Újabb részletek a DEFCON-botrányról

Az MIT három tanulójának - Zack Anderson, R.J. Ryan, valamint Alessandro Chiesa - elhallgattatási kísérlete számos szakértő szerint még sebezhetőbbé és védtelenebbé teszi az RFID-technikát.

A bostoni tömegközlekedésben használt RFID-kártyák rendszerének feltöréséről szóló üggyel kapcsolatban egyre több részlet derül ki. Mint ismeretes, az MIT három hallgatója a DEFCON konferencián ismertette volna a bostoni tömegközlekedésben használt RFID-kártyák feltörését, a bemutatót azonban az illetékes hatóság bírói rendeletben tiltotta le.

A rendezvény előtt bemutatott fóliákkal a diákok azt akarták bemutatni, hogy mennyire egyszerű és könnyű hamisítani, illetve lemásolni a bostoni tömegközlekedésben használt régebbi mágnes- és újabb RFID-kártyákat. A hamis azonosítók segítségével bárki ingyen utazhatna. A bemutatót azonban sikeresen meggátolta a rendszert bírósági dokumentumok alapján több mint 180 millió dollárért felszerelő MBTA. Sőt, a vállalat számítógépes csalásért és számítógépekkel való visszaélésekért be is perelte a hallgatókat, míg az MIT intézetet felügyeleti kötelessége megsértésével vádolja.

"Sohasem volt célunk a valódi támadók előnyökhöz juttatása. Ezért is volt, hogy egyes részleteket tudatosan és szándékosan kihagytunk a bemutatónk anyagából. Nem akartuk, hogy valaki valóban megtámadhassa a rendszert. Nem szerettük volna azt sem, hogy kijátszhassák és az emberek ingyen utazhassanak" - nyilatkozta Zack Anderson.

Marcia Hoffmann, a három fiatalt védő EFF jogásza úgy vélte, példátlan és nagyon ritka, hogy egy bíróság valakitől azelőtt vonja meg a megszólalás jogát, hogy annak erre egyáltalán lehetősége lenne. Ez egy olyan precedens értékű ítélet, ami nagyon veszélyes lehet az informatikai biztonsági kutatások számára. Az MBTA ezzel szemben azzal védekezik, hogy ők csupán időt akartak nyerni a megismert hibák kijavítására, bár a cég képviselője kétségbe vonta, hogy a diákok valódi biztonsági réseket találtak volna. "Egy izgalmas sztorit adnak elő a széleskörű biztonsági problémákról, de még semmilyen valóban használható és hihető, az általuk elmondottakat bizonyító vagy legalábbis alátámasztó információt sem mutattak be nekünk" - közölte Joe Pesaturo, a vállalat szóvivője.


Karsten Nohl, a Virginiai Egyetem doktorandusza - aki a többek között Bostonban alkalmazott MiFare Classic RFID-rendszer biztonsági problémáit felfedező szakemberek egyike - ugyanakkor rámutatott, hogy a hibák kijavítása akár 1-2 évig is eltarthat. Szerinte előfordulhat, hogy az összes mostani leolvasókészüléket és kártyát le kell majd cserélni. Nohl hozzátette, hogy az informatikai iparnak inkább meg kellene köszönnie a hallgatók munkáját és azt egy ingyenes szolgáltatásként kellene felfogni, nem pedig támadni őket. A fő probléma szerinte az, hogy az ipar azt hiszi, hogy az ő szakemberei foglalkoznak a legjobban a biztonsági kérdésekkel és az, amit építenek vagy kifejlesztenek, akkor van a legnagyobb biztonságban, ha titokban tartják.

Nohl és néhány kutató jobb titkosítással látná el a kártyákon tárolt adatokat. A legnagyobb nehézséget az okozza, hogy a kártyák maguk a titkosítás szempontjából passzívak, ami azt jelenti, hogy a jeleket minden olyan leolvasókészüléknek továbbítják, amely azokat le akarja kérdezni. Tadayoshi Kohno és a kollégái, a Washington Egyetem munkatársai ezért egy olyan mozgásérzékelőn dolgoznak, amelynek segítségével a felhasználók egy bizonyos mozdulattal aktiválnák a kártyákat.

Bruce Schneier, a BT Counterpane cég alapítója, neves informatikai biztonsági szakértő ekképp összegezte az üggyel kapcsolatos véleményét: "Számomra egész egyszerűen úgy tűnik, hogy itt valaki egy nagyon rossz terméket adott el és vásárlók nem tudták, hogy inkább egy jobb terméket kellene választaniuk. Addig, amíg a felhasznált biztonsági technikát titkolják, soha sem fogják tudni a problémát megoldani, a hibákat kijavítani." Hasonló RFID-technikát használnak egyébként többek között Londonban, Los Angelesben, Brisbaneben ás Sanghajban, mobiltelefonokban, valamint cég- és kormányzati épületek biztonsági rendszereinél.