2008年8月12日 星期二

法官禁止駭客示範破解地鐵智慧卡

MIT學生Alessandro Chiesa、 R.J. Ryan與 Zack Anderson,以及EFF基金會律師Kurt Opsahl 在Defcon會場上舉行記者會

美國聯邦法官9日下令,禁止3名麻省理工學院(MIT)學生在Defcon駭客大會上,示範如何駭入波士頓地鐵系統使用的智慧票卡。

代表這3名學生的電子前線基金會(EFF)資深律師Kurt Opsahl表示,這個結果在意料之中。

這3名學生原訂10日下午在拉斯維加斯的Defcon駭客會議上,示範「完全破解CharlieCard的幾次攻擊」。這種無線射頻辨識(RFID)卡是波士頓地鐵T線目前使用的票卡,學生們還計畫發佈他們製作的駭卡軟體。

美國聯邦地方法官Douglas Woodlock在9日下令,這些學生不得提供「得以協助他人以任何實質方法迴避,或以其他方式攻擊該系統安全的程式、資訊、軟體碼或指令。」

EFF律師Kurt Opsahl表示,這項暫時禁止令「侵害了他們的言論自由權」,另一位EFF律師則說,法院預先下令阻止安全研究員是「空前的」作法。這3名學生,Alessandro Chiesa、R.J. Ryan和Zack Anderson,仍在律師的陪同下出席Defcon,但無法回答問題。Defcon主辦單位暗示,可能會舉辦另一個相關主題的發表會。

學生表示,他們主動與麻州主管當局的接觸並不愉快,因為對方一開始就提到聯邦調查局(FBI)已對他們展開犯罪調查。EFF律師Opsahl說,學生只想「發表一場有趣和有用的演說,不會導致民眾詐騙麻州政府」。但當局認為,「揭露這項資訊將明顯危及公眾運輸系統」,並且「對公眾健康或安全構成威脅」。

但法院的禁止令可能無濟於事,因為登記參加Defcon的會眾,早在法院裁決的兩天前就拿到一片包含這次示範詳細內容的光碟。

一名不願具名的Defcon代表說,學生至少在一個月前就提供他們的Powerpoint簡報內容給大會。當中提到,這些內容相當違法,因此僅供教育使用。此外,相關內容的拷貝似乎已成為對外公開的呈堂證據,代表未來若要進一步限制其傳播,可能面臨額外的阻礙。

公開的法庭文件中,還包括一份標示為「機密」的研究報告,說明如何複製和假造波士頓的地鐵卡。文件中還提到,地鐵的主管單位管理鬆散、毫無門禁可言,缺乏實際的安全防護。

這並非Defcon會議第一次遭受法院禁令的干擾。2005年,思科公司(Cisco Systems)就在安全研究員Michael Lynn公開如何攻擊思科路由器的數小時後,向法院提告。此案最後和解。4年前,俄羅斯密碼專家Dmitri Sklyarov甚至在拉斯維加斯的飯店內被FBI逮捕,只因他前一日在Defcon發表了一場有關電子書安全軟體弱點的演說。

普林斯頓大學電腦科學教授Ed Felten和他的寫作伙伴,因計畫在匹茲堡一場安全會議中發表演說,被唱片業威脅控告。荷蘭的一群大學研究員也因為研究麻州政府使用之Mifare Classic卡的加密漏洞而被訴,但當地法院上月判決,被告有權公佈這項資訊。

去年與其他人合作破解Mifare Classic密碼規則的維吉尼亞大學學生Karsten Nohl表示,麻州當局不該控告主動與他們討論這些問題的研究員。他說:「磁條卡可以輕易被竄改,早在多年前就廣為人知。麻州當局不該依賴隱瞞其資料格式為一種安全防衛手段。他們清楚地表明,他們無意與研究員合作找出和解決安全弱點,但提告將促使更多人研究波士頓大眾運輸系統的安全防護。」

MIT的學生報已登出一份取自Defcon光碟的內容,和這次爭議的相關報導。(陳智文譯)

資訊來源: http://www.zdnet.com.tw/ 2008/8/11

沒有留言: