211service.com
Hoe (niet) een fout te herstellen
Pogingen om drie MIT-studenten te censureren die beveiligingsfouten in het betalingssysteem van de metro van Boston vonden, zijn ronduit bekritiseerd door experts, die beweren dat het onderdrukken van dergelijk onderzoek het systeem uiteindelijk kwetsbaarder zou kunnen maken.
De studenten kregen dit weekend een tijdelijk straatverbod opgelegd bij de defcon veiligheidsconferentie in Las Vegas, waardoor ze hun geplande toespraak niet konden houden via het betalingssysteem van de metro van Boston.
Volgens de dia's die vóór de conferentie zijn ingediend en die ook online zijn geplaatst, zou hun presentatie Anatomy of a Subway Hack manieren hebben onthuld om zowel de oude magneetstrippassen als de nieuwere RFID-kaarten (radiofrequentie-identificatie) te vervalsen of te kopiëren. De metro van Boston, waardoor het mogelijk is om gratis te reizen. Het straatverbod is ingediend namens de Massachusetts Bay Transportation Authority (MBTA), die volgens gerechtelijke documenten meer dan $ 180 miljoen heeft uitgegeven om het systeem te installeren. De MBTA heeft ook een grotere rechtszaak aangespannen waarin de studenten worden beschuldigd van het schenden van de Computer Fraud and Abuse Act en het beschuldigen van MET nalatig te zijn geweest in het toezicht daarop.
Een van de betrokken studenten, Zack Anderson, zegt dat zijn team nooit de bedoeling had gehad om echte aanvallers een voordeel te geven. We hebben wat details weggelaten in het werk dat we deden, omdat we niet wilden dat iemand het ticketingsysteem zou kunnen aanvallen; we wilden niet dat mensen het systeem konden omzeilen en gratis tarieven konden krijgen, zegt hij.
Marcia Hoffman, stafadvocaat bij de Electronic Frontier Foundation, een groep voor digitale rechten die het MIT-team helpt bij de verdediging, stelt dat onderzoekers beschermd moeten worden bij het onderzoeken van dit soort fouten. Het komt uiterst zelden voor dat een rechtbank iemand verbiedt te spreken voordat die persoon zelfs maar de kans heeft gehad om te spreken, zegt ze. We denken dat dit een verschrikkelijk precedent schept dat erg gevaarlijk is voor beveiligingsonderzoek.
De MBTA zegt dat het niet probeert het onderzoek te stoppen, maar gewoon tijd te kopen om de fouten die de studenten hebben gevonden aan te pakken. Het bureau uitte ook scepsis over de vraag of de MIT-studenten inderdaad echte gebreken hadden gevonden. Ze vertellen een geweldig verhaal over wijdverbreide veiligheidsproblemen, maar ze hebben de MBTA nog steeds geen geloofwaardige informatie gegeven om een dergelijke bewering te staven, zegt Joe Pesaturo, een woordvoerder van de MBTA. Het is zo simpel.
Het is echter onduidelijk of de MBTA de benodigde tijd realistisch kan kopen. Karsten Nohl , een promovendus aan de Universiteit van Virginia die als een van de eersten details publiceerde over beveiligingsproblemen in MiFare Classic, het merk draadloze smartcards dat in het systeem van Boston wordt gebruikt, zegt dat het oplossen van de problemen een jaar of twee kan duren en mogelijk zelfs het vervangen van alle kaartlezers en alle kaarten in omloop.
Dit is niet de eerste rechtszaak tegen onderzoekers die de beveiliging van MiFare Classic hebben bestudeerd. Afgelopen maand, Nederlands bedrijf NXP Halfgeleiders , dat de MiFare-kaarten maakt, klaagde een Nederlandse universiteit aan in een poging te voorkomen dat onderzoekers daar details van soortgelijke beveiligingsfouten zouden publiceren. Het bevel slaagde niet, maar aangezien RFID-technologie zich blijft verspreiden, maken andere beveiligingsexperts zich zorgen over het feit dat ze relevant beveiligingsonderzoek openlijk kunnen bespreken.
Bruce Schneier , Chief Security Technology Officer bij BT tegenruit , zegt dat de laatste rechtszaak alleen afleidt van wat er echt op het spel staat. MiFare verkocht een waardeloos product aan klanten die niet wisten hoe ze om een beter product moesten vragen, zegt hij. Dat zal nooit worden opgelost zolang de slordige beveiliging van MiFare geheim wordt gehouden. Hij voegt eraan toe: De reden dat we kwetsbaarheden publiceren, is omdat er geen andere manier is om de beveiliging te verbeteren.
Hetzelfde merk RFID-kaart wordt gebruikt op transportnetwerken in andere steden, waaronder Londen, Los Angeles, Brisbane en Shanghai, maar ook voor identiteitspassen voor bedrijven en overheden. De technologie is zelfs verwerkt in sommige creditcards en mobiele telefoons.
Nohl zegt dat de industrie het werk van de MIT-studenten moet zien als een gratis dienst die uiteindelijk kan leiden tot betere beveiliging. Hoewel er veel academisch onderzoek is gedaan naar de veiligheid van RFID, zegt hij, is er nog maar weinig in producten terechtgekomen. De kern van het probleem is nog steeds de overtuiging van de industrie dat ze zelf beveiliging moeten bouwen, en dat wat ze zelf hebben gebouwd sterker zal zijn als ze het geheim houden, zegt Nohl.
Ondertussen hebben onafhankelijke onderzoekers een aantal ideeën bedacht om de beveiliging van RFID-kaarten te verbeteren. Nohl en anderen onderzoeken betere manieren om de informatie op de kaarten te versleutelen. Maar een deel van het probleem is dat de kaarten passief zijn, wat betekent dat ze een signaal terugsturen naar elke lezer die een verzoek verzendt. Tadayoshi Kohno en collega's van de Universiteit van Washington werken ook aan een bewegingsdetectiesysteem waarmee gebruikers hun kaarten kunnen activeren met een specifiek gebaar, zodat het normaal niet op verzoeken reageert. Karl Koscher, een van de onderzoekers die aan het project heeft meegewerkt, zegt dat hun systeem is gericht op het vergroten van de veiligheid zonder het gemak te vernietigen dat de kaarten zo populair heeft gemaakt.