La información quiere ser libre…
… o al menos lo intenta ;)
Todos los años surge alguna anécdota en la DEFCON, periodistas expulsadas a patadas en un improvisado “spot the press“, ponentes europeos a los que se les deniega el acceso en la frontera, piques personales entre investigadores como el de Ptacek y Rutkowska y, como no, censura y prohibiciones de última hora para evitar que se celebre alguna charla, como lo que ocurrió con el exploit para el IOS de Cisco hace un par de años y lo que ha pasado este año con los estudiantes del MIT.
Para el pasado domingo 10 de agosto estaba prevista la presentación “The Anatomy of a Subway Hack“, resultado de la investigación realizada por tres estudiantes del MIT, Zack Anderson, RJ Ryan y Alessandro Chiesa. sobre los fallos de seguridad presentes en los sistemas del metro de Boston.
Dos días antes, el viernes día 8 de agosto, la MBTA (Massachusetts Bay Transportation Authority) presentaba ante una corte federal la solicitud de prohibición temporal de esta ponencia. El objetivo era evitar que esa información fuese conocida hasta que la MBTA lograse solucionar los fallos que estos tres estudiantes del MIT pretendian exponer, y de los cuales informaron a la MBTA en un análisis que le entregaron el mismo día que se interpuso la demanda. Aunque al parecer el primer contacto fue una semana antes, a través de Ronald L. Rivest, quién actuaba de profesor encargado del proyecto y a la vez de interlocutor entre la MBTA y los estudiantes.
De nuevo nos encontramos con el eterno debate del full disclosure y cuál debe ser el comportamiento responsable de un investigador ante un fallo de seguridad. En primer lugar hay que informar al afectado, darle un margen de actuación para que pueda parchear el sistema y, por último, hacerlo público.
Su investigación se ha centrado en el sistema de tarjetas de transporte usadas en el metro de Boston, tanto en su modalidad de banda magnética (CharlieTicket) como en la basada RFID (CharlieCard). Mediante ingeniería inversa analizaron el contenido del CharlieTicket, usando lectores/grabadores de bandas magnéticas estándar, de los que se pueden adquirir por unos 200 euros para TPV, y mediante herramientas software que desarrollaron para hacer el análisis. El resultado final era la posibilidad de cargar la tarjeta con un crédito de $655 (el máximo permitido por la tarjeta). Por otro lado, el cifrado de la CharlieCard también fue roto, a pesar de que según la MBTA era una versión mejorada de las tarjetas MiFare estándar que fueron totalmente rotas hace algo menos de un año. A parte, también desvelan cómo consiguieron clonar tarjetas de acceso de empleado y como aplicaron ingenieria social para extraer información de empleados.
Desde un punto de vista técnico, merece la pena echar un vistazo a las slides de la presentación. El software que desarrollaron desgraciadamente no ha sido aún liberado, debido a la orden judicial. Sería realmente interesante poderles ver en diciembre en Berlín dando, en el CCC, la charla que tenian previsto dar en la Defcon.
Actualmente los tres estudiantes están siendo representados por la EFF atendiendo a su Coder’s Right Project. Su defensa se basa en que se ha realizado una censura previa que va en contra de la primera enmienda. Por otro lado la MBTA, escudándose en la Computer Fraud and Abuse Act, alega que la información que se pretende dar está claramente orientada a explicar cómo hacer un uso fraudulento del sistema, lo cual repercutiría muy negativamente en ellos. En caso de que la MBTA siga adelante contra los tres estudiantes, es improbable que la EFF pueda seguir respaldándolos ya que no cuentan con abogados que puedan ejercer en Massachusetts.
Comments
Leave a Reply