Cómo (no) arreglar un defecto

Los esfuerzos para censurar a tres estudiantes del MIT que encontraron fallas de seguridad en el sistema de pago del metro de Boston han sido duramente criticados por expertos, quienes argumentan que suprimir dicha investigación podría, en última instancia, hacer que el sistema sea más vulnerable.





Los estudiantes recibieron una orden de restricción temporal este fin de semana en el Defcon conferencia de seguridad en Las Vegas, lo que les impidió dar su charla planificada sobre el sistema de pago del metro de Boston.

Según las diapositivas enviadas antes de la conferencia, que también se han publicado en línea, su presentación Anatomy of a Subway Hack habría revelado formas de falsificar o copiar tanto los antiguos pases de banda magnética como las nuevas tarjetas de identificación por radiofrecuencia (RFID) utilizadas en El metro de Boston, lo que permite viajar gratis. La orden de restricción se presentó en nombre de la Autoridad de Transporte de la Bahía de Massachusetts (MBTA), que gastó más de 180 millones de dólares para instalar el sistema, según documentos judiciales. La MBTA también ha presentado una demanda mayor acusando a los estudiantes de violar la Ley de Abuso y Fraude Informático y acusando CON de ser negligente en la supervisión de ellos.

Uno de los estudiantes involucrados, Zack Anderson, dice que su equipo nunca tuvo la intención de dar una ventaja a los atacantes reales. Dejamos de lado algunos detalles en el trabajo que hicimos, porque no queríamos que nadie pudiera atacar el sistema de emisión de boletos; no queríamos que la gente pudiera eludir el sistema y obtener tarifas gratuitas, dice.



Marcia Hoffman, abogada de la Electronic Frontier Foundation, un grupo de derechos digitales que está ayudando al equipo del MIT con su defensa, sostiene que los investigadores deben estar protegidos mientras investigan este tipo de fallas. Es extremadamente raro que un tribunal prohíba que alguien hable antes de que esa persona haya tenido la oportunidad de hablar, dice. Creemos que esto sienta un precedente terrible que es muy peligroso para la investigación de seguridad.

La MBTA dice que no está tratando de detener la investigación, solo ganar tiempo para lidiar con los defectos que los estudiantes puedan haber encontrado. La agencia también expresó su escepticismo sobre si los estudiantes del MIT habían encontrado fallas reales. Cuentan una historia tremenda sobre problemas de seguridad generalizados, pero aún no han proporcionado a la MBTA información creíble para respaldar tal afirmación, dice Joe Pesaturo, portavoz de la MBTA. Es así de simple.

Sin embargo, no está claro si la MBTA puede ganar de manera realista el tiempo que necesita. Karsten Nohl , un estudiante de doctorado de la Universidad de Virginia que fue uno de los primeros en publicar detalles de las vulnerabilidades de seguridad en MiFare Classic, la marca de tarjeta inteligente inalámbrica utilizada en el sistema de Boston, dice que resolver los problemas podría llevar uno o dos años e incluso podría implicar el reemplazo de todos lectores de tarjetas y todas las tarjetas en circulación.

Esta no es la primera demanda que afecta a los investigadores que han estudiado la seguridad de MiFare Classic. El mes pasado, empresa holandesa Semiconductores NXP , que fabrica las tarjetas MiFare, demandó a una universidad holandesa en un intento de evitar que los investigadores publicaran detalles de fallas de seguridad similares. La orden judicial no tuvo éxito, pero a medida que la tecnología RFID continúa proliferando, otros expertos en seguridad están preocupados por poder discutir abiertamente las investigaciones de seguridad relevantes.

Bruce Schneier , director de tecnología de seguridad en BT Colcha , dice que la última demanda solo distrae de lo que realmente está en juego. MiFare vendió un producto pésimo a los clientes que no sabían cómo pedir un producto mejor, dice. Eso nunca se solucionará mientras se mantenga en secreto la mala seguridad de MiFare. Agrega: La razón por la que publicamos vulnerabilidades es porque no hay otra forma de mejorar la seguridad.

La misma marca de tarjeta RFID se utiliza en las redes de transporte de otras ciudades, incluidas Londres, Los Ángeles, Brisbane y Shanghai, así como para los pases de identidad corporativos y gubernamentales. La tecnología incluso se ha incorporado a algunas tarjetas de crédito y teléfonos móviles.

Nohl dice que la industria debería ver el trabajo de los estudiantes del MIT como un servicio gratuito que, en última instancia, podría conducir a una mejor seguridad. Aunque ha habido mucha investigación académica sobre la seguridad de la RFID, dice, todavía poco se ha introducido en los productos. El meollo del problema sigue siendo la creencia de la industria de que deben crear seguridad ellos mismos y que lo que han construido ellos mismos será más fuerte si lo mantienen en secreto, dice Nohl.

Mientras tanto, investigadores independientes han presentado una serie de ideas para mejorar la seguridad de las tarjetas RFID. Nohl y otros están investigando mejores formas de cifrar la información almacenada en las tarjetas. Pero parte del problema es que las tarjetas son pasivas, lo que significa que devolverán una señal a cualquier lector que envíe una solicitud. Tadayoshi Kohno y colegas de la Universidad de Washington también están trabajando en un sistema de detección de movimiento que permitiría a los usuarios activar sus tarjetas con un gesto específico, para que normalmente no responda a las solicitudes. Karl Koscher, uno de los investigadores que trabajó en el proyecto, dice que su sistema tiene como objetivo aumentar la seguridad sin destruir la conveniencia que ha hecho que las tarjetas sean tan populares.

esconder