美国联邦法官日前下令,禁止3名麻省理工学院(MIT)学生在Defcon黑客大会上,示范如何骇入波士顿地铁系统使用的智能票卡。
代表这3名学生的电子前线基金会(EFF)资深律师Kurt Opsahl表示,这个结果在意料之中。
620)this.style.width=620;" border=0>
MIT学生Alessandro Chiesa、 R.J. Ryan与 Zack Anderson,以及EFF基金会律师Kurt Opsahl 在Defcon会场上举行记者会。
这3名学生原订在拉斯维加斯的Defcon黑客会议上,示范“完全破解CharlieCard的几次攻击”。这种无线射频识别(RFID)卡是波士顿地铁T线目前使用的票卡,学生们还计划发布他们制作的骇卡软件。
美国联邦地方法官Douglas Woodlock下令,这些学生不得提供“得以协助他人以任何实质方法回避,或以其他方式攻击该系统安全的程序、资讯、软件代码或指令。”
EFF律师Kurt Opsahl表示,这项暂时禁止令“侵害了他们的言论自由权”,另一位EFF律师则说,法院预先下令阻止安全研究员是“空前的”作法。这3名学生,Alessandro Chiesa、R.J. Ryan和Zack Anderson,仍在律师的陪同下出席Defcon,但无法回答问题。Defcon主办单位暗示,可能会举办另一个相关主题的发表会。
学生表示,他们主动与麻州主管当局的接触并不愉快,因为对方一开始就提到联邦调查局(FBI)已对他们展开犯罪调查。EFF律师Opsahl说,学生只想“发表一场有趣和有用的演说,不会导致民众诈骗麻州政府”。但当局认为,“揭露这项资讯将明显危及公众运输系统”,并且“对公众健康或安全构成威胁”。
已经散发给Defcon现场参与听众的简报CD内容。
但法院的禁止令可能无济于事,因为登记参加Defcon的会众,早在法院裁决的两天前就拿到一片包含这次示范详细内容的光碟。
一名不愿具名的Defcon代表说,学生至少在一个月前就提供他们的Powerpoint简报内容给大会。当中提到,这些内容相当违法,因此仅供教育使用。此外,相关内容的拷贝似乎已成为对外公开的呈堂证据,代表未来若要进一步限制其传播,可能面临额外的阻碍。
公开的法庭文件中,还包括一份标示为“机密”的研究报告,说明如何复制和假造波士顿的地铁卡。文件中还提到,地铁的主管单位管理松散、毫无门禁可言,缺乏实际的安全防护。
这并非Defcon会议第一次遭受法院禁令的干扰。2005年,思科(Cisco Systems)就在安全研究员Michael Lynn公开如何攻击思科路由器的数小时后,向法院提告。此案最后和解。4年前,俄罗斯密码专家Dmitri Sklyarov甚至在拉斯维加斯的饭店内被FBI逮捕,只因他前一日在Defcon发表了一场有关电子书安全软件弱点的演说。
普林斯顿大学电脑科学教授Ed Felten和他的写作伙伴,因计划在匹兹堡一场安全会议中发表演说,被唱片业威胁控告。荷兰的一群大学研究员也因为研究麻州政府使用之Mifare Classic卡的加密漏洞而被诉,但当地法院上月判决,被告有权公布这项资讯。
去年与其他人合作破解Mifare Classic密码规则的维吉尼亚大学学生Karsten Nohl表示,麻州当局不该控告主动与他们讨论这些问题的研究员。他说:“磁条卡可以轻易被窜改,早在多年前就广为人知。麻州当局不该依赖隐瞒其资料格式为一种安全防卫手段。他们清楚地表明,他们无意与研究员合作找出和解决安全弱点,但提告将促使更多人研究波士顿大众运输系统的安全防护。”
MIT的学生报已登出一份取自Defcon光碟的内容,和这次争议的相关报道。