznīcinot ērtības, kas padarījušas kartes tik populāras.

paslēpties