Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 67, views: 22.679 •

Een Amerikaanse federale rechter heeft drie MIT-studenten verboden tijdens Defcon een presentatie over het kraken van smartcards te geven. Ook de voor de hack benodigde software wordt vooralsnog niet vrijgegeven.

CharlieticketDe drie studenten van het Massachusetts Institute of Technology zouden tijdens hackersconventie Defcon een presentatie geven over het kraken van de Charliecard. Die smartcard wordt door de Mbta, het vervoersbedrijf van Boston en omgeving, gebruikt om bus- en metroritjes te betalen. De kaart is gebaseerd op de Mifare Classic-rfidkaart, die door het Nederlandse bedrijf NXP Semiconductors wordt geproduceerd. Eerder kwam de Mifare-techniek al in opspraak toen onderzoekers van de Radboud Universiteit de ov-chipkaart en de Londense Oyster-kaart kraakten. NXP spande rechtszaken aan om de publicatie door Radboud over de Mifare-hacks verbieden, maar verloor deze.

Het verbod van de Amerikaanse federale rechter omvat onder meer de publicatie van de presentatie van de drie MIT-studenten. Voorafgaand aan de Defcon-bijeenkomst hadden zij echter hun Powerpoint-presentatie al bij de organisatie ingeleverd, die het bestand op cd zette om onder de duizenden bezoekers en deelnemers van Defcon te verspreiden. De presentatie is ook in openbare stukken rond de rechtszaak terug te vinden en de universiteitskrant van het MIT publiceerde de presentatie integraal. Documentatie hoe de Charliecard gekloond kan worden en hoe de software tot stand kwam om kaarten te vervalsen met een tegoed tot 655,36 dollar, is eveneens openbaar gemaakt. Ook de benodigde software mocht van de rechter niet publiekelijk worden gemaakt: de universiteit heeft de broncode van de tools conform de eis van zijn website verwijderd.

De drie studenten, Russell Ryan, Zack Anderson en Alessandro Chiesa, worden vertegenwoordigd door advocaten van de burgerrechtenorganisatie Electronic Frontier Foundation, die verwachten tegen de uitspraak in beroep te gaan. Volgens EFF-advocaat Kurt Opsahl tast het verbod de presentatie te geven het grondwettelijk recht op vrijheid van meningsuiting aan. Het drietal zou voorafgaand aan de Defcon-conventie contact hebben gezocht met de Mbta, maar het vervoersbedrijf zette de FBI in om de zaak te onderzoeken. De studenten zouden onder meer aangeklaagd kunnen worden wegens het hacken van computers, aangezien de Mbta claimt dat zijn gekraakte elektronische vervoerbewijzen 'computers' zijn. Overigens blijkt uit de presentatie dat niet alleen de elektronica van het Massachusetts-vervoersbedrijf te kraken is: ook de fysieke beveiliging laat op veel plaatsen te wensen over: sloten en hekken worden niet afgesloten en regelapparatuur bleek op veel plaatsen toegankelijk.

MIT Warcart
De Warcart: alle benodigdheden om het transportsysteem te kraken

Gerelateerde content

Alle gerelateerde content (27)

Reacties (67)

Toch zonde van het geld en tijd dat zo'n rechtzaak kost, alles is nu openbaar via diverse omwegen en er is meer attentie op het onderwerp gekomen door deze hele zaak.
helaas zijn veel bedrijven redelijk kortzichtig...

ze horen dat hun kaart gekraakt is en dat er een presentatie van komt.
dat houdt voor hun in dat hun klanten dan opeens allemaal gratis gaan reizen en dat ze dus inkomsten kwijtraken.....

inplaats van het probleem met de studenten op te nemen om tot een oplossing te komen, willen ze dus de drie het zwijgen opleggen.

MAAR juist door die actie komt alle aandacht naar hun systeem en beveiliging, welke zoals in het artikel ook staat vermeld niet alleen zwak is in de mifarechip maar ook gewoon fysiek aan alle kanten rammelt, waardoor ze dus juist meer inkomsten gaan kwijt raken omdat iedereen nu de zwakke plekken kent en ook gewoon toegang toe heeft

een stuk software card reader en blanco kaarten zie ik de normale consument niet even aanschaffen/downloaden om even vervoersbewijzen te gaan clonen en hacken...


aan de andere kant is deze publiciteit voor de studenten zelf wel erg goed, ook al is de rede negatief, grote amerikaanse software/beveiligings bedrijven hebben nu hun ogen op hun gericht om tijdens/na hun studie die gasten te sponsoren/baan aanbieden....

[Reactie gewijzigd door WPN op 10 augustus 2008 14:59]

inplaats van het probleem met de studenten op te nemen om tot een oplossing te komen, willen ze dus de drie het zwijgen opleggen.
Dat weet we dus niet. Misschien heeft het bedrijf het wel geprobeerd, misschien hebben de studenten helemaal geen actie genomen voor een gezamenlijke oplossing.

Zoals het nu is gegaan, hebben de studenten alles zo snel mogelijk gepubliceerd, alsof ze bang waren dat iemand anders met zo'n primeur aan de haal zou zijn gegaan. Als ze eerst contact met het bedrijf zouden hebben gehad en het bedrijf reageerde niet of bagetelliseerde het, dan zouden ze dat zeker gemeld hebben. Dat hoor je ook van andere vinders van kritieke lekken/bugs, als bijv. MS of Cisco e.d. na een half jaar niets aan de gevonden lek doen. Dus ik plaats mijn kanttekeningen bij het gedrag van deze studenten.

Door zo'n "ontdekking" publiek maken krijgen ze hun "15 minutes of fame" en zetten ze even hun naam op de wereldkaart (en CV).
[...]

Dat weet we dus niet. Misschien heeft het bedrijf het wel geprobeerd, misschien hebben de studenten helemaal geen actie genomen voor een gezamenlijke oplossing.
Dat weten wij dus wel. Uit de tekst:
Het drietal zou voorafgaand aan de Defcon-conventie contact hebben gezocht met de Mbta, maar het vervoersbedrijf zette de FBI in om de zaak te onderzoeken.
Dom van dat bedrijf. Als er in de toekomst weer eens zoiets speelt zal men niet eerst contact zoeken maar het direct publiceren.
Of mensen zullen denken: Als ik dit bekend maak krijg ik de FBI achter me aan, laat ik het maar geheim houden.
Waar zie je dat de FBI hier iets mee doet?
een stuk software card reader en blanco kaarten zie ik de normale consument niet even aanschaffen/downloaden om even vervoersbewijzen te gaan clonen en hacken...
Ga 's met een paar mensen van Fontys Eindhoven praten. Ze hebben daar ondertussen wat meer ervaring met het onderschatten "normale consumenten".
Vertel daar maar 's wat meer over. Wat heb ik gemist? :P
een stuk software card reader en blanco kaarten zie ik de normale consument niet even aanschaffen/downloaden om even vervoersbewijzen te gaan clonen en hacken...
Mwah kweeniet hoor, maar die readers heb ik hier liggen, kaarten ook (en als ze op raken zijn ze retegoedkoop te krijgen). Daarna is 't voor mij een kwestie van een kaart opladen tot $655.35 (heh, duidelijk hoe dat werkt) en 'm voor $100 ofzo verkopen aan de 'normale' consument.
MAAR juist door die actie komt alle aandacht naar hun systeem en beveiliging, welke zoals in het artikel ook staat vermeld niet alleen zwak is in de mifarechip maar ook gewoon fysiek aan alle kanten rammelt, waardoor ze dus juist meer inkomsten gaan kwijt raken omdat iedereen nu de zwakke plekken kent en ook gewoon toegang toe heeft
Hiervan zijn wel meer voorbeelden te vinden. Het heeft zelfs een naam: http://en.wikipedia.org/wiki/Streisand_effect
Lol, die WalCart is wel een beeeeetje overdone, vooral die speaker is natuurlijk ideaal, even de tune van The A-Team terwijl je de metrohal binnenkomt :D 8-)
Bij "intimidating music" dacht ik eerder aan "Die Walküre" van Richard Wagner :)
Ik zat zelf meer te denken aan "RFID Song" van monochrom, zeer toepasselijk: http://www.monochrom.at/rfid/
offtopic:
Omdat deze chip natuurlijk een rfid chip is ;)

[Reactie gewijzigd door Plofkotje op 10 augustus 2008 18:54]

Terecht verboden mijns insziens. De genoemde studenten zouden op andermans onderzoek naam hebben gemaakt, richting plagiaat.

(edit)
Ik doelde inderdaad meer op het voortborduren van het onderzoek uit Duitsland (Frauenhofer dacht ik?) + Radboud, zoals TD-er in 2de alinea aanhaalt. De reden van verbieden is dan ook niet de grond waar ik mijn (wellicht ongenuanceerde) uitspraak doe. Lauweren oogsten met het voorwerk van anderen vind ik niet zo fraai, vandaar.

Plagiaat is dan wel iets te sterk verwoord dan het voortborduren is.
(/edit)

[Reactie gewijzigd door Toontje_78 op 10 augustus 2008 14:50]

Waar basseer je dit op? Misschien waren ze hier tegelijkertijd met de mensen van de Radbout Uni. mee bezig hebben ze alleen een andere manier van publiceren (die toevallig later is).
Even aangenomen dat wat je zegt ook waar is, dan zou het dus onder die noemer verboden moeten worden en niet omdat de bedrijven die die techniek gebruiken bang zijn voor extra kosten.
Dus zelfs als jouw statement omtrend plagiaat stand houdt, dan is het dus niet terecht verboden.

Ik vermoed echter dat ze gewoon eerder onderzoek gebruikt hebben om deze chip te hacken. Het is dan mischien een stuk makkelijker door dat eerdere onderzoek, maar dat maakt het nog niet meteen plagiaat.
Daarnaast waren die onderzoeken openbaar gemaakt voor het publiek (en royalty free?).

Indien er spraken was van plagiaat, dan was het de taak van de originele onderzoeker een rechtzaak in te spannen en niet de taak van het bedrijf omdat die laatstgenoemde niet de rechten bezit op het werk van het vorige onderzoek. Deze zaak heeft niets met plagiaat te maken en iedereen die het tegendeel beweert is een idioot.

Deze zaak is dan ook aangespannen uit vrees dat men deze techniek zou toepassen voor fraude en dat het bedrijf (enorme) bedragen zou mislopen.
Wat loop je te blaten, je hebt duidelijk niet eens de moeite genomen de presentatie te bekijken. Hun onderzoek gaat maar voor een zeer klein deel over hetgeen eerder door anderen onderzocht is. Verder is de crypt 1 loop bijvoorbeeld gekraakt bij de Virginia Tech University. Het gaat vooral ook over hoe slecht heel het randgebeuren is beveiligd. Dus gaarne eerst de presentatie bekijken voor zulk soort onzin uit te kramen.

Afgezien daarvan is het in de wetenschappelijke wereld gebruikelijk onderzoeksresultaten te delen, niet om je resultaten zo geheim mogelijk te houden. Wat jij plagiaat noemt - zoals de BSA, RIAA en MPAA jou graag indoctrineren, heet in de wetenschappelijke wereld 'samenwerken' (zoek maar op in je woordenboek wat dat is). Resultaten niet delen is precies wat de veiligheidsonderzoekers niet willen; ze willen dat alles zo publiek mogelijk wordt.
Bovendien, zolang je je referenties op orde hebt is het al helemaal geen plagiaat. Ik heb de presentatie niet bekeken maar gok dat dat wel op orde is. Elkaars experimenten nadoen en dan resultaten vergelijken is juist gewenst in de wetenschappelijke wereld. Een soort onafhankelijke check.
Ze geven in de presentatie duidelijk credit aan Karsten Nohl @ Virginia Tech voor de beschrijving van Crypto-1 (de cipher die gebruikt word op de Mifare kaarten).
Standing on the shoulders of giants? Ooit wel eens gehoord?

Het hele idee van wetenschap is dat persoon A iets bedenkt, persoon B dat toepast op een probleem en persoon C bedenkt dat het ook beter kan waardoor persoon D het op een ander probleem kan toepassen waardoor .....

Als deze student hebben aangetoond dat het in de VS net zo slecht is beveiligd als hier in Nederland en Engeland, mogen ze daar best een presentatie over geven. Mits met de correcte bronvermelding natuurlijk.
Het lijkt me dat het vervoersbedrijf nu wel naar een oplossing moet gaan kijken want vroeg of laat wordt deze hack wel gebruikt.
Bwa, nu zijn er ook zwartrijders zelfs met het gebruik van dit systeem, het is dan ook eerder een kwestie van hoeveel. Zelfs bij publicatie lijkt het nog vrij klein want niet iedereen heeft de kennis om die hack's toe te passen.

Het grootste gevaar zou zijn dat er een iemand een extra centje bij verdiend door het te verkopen van illegale kaartjes.
Die rechter wil zeker wat publiciteit genereren voor dit soort problematiek, prima gelukt zo!
De studenten zouden onder meer aangeklaagd kunnen worden wegens het hacken van computers, aangezien de Mbta claimt dat zijn gekraakte elektronische vervoerbewijzen 'computers' zijn.
Haha! De manieren waarop sommige organisaties hun gelijk moeten krijgen. En dan ook nog een rechter die dit gelooft? In plaats van de echte verantwoordelijkheden aan te pakken, moeten deze studenten natuurlijk eerst helemaal verguisd worden. Misschien een idee om ze op te pakken voor terrorisme....
Misschien een idee om ze op te pakken voor terrorisme....
Misschien gebeurd dat nog. De FBI was ermee bezig. :/

Maar het is toch gek dat het publiceren van onderzoek verboden wordt, 'omdat het schadelijk is voor een bedrijf'. :(
Zo krijg je later niet te horen over de restulaten van:
-onderzoek naar GSM straling
-onderzoek naar luchtvervuiling
-onderzoek naar schone energie
-etc

Als het elk bedrijf lukt om negatieve onderzoeken niet te laten vrijkomen, hoe kan de burger zich objectief een keuze te laten maken :?

Gelukkig (hopelijk) is de rechter hier een beetje te laat mee, aangezien het onderzoek al op verschillende manieren gepubliceerd is :)
En als Defcon ook hun DVD niet (kan) aanpassen, weet alsnog iedereen het.
en de sourcecode is ook makkelijk 'per ongeluk' op torrentsites te plaatsen
Als Defcon de cd niet kan aanpassen denk ik eerlijk gezegd dat betreffende cd niet verspreid gaat worden, om toekomstige rechtzaken te vermeiden..

(edit)
Alcari, ik bedoelde hiermee dat de organisatie, na het verbod opgelegd door de rechter aan de auteurs, waarschijnlijk liever de mogelijke miljoenenclaims en miljoenen kostende rechtzaken ontloopt door een oplage al geperste cd's niet uit te delen, dan recht in de muil v/d leeuw te lopen. Het gaat wel te vinden zijn, daar twijfel ik niet aan.
(/edit)

[Reactie gewijzigd door Toontje_78 op 10 augustus 2008 15:57]

Uhh...
Net zoals er geen kinderporno op internet aangeboden wordt?
(nee, ik zeg niet dat ze hetzelfde zijn)

Als je weet waar je moet zoeken is het vast wel te vinden. Tuurlijk, het zal niet op google komen onder "Software smart-card hack", maar denken dat iets niet beschikbaar is omdat het illegaal is vind ik een beetje naief.

Minder verspreid misschien, maar de mensen die het willen hebben vinden het wel.
nou heb even gezocht op: "Software smart-card hack"
wat staat er bovenaan?
nieuws: Rechter verbiedt Defcon-keynote over smartcard-hack ;)

oke het staat niet onder "Software smart-card hack" maar je komt dus wel uit bij een andere vage computersite waar mensen gevaarlijke informatie kunne verwerven.

dus tweakers heeft binekort een bezoekje van de FBI :Y)

[Reactie gewijzigd door Toettoetdaan op 10 augustus 2008 17:51]

En dan ook nog een rechter die dit gelooft?
Geloven of niet, in de VS heb je de DMCA, die het verbied zelfs maar onderzoek te doen naar het verbreken van cryptografie die toegepast wordt in huidige beveiligingen. Met die DMCA kreeg men het ook voor elkaar DVDJon te verbieden zijn programmaatjes te verspreiden, terwijl DVD's ook geen computers zijn.

[Reactie gewijzigd door kidde op 10 augustus 2008 14:58]

[...]


Met die DMCA kreeg men het ook voor elkaar DVDJon te verbieden zijn programmaatjes te verspreiden, terwijl DVD's ook geen computers zijn.
Ik heb anders nog voldoende bronnen waar de broncode (en, als je wat verder zoekt, pre-compiled binaires) van DeCSS kan halen. Tot zover gaat het verspreiden nog steeds door.

Om (als je in Amerika woont) de DMCA te omzeilen moet je dan ook twee dingen doen: anoniem werken en software publiceren vanuit een land waar de DMCA niet telt. Voordeel van open-source is juist dat als ze je 'pakken' dat de software (en het idee achter de software) gewoon door blijft bestaan.

Als iets eenmaal op internet staat, blijft het ook op internet staan.
Deze uitspraak verbaast mij zeer, ik had toch verwacht dat dit onder de freedom of speech zou vallen, zeker in Amerika...
Freedom of speech bestaat al lang niet meer in de states.
Dat is wel het meest absurde wat ik afgelopen tijd gehoord heb. Wat dacht je van de US constitution? Ik wist niet dat ie afgelopen paar weken veranderd was.
Nee, het is weer meer van hetzelfde, als we het verbieden hoeven wij het niet op te lossen want dan weet het publiek het niet, dat de boel aan alle kanten rammelt. De bekende struisvogelpolitiek en boomstamverstoppertje politiek. Als ik achter dat wilgentakje ga staan van 2 cm dik, terwijl ik 1,20meter breed ben dan zie je me niet omdat ik erachter sta.
En vervolgens gaat één of andere echte crimineel met het spul aan het spelen, ontdekt hoe de boel gehackt kan worden en dan ben je pas echt ver van huis. Dan kan hij ongemerkt dus allerlei valse kaarten in omloop brengen. Dan ben je als bedrijf pas echt de klos.

Mijns inziens moet die hele Mifare Classic-rfidkaart afgeschaft worden en vervangen door een betere.
redentatie bedrijven: Wat kost het upgraden, wat zijn onze huidige kosten. Over welk termijn moeten we dit zien? Hoelang zal een upgrade ongehackt bestaan? Welk effect zal dit hebben op de klanten binding?

De antwoorden zijn over het algemeen. De kosten van een upgrade wegen niet op tegen de kosten van de zwartrijders. De veilige levensduur van nieuwe chips kunnen wel eens zodanig kort bevonden worden dat het een upgrade niet verantwoord en de klanten hebben (over het algemeen) toch geen keus. In nederland ben in je weze aangewezen op 1 vervoerder voor je bus en 1 voor je trein. (en ja er zijn meer bedrijven maar ze rijden allemaal in hun eigen regios en die overlappingsgebieden zijn niet echt boeiend (zeker niet als ze allemaal het zelfde systeem gebruiken)).
Mbta richt zijn aandacht op de verkeerde persoon. Niet de MIT-studenten zijn de boosdoeners maar de fabrikant van de chip (NXP Semiconductors). Zij hebben immers een chip op de markt gebracht waar gaten in zitten.

In NL maakt een rechtzaak hierover weinig kans omdat blijkbaar niemand NXP (het voormalige Philips Semiconductors) aan durft te klagen. Het is te hopen dat Mbta het wel aandurft. Als ze een paar studenten durven aan te pakken moet dit ook wel lukken. Ik wens ze daar veel succes mee.....

Gelukkig is publicatie over kwetsbaarheden in NL wel toegestaan door de rechter. De rechter in de USA zit er dus naast. Dat zal later in een hoger beroep ook nog wel blijken. Voorlopig gaan de publicaties dus gewoon door, en zo hoort het ook.
Het in de doofpot stoppen van dit soort belangrijke zaken waar veelal geld van de burgers voor gebruikt wordt is iets wat niet mag gebeuren.
Gelukkig is publicatie over kwetsbaarheden in NL wel toegestaan door de rechter. De rechter in de USA zit er dus naast.
Verschillende rechtsystemen, dus beide rechters kunnen gelijk hebben. Kidde hierboven heeft een stukje over DMCA incl. link.
En waarom mag je geen chip verkopen die niet veilig is? Ik neem aan dat je ook een rechtzaak wil beginnen tegen alle producenten van wifi routers?
Natuurlijk mag dat, maar als ie dan later niet veilig blijft, ben je daar wel voor verantwoordelijk. Net zoals die fabrikant van ondeugedelijke banden in de US en er zullen er vast wel meer zijn.
Maar er is wel een groot verschil tussen een chip die te kraken is, en een band die ondeugelijk is...
wat een onzin zeg, jij gaat bepalen dat de rechter fout is? 's lands wijs, 's lands eer. Verder is het niet zo dat de mifare chip slecht is. Het probleem is dat hij nou niet meer voldoet. Als jij nu een 2048-bits RSA key gebruikt, dan is je systeem nu veilig. Maar gegarandeerd, over een x aantal jaren is die net zo lek. Beveiligingen zijn maar tijdelijk. En bedenk ook dat er niet (alleen? :P ) idioten werken bij de bedrijven die het implementeren. Die mensen hadden zelf moeten zien dat het niet goed was. En nee, het is niet netjes van NXP om het nog te verkopen, maar dat is de vrije markt. De meeste bedrijven verkopen alleen maar solutions waarin ze zelf geloven (dat zeggen ze in iedere geval ;) ) Dus je moet niet oordelen over een rechter van een land dat jij naar alle waarschijnlijkheid alleen maar kent van TV, in ieder geval niet zoals een (ex-)inwoner.

Op dit item kan niet meer gereageerd worden.