Autoridad de Transporte de la Bahía de Massachusetts contra Anderson
Acción para bloquear la publicación de la vulnerabilidad

Autoridad de Transporte de la Bahía de Massachusetts contra Anderson
CorteTribunal de Distrito de los Estados Unidos para el Distrito de Massachusetts
Nombre completo del casoAutoridad de Transporte de la Bahía de Massachusetts contra Zack Anderson, RJ Ryan, Alessandro Chiesa y el Instituto Tecnológico de Massachusetts
Decidido19 de agosto de 2008 ( 19-08-2008 )
Historia del caso
Acción previaOrden judicial concedida el 9 de agosto de 2008 Acción Civil No. 08-11364-GAO ( 09-08-2008 )
Membresía de la corte
Juez sentadoGeorge A. O'Toole, Jr. [1]
Opiniones de casos
Juez rechazó solicitud de MBTA de extender medida cautelar
Palabras clave

Massachusetts Bay Transportation Authority v. Anderson, et al. , Civil Action No. 08-11364, fue una demanda interpuesta por la Massachusetts Bay Transportation Authority (MBTA) para impedir que tres estudiantes del Massachusetts Institute of Technology (MIT) presentaran públicamente una vulnerabilidad de seguridad que descubrieron en el sistema de cobro automático de tarifas CharlieCard de la MBTA . El caso trata sobre hasta qué punto la divulgación de una falla de seguridad informática es una forma de libertad de expresión protegida por la Primera Enmienda de la Constitución de los Estados Unidos .

La MBTA alegó que los estudiantes del MIT violaron la Ley de Abuso y Fraude Informático (CFAA, por sus siglas en inglés) y el 9 de agosto de 2008 se les concedió una orden de restricción temporal (TRO, por sus siglas en inglés) para impedirles que presentaran información a los asistentes a la conferencia DEFCON que podría haber sido utilizada para defraudar a la MBTA en el pago de tarifas de transporte. Los estudiantes del MIT sostuvieron que presentar su investigación para su revisión y aprobación por parte de una agencia gubernamental antes de su publicación es una restricción previa inconstitucional .

El caso obtuvo considerable atención popular y de la prensa cuando la orden judicial se convirtió involuntariamente en víctima del efecto Streisand , aumentando la difusión de la información sensible de la presentación de los estudiantes porque las diapositivas habían sido distribuidas a los organizadores de la conferencia en las semanas anteriores a la orden judicial y también publicadas inadvertidamente en el sitio web público del tribunal de distrito como anexos a la denuncia original de la MBTA.

El 19 de agosto, el juez rechazó la solicitud de la MBTA de extender la orden de restricción y la TRO también expiró, otorgando así a los estudiantes el derecho a discutir y presentar sus hallazgos. [2]

Fondo

En diciembre de 2007, Karsten Nohl [3] y Henryk Plotz publicaron advertencias por separado sobre el cifrado débil y otras vulnerabilidades del esquema de seguridad particular implementado en el conjunto de chips MIFARE y el sistema de tarjeta electrónica sin contacto de NXP . [4] [5] En marzo de 2008, aparecieron artículos sobre las vulnerabilidades en periódicos y revistas comerciales de computadoras. [6] [7] Un criptoanálisis independiente comparable , centrado en el chip MIFARE Classic, se realizó en la Universidad Radboud de Nimega . El 7 de marzo, los científicos pudieron recuperar una clave criptográfica de la tarjeta RFID sin utilizar equipos costosos. [8] Con respecto a la divulgación responsable, la Universidad Radboud de Nimega publicó el artículo [9] seis meses después. NXP intentó detener la publicación del segundo artículo mediante una orden judicial preliminar. En los Países Bajos , el juez dictaminó el 18 de julio que la publicación de este artículo científico entra dentro del principio de libertad de expresión y que en una sociedad democrática es de gran importancia que los resultados de la investigación científica puedan publicarse. [10]

En mayo de 2008, los estudiantes del MIT Zack Anderson, [11] [12] Russell J. Ryan, [13] Alessandro Chiesa, [14] y Samuel G. McVeety presentaron un trabajo final en la clase 6.857: Seguridad informática y de redes del profesor Ron Rivest que demostraba las debilidades del sistema automatizado de cobro de tarifas de la MBTA. El informe identificó cuatro problemas: el valor se almacena en la tarjeta y no en una base de datos segura, los datos de la tarjeta se pueden leer y sobrescribir fácilmente, no hay un algoritmo de firma criptográfica para evitar falsificaciones y no hay un sistema centralizado de verificación de tarjetas. [15] Anderson, Ryan y Chiesa presentaron una presentación titulada "Anatomía de un hackeo del metro: rompiendo los RFID criptográficos y las bandas magnéticas de los sistemas de emisión de billetes" en la convención de hackers DEF CON que afirmaba revisar y demostrar cómo aplicar ingeniería inversa a los datos de la tarjeta de banda magnética , varios ataques para romper la tarjeta Charlie basada en MIFARE y ataques de fuerza bruta utilizando FPGAs . [16]

Antes de que se presentara la denuncia en agosto de 2008, Bruce Schneier escribió sobre el asunto que "la publicación de este ataque puede resultar costosa para NXP y sus clientes, pero es buena para la seguridad en general. Las empresas sólo diseñarán una seguridad tan buena como sus clientes sepan pedir". [17]

Litigio

El 8 de agosto de 2008, la MBTA presentó una demanda solicitando una orden de restricción temporal, tanto para impedir que los estudiantes presentaran o discutieran de otro modo sus hallazgos hasta que sus proveedores tuvieran tiempo suficiente para corregir los defectos como para solicitar daños monetarios. La moción fue concedida el 9 de agosto por el juez Douglas P. Woodlock [18] y, aunque los estudiantes se presentaron según lo programado, no hablaron ni realizaron presentaciones en la convención. [19] [20] Sin embargo, la orden judicial no solo generó más popularidad y atención de la prensa al caso, sino que la información confidencial en la presentación de los estudiantes se difundió aún más ampliamente después (por lo que se llama el efecto Streisand ) ya que se había distribuido a los organizadores de la conferencia en las semanas anteriores a la orden judicial y se había publicado inadvertidamente en el sitio web público del tribunal de distrito como anexos a la demanda original de la MBTA. [21] [22]

La MBTA contrató a Holland & Knight para que los representara y sostuvo que, según la norma de divulgación responsable , los estudiantes no proporcionaron suficiente información ni tiempo antes de la presentación para que la MBTA corrigiera la falla y, además, alegó que los estudiantes transmitieron programas para causar daños a (o intentaron transmitir y dañar) las computadoras de la MBTA por una cantidad superior a $5000 según la Ley de Fraude y Abuso Informático . Además, se sostuvo que este daño constituía una amenaza para la salud y la seguridad públicas y que la MBTA sufriría un daño irreparable si se permitía a los estudiantes realizar la presentación; que los estudiantes se convirtieron y entraron sin permiso en la propiedad de la MBTA; que los estudiantes se beneficiaron ilegalmente de sus actividades; y que el propio MIT fue negligente al supervisar a los estudiantes y notificar a la MBTA. [23]

Los estudiantes del MIT contrataron a la Electronic Frontier Foundation y a Fish & Richardson para que los representaran y afirmaron que el término "transmisión" en la CFAA no puede interpretarse en sentido amplio como cualquier forma de comunicación y que la orden de restricción es una restricción previa que infringe su derecho a la libertad de expresión protegida sobre la investigación académica, según la Primera Enmienda . [24] [25] Una carta publicada por 11 científicos informáticos destacados el 11 de agosto apoyó las afirmaciones de los acusados ​​y afirmó que el precedente de la orden de censura "sofocará los esfuerzos de investigación y debilitará los programas de investigación informática académica. A su vez, tememos que la sombra de las ambigüedades de la ley reduzca nuestra capacidad de contribuir a la investigación industrial en tecnologías de seguridad en el corazón de nuestra infraestructura de información". [26]

El 19 de agosto, el juez rechazó la solicitud de la MBTA de extender la orden de restricción y la TRO también expiró, otorgando así a los estudiantes el derecho a discutir y presentar sus hallazgos. [2]

Véase también

Referencias

  1. ^ "Jueces de los tribunales de los Estados Unidos - Biografía del juez George A. O'Toole, Jr." Centro Judicial Federal. Archivado desde el original el 21 de septiembre de 2008. Consultado el 15 de agosto de 2008 .
  2. ^ ab Malone, Scott (19 de agosto de 2008). "Un juez respalda a los piratas informáticos en la disputa sobre el metro de Boston". Reuters . Consultado el 19 de agosto de 2008 .
  3. ^ "Página web de Karsten Nohl". Universidad de Virginia. Archivado desde el original el 4 de febrero de 2020. Consultado el 15 de agosto de 2008 .
  4. ^ Plötz, Henryk; Meriac, Milosch (agosto de 2007). "Ataques RFID prácticos". Berlín, Alemania: Chaos Communication Camp. {{cite journal}}: Requiere citar revista |journal=( ayuda )
  5. ^ Courtois, Nicolas T.; Nohl, Karsten; O'Neil, Sean (14 de abril de 2008). "Ataques algebraicos al cifrado de flujo Crypto-1 en tarjetas MiFare Classic y Oyster". Archivo de preimpresiones de la IACR . Consultado el 15 de agosto de 2008 . {{cite journal}}: Requiere citar revista |journal=( ayuda )
  6. ^ "Grupo demuestra un agujero de seguridad en la tarjeta inteligente más popular del mundo". UVA Today. 26 de febrero de 2008. Archivado desde el original el 5 de agosto de 2012. Consultado el 15 de agosto de 2008 .
  7. ^ Dayal, Geeta (19 de marzo de 2008). "Cómo lo hackearon: explicación del crack de RFID MiFare: una mirada a la investigación detrás del ataque al chip". Computerworld . Consultado el 15 de agosto de 2008 .
  8. ^ "Científicos de la Universidad Radboud de Nimega rompen la seguridad de las tarjetas MIFARE Classic" (PDF) . Archivado desde el original (PDF) el 18 de marzo de 2021. Consultado el 29 de abril de 2009 .
  9. ^ Garcia, Flavio D.; Gerhard de Koning Gans; Ruben Muijrers; Peter van Rossum, Roel Verdult; Ronny Wichers Schreur; Bart Jacobs (4 de octubre de 2008). "Desmantelando MIFARE Classic" (PDF) . 13.º Simposio Europeo sobre Investigación en Seguridad Informática (ESORICS 2008), LNCS, Springer. Archivado desde el original (PDF) el 23 de febrero de 2021. Consultado el 19 de julio de 2020 .
  10. ^ Arnhem Court Judge Services (18 de julio de 2008). «Pronunciación, reivindicación primaria (holandés)». Rechtbank Arnhem. Archivado desde el original el 15 de febrero de 2012. Consultado el 29 de abril de 2009 .
  11. ^ Página de inicio de Zack Anderson en el MIT
  12. ^ Página personal de Zack Anderson
  13. ^ Página de inicio de Russell J. Ryan
  14. ^ Página de Alessandro Chiesa en el MIT
  15. ^ Baxter, Christopher (12 de agosto de 2008). «El informe de los estudiantes del MIT hace recomendaciones de seguridad a T». Boston Globe . Consultado el 15 de agosto de 2008 .
  16. ^ "Oradores de DEFCON 16". DEFCON Communications . Consultado el 16 de agosto de 2008 .
  17. ^ Schneier, Bruce (7 de agosto de 2008). "Hacking Mifare Transport Cards". Boletín de noticias de Schneier on Security.
  18. ^ "Jueces de los tribunales de los Estados Unidos - Biografía del juez Douglas Woodlock". Centro Judicial Federal . Archivado desde el original el 16 de septiembre de 2008. Consultado el 15 de agosto de 2008 .
  19. ^ McCullagh, Declan (9 de agosto de 2008). "El juez ordena detener el discurso de Defcon sobre el pirateo de tarjetas del metro". CNET News . Consultado el 15 de agosto de 2008 .
  20. ^ Lundin, Leigh (17 de agosto de 2008). "Dangerous Ideas". MBTA v DefCon 16. Criminal Brief . Consultado el 7 de octubre de 2010 .
  21. ^ Heussner, Ki Mae (12 de agosto de 2008). "Fallan medidas cautelares para silenciar a los estudiantes piratas informáticos del MIT". ABC News . Consultado el 15 de agosto de 2008 .
  22. ^ Stix, Gary (14 de agosto de 2008). «Los piratas informáticos del MIT ponen nerviosos a los funcionarios de Massachusetts en Defcon». Scientific American: Blog científico de 60 segundos. Archivado desde el original el 11 de septiembre de 2012. Consultado el 15 de agosto de 2008 .
  23. ^ Queja, págs. 12-16.
  24. ^ Respuesta, págs. 9–17.
  25. ^ McCullagh, Declan (13 de agosto de 2008). "La agencia de tránsito quiere que los estudiantes del MIT permanezcan amordazados". CNET News . Consultado el 15 de agosto de 2008 . [ enlace muerto ]
  26. ^ Carta de profesores de informática y científicos informáticos, pág. 7.

Lectura adicional

  • Greenberg, Andy (10 de agosto de 2023). "Adolescentes piratearon tarjetas del metro de Boston para obtener viajes gratis infinitos y, esta vez, nadie fue demandado". Wired . Consultado el 10 de agosto de 2023 .
  • McGraw-Herdeg, Michael; Vogt, Marissa (25 de agosto de 2008). "MBTA demanda a tres estudiantes para que dejen de hablar sobre las vulnerabilidades del metro". The Tech . MIT. Archivado desde el original el 18 de septiembre de 2008.

Documentos judiciales

  • Queja : MBTA vs. Anderson, et al.
  • Orden de restricción temporal : Orden de restricción del 9 de agosto
  • Respuesta : Respuesta de los estudiantes del MIT y moción para modificar
  • Exposición : Cartas de profesores de informática y científicos informáticos
  • Página de inicio del caso de la Electronic Frontier Foundation
  • Discusión en la red Legal Talk
Obtenido de "https://es.wikipedia.org/w/index.php?title=Autoridad_de_Transporte_de_la_Bahía_de_Massachusetts_v._Anderson&oldid=1249555824"