Massachusetts Bay Transportation Authority przeciwko Andersonowi

Massachusetts Bay Transportation Authority przeciwko Andersonowi
District-Massachusetts.png
Sąd Sąd Okręgowy Stanów Zjednoczonych dla Okręgu Massachusetts
Pełna nazwa sprawy Massachusetts Bay Transportation Authority przeciwko Zackowi Andersonowi, RJ Ryanowi, Alessandro Chiesie i Massachusetts Institute of Technology
Zdecydowany 19 sierpnia 2008 ( 19.08.2008 )
Historia przypadku
Wcześniejsze działania nakaz wydany 9 sierpnia 2008 r. ( 09.08.2008 ) Powództwo cywilne nr 08-11364-GAO
Opinie w sprawie
Sędzia odrzucił wniosek MBTA o przedłużenie
członkostwa sądu nakazowego
Sędzia siedzi George A. O'Toole Jr.
Słowa kluczowe

Massachusetts Bay Transportation Authority przeciwko Anderson i in. , pozew cywilny nr 08-11364, był wyzwaniem wniesionym przez Massachusetts Bay Transportation Authority (MBTA), aby uniemożliwić trzem studentom Massachusetts Institute of Technology (MIT) publiczne przedstawienie luki w zabezpieczeniach , którą wykryli w zautomatyzowanym systemie pobierania opłat Charlie Card firmy MBTA . Sprawa dotyczy zakresu, w jakim ujawnienie luki w zabezpieczeniach komputera jest formą wolności słowa chronioną przez art Pierwsza Poprawka do Konstytucji Stanów Zjednoczonych .

MBTA twierdziło, że studenci MIT naruszyli ustawę o oszustwach i nadużyciach komputerowych (CFAA), a 9 sierpnia 2008 r. otrzymało tymczasowy zakaz zbliżania się (TRO) wobec studentów, aby uniemożliwić im przedstawianie uczestnikom konferencji DEFCON informacji , które mogłyby potencjalnie zostały wykorzystane do oszukania MBTA opłat tranzytowych. Studenci MIT twierdzili, że przedłożenie ich badań do przeglądu i zatwierdzenia przez agencję rządową przed publikacją jest niezgodne z konstytucją .

Sprawa spotkała się z dużym zainteresowaniem opinii publicznej i prasy, gdy nakaz nieumyślnie stał się ofiarą efektu Streisand , zwiększając rozpowszechnianie poufnych informacji z prezentacji uczniów, ponieważ oba slajdy zostały rozesłane organizatorom konferencji na kilka tygodni przed wydaniem nakazu jako nieumyślnie zamieszczone na publicznej stronie internetowej sądu rejonowego jako dowody do pierwotnej skargi MBTA.

19 sierpnia sędzia odrzucił wniosek MBTA o przedłużenie zakazu zbliżania się i TRO również wygasło, dając tym samym studentom prawo do dyskusji i przedstawienia swoich ustaleń.

Tło

W grudniu 2007 r. Karsten Nohl i Henryk Plotz opublikowali oddzielnie ostrzeżenia dotyczące słabego szyfrowania i innych luk w zabezpieczeniach konkretnego schematu bezpieczeństwa zaimplementowanego w zestawie chipów MIFARE firmy NXP i systemie kart zbliżeniowych . W marcu 2008 roku w gazetach i branżowych czasopismach komputerowych ukazały się artykuły na temat luk w zabezpieczeniach. Porównywalna niezależna kryptoanaliza , skupiona na chipie MIFARE Classic, została przeprowadzona na Uniwersytecie Radboud w Nijmegen . 7 marca naukowcom udało się odzyskać klucz kryptograficzny z karty RFID bez użycia drogiego sprzętu. W odniesieniu do odpowiedzialnego ujawniania informacji, Radboud University Nijmegen opublikował artykuł sześć miesięcy później. NXP próbowało powstrzymać publikację drugiego artykułu poprzez wydanie wstępnego nakazu. W Holandii sędzia orzekł 18 lipca, że ​​opublikowanie tego artykułu naukowego podlega zasadzie wolności wypowiedzi oraz że w społeczeństwie demokratycznym ogromne znaczenie ma możliwość publikowania wyników badań naukowych.

W maju 2008 roku studenci MIT, Zack Anderson, Russell J. Ryan, Alessandro Chiesa i Samuel G. McVeety, przedstawili pracę końcową na zajęciach 6.857: Bezpieczeństwo komputerów i sieci profesora Rona Rivesta , w której wykazali słabości automatycznego systemu pobierania opłat MBTA. W raporcie zidentyfikowano cztery problemy: wartość jest przechowywana na karcie, a nie w bezpiecznej bazie danych, dane na karcie można łatwo odczytać i nadpisać, nie ma algorytmu podpisu kryptograficznego zapobiegającego fałszerstwom oraz nie ma scentralizowanego systemu weryfikacji kart . Anderson, Ryan i Chiesa przesłali prezentację zatytułowaną „Anatomy of a Subway Hack: Breaking Crypto RFID's and Magstripes of Ticketing Systems”. Konwencja hakerska DEF CON , która twierdziła, że ​​dokonała przeglądu i zademonstrowała sposób inżynierii wstecznej danych na karcie z paskiem magnetycznym , kilka ataków mających na celu złamanie karty Charlie Card opartej na MIFARE oraz ataki siłowe z wykorzystaniem układów FPGA .

Zanim skarga została złożona w sierpniu 2008 r., Bruce Schneier napisał w tej sprawie, że „Publikacja tego ataku może być kosztowna dla NXP i jej klientów, ale ogólnie jest dobra dla bezpieczeństwa. Firmy będą projektować zabezpieczenia tylko tak dobre, jak ich klienci wiedzą, aby poprosić Do."

Spór

W dniu 8 sierpnia 2008 r. MBTA złożyła pozew, domagając się tymczasowego zakazu zbliżania się, zarówno w celu uniemożliwienia studentom przedstawiania lub innego omawiania ich ustaleń, dopóki sprzedawcy nie będą mieli wystarczająco dużo czasu na naprawienie usterek i dochodzenie odszkodowania pieniężnego. Wniosek został uwzględniony 9 sierpnia przez sędziego Douglasa P. Woodlocka i chociaż studenci pojawili się zgodnie z planem, nie przemawiali ani nie byli obecni na konwencji. Jednak nakaz nie tylko zyskał większą popularność i zainteresowanie prasy sprawą, ale poufne informacje w prezentacji studentów zostały później jeszcze szerzej rozpowszechnione (dzięki tak zwanemu efektowi Streisand ), ponieważ został zarówno przekazany organizatorom konferencji na kilka tygodni przed wydaniem nakazu, jak i nieumyślnie opublikowany na publicznej stronie internetowej sądu rejonowego jako dowód w pierwotnej skardze MBTA.

MBTA zatrudniła Holland & Knight do reprezentowania ich i utrzymywała, że ​​zgodnie z normą odpowiedzialnego ujawniania , studenci nie dostarczyli wystarczających informacji lub czasu przed prezentacją, aby MBTA mogła naprawić błąd, a ponadto zarzucili, że studenci przesyłali programy powodujące szkody dla (lub usiłował przesłać i uszkodzić) komputery MBTA na kwotę przekraczającą 5000 USD zgodnie z ustawą o oszustwach i nadużyciach komputerowych . Ponadto twierdzono, że szkoda ta stanowiła zagrożenie dla zdrowia i bezpieczeństwa publicznego, a MBTA poniosłaby nieodwracalną szkodę czy studentom pozwolono na prezentację; że studenci nawrócili się i wtargnęli na własność MBTA; że studenci nielegalnie czerpali korzyści z ich działalności; i że sam MIT dopuścił się zaniedbania w nadzorowaniu studentów i powiadamianiu MBTA.

Studenci MIT zatrudnili Electronic Frontier Foundation i Fish & Richardson do ich reprezentowania i stwierdzili, że termin „transmisja” w CAFA nie może być szeroko rozumiany jako jakakolwiek forma komunikacji, a zakaz zbliżania się jest uprzednim ograniczeniem naruszającym ich prawo do ochrony wynikające z Pierwszej Poprawki wolność słowa o badaniach naukowych. List opublikowany przez 11 wybitnych informatyków 11 sierpnia potwierdzał twierdzenia oskarżonych i twierdził, że precedens nakazu kneblowania „zdusi wysiłki badawcze i osłabi akademickie programy badań komputerowych. Z kolei obawiamy się, że cień niejasności prawa zmniejszy naszą zdolność wnoszenia wkładu w badania przemysłowe w zakresie technologii bezpieczeństwa w sercu naszej infrastruktury informacyjnej”.

19 sierpnia sędzia odrzucił wniosek MBTA o przedłużenie zakazu zbliżania się i TRO również wygasło, dając tym samym studentom prawo do dyskusji i przedstawienia swoich ustaleń.

Zobacz też

Dalsza lektura

Linki zewnętrzne

Dokumenty sądowe

Inne linki

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Massachusetts_Bay_Transportation_Authority_v._Anderson&oldid=1130484398