Jump to content

Транспортное управление Массачусетского залива против Андерсона

Add links
(Перенаправлено из MBTA против Андерсона )

Транспортное управление Массачусетского залива против Андерсона
Суд Окружной суд США по округу Массачусетс
Полное название дела Транспортное управление Массачусетского залива против Зака ​​Андерсона, Р. Дж. Райана, Алессандро Кьезы и Массачусетского технологического института
Решенный 19 августа 2008 г. ( 19 августа 2008 г. )
История болезни
Предварительные действия судебный запрет вынесен 9 августа 2008 г. ( 9 августа 2008 г. ) Гражданский иск № 08-11364-GAO
Членство в суде
Судья сидит Джордж А. О'Тул-младший. [ 1 ]
Мнения по делу
Судья отклонил просьбу MBTA о продлении судебного запрета
Ключевые слова

Транспортное управление Массачусетского залива против Андерсона и др. Гражданский иск № 08-11364 представлял собой вызов, поданный Транспортным управлением Массачусетского залива (MBTA) с целью помешать трем студентам Массачусетского технологического института (MIT) публично представить уязвимость безопасности, MBTA CharlieCard которую они обнаружили в автоматизированной системе оплаты проезда . Дело касается того, в какой степени раскрытие недостатков компьютерной безопасности является формой свободы слова, защищенной Первой поправкой к Конституции США .

MBTA заявило, что студенты Массачусетского технологического института нарушили Закон о компьютерном мошенничестве и злоупотреблениях (CFAA), и 9 августа 2008 г. им был выдан временный запретительный судебный приказ (TRO) в отношении студентов, чтобы помешать им предоставлять участникам конференции DEFCON информацию , которая потенциально могла бы иметь использовался для мошенничества с MBTA в отношении транзитных тарифов. Студенты Массачусетского технологического института заявили, что представление их исследования на рассмотрение и одобрение правительственного учреждения до публикации является неконституционным предварительным ограничением .

Дело привлекло значительное внимание общественности и прессы, когда судебный запрет непреднамеренно стал жертвой эффекта Стрейзанд , увеличив распространение конфиденциальной информации из презентации студентов, поскольку оба слайда были розданы организаторам конференции за несколько недель до судебного запрета. как непреднамеренно размещено на общедоступном веб-сайте окружного суда в качестве вещественного доказательства первоначальной жалобы MBTA.

19 августа судья отклонил просьбу MBTA о продлении срока действия запретительного ордера, и срок действия TRO также истек, что дало студентам право обсуждать и представлять свои выводы. [ 2 ]

Фон

[ редактировать ]

В декабре 2007 года предупреждения были опубликованы Карстеном Нолом отдельно. [ 3 ] и Хенрик Плотц относительно слабого шифрования и других уязвимостей конкретной схемы безопасности, реализованной в NXP компании MIFARE наборе микросхем и бесконтактных электронных карт . системе [ 4 ] [ 5 ] В марте 2008 года статьи об уязвимостях появились в газетах и ​​компьютерных журналах. [ 6 ] [ 7 ] Сопоставимый независимый криптоанализ , ориентированный на чип MIFARE Classic, был выполнен в Университете Радбауд в Неймегене . 7 марта ученым удалось восстановить криптографический ключ с RFID- карты без использования дорогостоящего оборудования. [ 8 ] Что касается ответственного раскрытия информации, Университет Радбауд в Неймегене опубликовал статью. [ 9 ] шесть месяцев спустя. NXP попыталась остановить публикацию второй статьи посредством предварительного судебного запрета. В Нидерландах судья 18 июля постановил, что публикация этой научной статьи подпадает под принцип свободы выражения мнений и что в демократическом обществе очень важно, чтобы результаты научных исследований могли быть опубликованы. [ 10 ]

В мае 2008 года студенты Массачусетского технологического института Зак Андерсон [ 11 ] [ 12 ] Рассел Дж. Райан, [ 13 ] Алессандро Кьеза, [ 14 ] и Сэмюэл Г. МакВити представили заключительный доклад профессора Рона Ривеста « 6.857: компьютерная и сетевая безопасность », демонстрирующий слабые места в автоматизированной системе оплаты проезда MBTA. В отчете выявлены четыре проблемы: стоимость хранится на карте, а не в защищенной базе данных, данные на карте могут быть легко прочитаны и перезаписаны, отсутствует алгоритм криптографической подписи для предотвращения подделок и нет централизованной системы проверки карт. . [ 15 ] Андерсон, Райан и Кьеза представили презентацию под названием «Анатомия взлома метро: взлом крипто-RFID и магнитных полос систем продажи билетов» на DEF CON хакерском съезде , в котором утверждалось, что они рассматривают и демонстрируют, как реконструировать данные на карте с магнитной полосой , несколько на базе MIFARE атаки с целью взлома карты Чарли , а также атаки методом перебора с использованием FPGA . [ 16 ]

Прежде чем жалоба была подана в августе 2008 года, Брюс Шнайер писал по этому поводу: «Публикация этой атаки может быть дорогостоящей для NXP и ее клиентов, но это хорошо для безопасности в целом. Компании будут разрабатывать безопасность только настолько хорошо, насколько их клиенты знают, о чем просить». для." [ 17 ]

Судебные разбирательства

[ редактировать ]

8 августа 2008 г. MBTA подала иск с требованием выдать временный запретительный судебный приказ, чтобы помешать студентам представлять или иным образом обсуждать свои выводы до тех пор, пока у поставщиков не будет достаточно времени для исправления дефектов и требования денежного возмещения. Ходатайство было удовлетворено 9 августа судьей Дугласом П. Вудлоком. [ 18 ] и хотя студенты появились, как было запланировано, они не выступали и не присутствовали на съезде. [ 19 ] [ 20 ] Однако судебный запрет не только получил большую популярность и внимание прессы к этому делу, но и конфиденциальная информация, содержавшаяся в презентации студентов, впоследствии стала еще более широко распространяться (благодаря так называемому эффекту Стрейзанд ), поскольку она была распространена среди организаторов конференции в за несколько недель до вынесения судебного запрета, а также случайно размещено на общедоступном веб-сайте окружного суда в качестве доказательства первоначальной жалобы MBTA. [ 21 ] [ 22 ]

MBTA наняла компанию Holland & Knight для представления их интересов и заявила, что в соответствии с нормой ответственного раскрытия информации студенты не предоставили достаточно информации или времени перед презентацией, чтобы MBTA могла исправить ошибку, и далее утверждала, что студенты передавали программы, чтобы нанести ущерб (или пытались передать и повредить) компьютеры MBTA на сумму, превышающую 5000 долларов США в соответствии с Законом о компьютерном мошенничестве и злоупотреблениях . Более того, утверждалось, что этот ущерб представляет собой угрозу общественному здоровью и безопасности, и MBTA понесет непоправимый ущерб, если студентам будет разрешено присутствовать; что студенты перешли в другую веру и вторглись на территорию MBTA; что студенты незаконно получали прибыль от своей деятельности; и что сам MIT небрежно контролировал студентов и уведомлял MBTA. [ 23 ]

Студенты MIT наняли Electronic Frontier Foundation и Fish & Richardson представлять их и заявили, что термин «передача» в CFAA не может быть широко истолкован как любая форма общения, а запретительный судебный приказ является предварительным ограничением, нарушающим их согласно Первой поправке право на защиту . свобода слова об академических исследованиях. [ 24 ] [ 25 ] В письме, опубликованном 11 августа 11 видными учеными-компьютерщиками, поддержали утверждения обвиняемых и заявили, что прецедент постановления о неразглашении информации «задушит исследовательские усилия и ослабит академические исследовательские программы в области компьютерных технологий. В свою очередь, мы опасаемся, что тень двусмысленности закона уменьшится». наша способность внести свой вклад в промышленные исследования в области технологий безопасности, лежащих в основе нашей информационной инфраструктуры». [ 26 ]

19 августа судья отклонил просьбу MBTA о продлении срока действия запретительного ордера, и срок действия TRO также истек, что дало студентам право обсуждать и представлять свои выводы. [ 2 ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ «Судьи судов США - биография судьи Джорджа А. О'Тула-младшего» . Федеральный судебный центр. Архивировано из оригинала 21 сентября 2008 года . Проверено 15 августа 2008 г.
  2. ^ Jump up to: а б Мэлоун, Скотт (19 августа 2008 г.). «Судья поддержал хакеров в споре в бостонском метро» . Рейтер . Проверено 19 августа 2008 г.
  3. ^ «Веб-страница Карстена Нола» . Университет Вирджинии. Архивировано из оригинала 4 февраля 2020 года . Проверено 15 августа 2008 г.
  4. ^ Плёц, Хенрик; Мериак, Милош (август 2007 г.). «Практические RFID-атаки» . Берлин, Германия: Коммуникационный лагерь Хаоса. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  5. ^ Куртуа, Николя Т.; Нол, Карстен; О'Нил, Шон (14 апреля 2008 г.). «Алгебраические атаки на потоковый шифр Crypto-1 в картах MiFare Classic и Oyster» . Архив препринтов IACR . Проверено 15 августа 2008 г. {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  6. ^ «Группа демонстрирует дыру в безопасности самой популярной в мире смарт-карты» . УВА сегодня. 26 февраля 2008. Архивировано из оригинала 5 августа 2012 года . Проверено 15 августа 2008 г.
  7. ^ Даял, Гита (19 марта 2008 г.). «Как они это взломали: объяснение взлома RFID MiFare: взгляд на исследования, лежащие в основе компрометации чипа» . Компьютерный мир . Проверено 15 августа 2008 г.
  8. ^ «Ученые из Университета Радбауд в Неймегене взламывают безопасность карт MIFARE Classic» (PDF) . Архивировано из оригинала (PDF) 18 марта 2021 г. Проверено 29 апреля 2009 г.
  9. ^ Гарсия, Флавио Д.; Герхард де Конинг Ганс; Рубен Мюрерс; Питер ван Россум, Рул Вердулт; Ронни Уичерс Шрёр; Барт Джейкобс (4 октября 2008 г.). «Разборка MIFARE Classic» (PDF) . 13-й Европейский симпозиум по исследованиям в области компьютерной безопасности (ESORICS 2008), LNCS, Springer. Архивировано из оригинала (PDF) 23 февраля 2021 года . Проверено 19 июля 2020 г.
  10. ^ Служба судей суда Арнема (18 июля 2008 г.). «Произношение, основное утверждение (голландский)» . Рехтбанк Арнема. Архивировано из оригинала 15 февраля 2012 года . Проверено 29 апреля 2009 г.
  11. ^ Домашняя страница Зака ​​Андерсона в Массачусетском технологическом институте
  12. ^ Личная домашняя страница Зака ​​Андерсона
  13. ^ Домашняя страница Рассела Дж. Райана
  14. ^ Страница Алессандро Кьезы в Массачусетском технологическом институте
  15. ^ Бакстер, Кристофер (12 августа 2008 г.). «Отчет студентов MIT содержит рекомендации по безопасности для T» . Бостон Глобус . Проверено 15 августа 2008 г.
  16. ^ «Динамики для DEFCON 16» . ДЕФКОН Коммуникации . Проверено 16 августа 2008 г.
  17. ^ Шнайер, Брюс (7 августа 2008 г.). «Взлом транспортных карт Mifare» . Шнайер в информационном бюллетене по безопасности.
  18. ^ «Судьи судов США - биография судьи Дугласа Вудлока» . Федеральный судебный центр . Архивировано из оригинала 16 сентября 2008 года . Проверено 15 августа 2008 г.
  19. ^ МакКаллах, Деклан (9 августа 2008 г.). «Судья постановил прекратить выступление Defcon о взломе карточек метро» . Новости CNET . Проверено 15 августа 2008 г.
  20. ^ Лундин, Ли (17 августа 2008 г.). «Опасные идеи» . MBTA против DefCon 16 . Криминальная записка . Проверено 7 октября 2010 г.
  21. ^ Хойснер, Ки Мэй (12 августа 2008 г.). «Запрет заставить замолчать студентов-хакеров Массачусетского технологического института имеет неприятные последствия» . Новости АВС . Проверено 15 августа 2008 г.
  22. ^ Стикс, Гэри (14 августа 2008 г.). «Хакеры MIT заставляют чиновников Массачусетса нервничать на Defcon» . Scientific American: 60-секундный научный блог. Архивировано из оригинала 11 сентября 2012 года . Проверено 15 августа 2008 г.
  23. ^ Жалоба, стр. 12–16.
  24. ^ Ответ, стр. 9–17.
  25. ^ МакКаллах, Деклан (13 августа 2008 г.). «Транзитное агентство хочет, чтобы студенты MIT оставались с кляпом во рту » Новости CNET . Проверено 15 августа 2008 г. [ мертвая ссылка ]
  26. ^ Письмо профессоров информатики и ученых-компьютерщиков, с. 7.

Дальнейшее чтение

[ редактировать ]
[ редактировать ]

Судебные документы

[ редактировать ]
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Massachusetts_Bay_Transportation_Authority_v._Anderson&oldid=1230680652"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 5c0782198b54a5c00ba7dc766a58fcb3__1719186720
URL1:https://arc.ask3.ru/arc/aa/5c/b3/5c0782198b54a5c00ba7dc766a58fcb3.html
Заголовок, (Title) документа по адресу, URL1:
Massachusetts Bay Transportation Authority v. Anderson - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)