Rechter heft publicatieverbod 'metrohack' MIT-studenten op

Een rechtbank in Boston heeft besloten het verbod op te heffen op publicatie over een kraakmethode voor smartcards, die door vervoersbedrijf Mbta wordt gebruikt. MIT-studenten hadden de hack begin augustus op Defcon uit de doeken willen doen.

De verwachting was dat de rechtszaak hoofdzakelijk om het recht op vrijheid van meningsuiting zou draaien, schrijft Cnet. In plaats daarvan verwees de rechter het eerdere vonnis naar de prullenbak omdat de aanklacht, op grond van schending van de Computer Fraud and Abuse Act, volgens hem geen stand hield. De rechter concludeerde dat de presentatie van de studenten geen verkeer tussen computers behelst, waarmee er van schending van de antihackwet geen sprake kan zijn. Bovendien is de claim van Mbta dat er voor minstens vijfduizend dollar schade aan het vervoerssysteem is toegebracht, niet bewezen. De advocaten van de vervoerder slaagden er niet in om de rechter te overtuigen dat de studenten de wet hadden overtreden. Daarmee is een publicatieverbod tot 1 januari 2009 van de baan.

Charlieticket De presentatie over de zogeheten Charliecard was al wel door de universiteitskrant van het MIT gepubliceerd. Het document beschrijft hoe de kaart kan worden gekloond en hoe de software in elkaar steekt om kaarten met een tegoed tot 655,36 dollar te kunnen vervalsen. Wel verwijderde de universiteit de broncode van deze software na de eerdere uitspraak. Het is onduidelijk of deze weer zal worden teruggezet; tot op heden lijkt dat nog niet te zijn gebeurd.

De advocaten van de studenten, afkomstig van het juridische team van de Electronic Frontier Foundation, toonden zich ingenomen met de uitspraak. Het eerdere vonnis was volgens hen een duidelijke zaak van shooting the messenger. De Mbta stelde zich op zijn beurt verzoenend op. "We hebben nu veel meer informatie over de hack, en daarmee is wat ons betreft een belangrijke doelstelling behaald", aldus Mbta-baas Daniel Grauskas. Hij hoopt dat de studenten snel met hem om de tafel gaan zitten om over hun bevindingen te praten, en verwacht dat zij zullen handelen volgens de principes van 'verantwoorde openbaarmaking'. De Charliecard maakt overigens gebruik van dezelfde Mifare Classic-chip die in Nederland onder vuur is komen te liggen.

IT-banen

Reacties (33)

Webgnome 20 augustus 2008 10:21

Gelukkig wordt het verbod van publicatie nu opgeheven. Dit betekent dat er nu dus ook officieel over geblaat mag worden. Ik denk dat het juist goed is dat studenten dit soort dingen doen zodat de 'gevestigde' bedrijven altijd scherp blijven.

Aan de andere kant is het natuurlijk ook weer zo. Hoeveel mensen zijn er daadwerkelijk die misbruik zullen gaan maken van dit systeem? Denk bijvoorbeeld aan het gedoe met de ov-chipkaart. Dat het gekraakt is is natuurlijk erg maar ik denk niet dat het gros van de gebruikers van de metro hier ook daadwerkelijk iets mee zullen gaan doen omdat het of teveel werk of te duur of te technisch is.

[Reactie gewijzigd door Webgnome op 24 juli 2024 05:18]

Verwijderd @Webgnome • 20 augustus 2008 10:26

Er zal ongetwijfeld iemand komen die een makkelijk te gebruiken gratis reizen applicatie ontwikkeld die op een laptop en/of smartphone draait. En dan zullen heel veel mensen het gaan gebruiken.

nhbergboer @Webgnome • 20 augustus 2008 10:31

Ik zie best een toepassing voor een 25-Euro schrijver voor de chipkaart; wil je reizen, en kost dat 45 Euro, dan klik je hem er twee keer in (en houd je 5 Euro voor de bus over).

Dat klopt natuurlijk moreel van geen kant, maar ik zie dat soort dingen wel gebeuren (op eBay bijvoorbeeld).

tinus73 @Webgnome • 20 augustus 2008 11:14

Aan de andere kant is het natuurlijk ook weer zo. Hoeveel mensen zijn er daadwerkelijk die misbruik zullen gaan maken van dit systeem? Denk bijvoorbeeld aan het gedoe met de ov-chipkaart. Dat het gekraakt is is natuurlijk erg maar ik denk niet dat het gros van de gebruikers van de metro hier ook daadwerkelijk iets mee zullen gaan doen omdat het of teveel werk of te duur of te technisch is.

Volgens mij dacht men destijds ook zo over MP3's.
Maar aangezien OV gefinancierd wordt door ons allemaal is iedereen wel weer erg gehaaid hierop....van de andere kant pleit dit wellicht voor gratis OV .

corné 20 augustus 2008 10:17

Gaat lekker met al die smartcards. Ben benieuwd welk bedrijf nu nog in zee durft te gaan met Mifare.

_JGC_ @corné • 20 augustus 2008 10:28

Enige wat je ze kunt aanrekenen is dat ze nog steeds achterhaalde beveiligingsoplossingen verkopen. Ze hebben naast de gewraakte chips ook beter beveilgde versies in het assortiment, maar die koopt blijkbaar niemand omdat de slechte versie gewoon veel goedkoper is. Je zou eerder de bedrijven moeten schoppen die gekozen hebben voor de Mifare classic als "beveiliging"

Je kunt een compleet bedrijf wel afrekenen op 1 produkt, maar waarom zou je dat doen? Microsoft heeft ook ooit Windows 95, 98 en ME gemaakt, maar dat heeft niks te maken met de betrouwbaarheid van Vista of XP.

miw @_JGC_ • 20 augustus 2008 11:10

In dit geval is er dus niets aan de hand. De vervoersbedrijven maken een keuze voor een stukje hardware. Dat doen ze op basis van bepaalde technische een zakelijke argumenten. De hack benadeelt uitsluitend die vervoersbedrijven en niet de consument. Het risico blijft dus geheel bij het vervoersbedrijf die ook de keuze voor de technologie hebben gemaakt. Ik zie niet in waarom welk bedrijf dan ook een schop zou moeten krijgen.

Moartn @corné • 20 augustus 2008 10:27

Dat bedrijven constant kiezen voor de oudste (maar daarom ook goedkoopste) chip van Mifare, kan Mifare toch niets aan doen? Ze hebben afaik ook zat moderne oplossingen in hun assortiment die wel veilig genoeg zijn.

Of dit trouwens ook in Boston zo gegaan is, is maar de vraag trouwens: als dit systeem al 10 jaar of meer draait, is het niet zo gek dat de Mifare Classic-chip wordt gebruikt, want die was toen modern en veilig.

Nico de Vries

@Moartn • 20 augustus 2008 10:38

Dar kan Mifare wel degelijk wat aan doen. Als het product niet goed werkt kunnen ze bijvorbeeld stoppen het te verkopen of het vervangen door iets wat wel goed werkt.

Moartn @Nico de Vries • 20 augustus 2008 10:42

Dat ligt er maar net aan hoe je "niet goed werkt" definiteert. Ik denk dat die Mifare Classic chip prima voldoet in veel toepassingen waar de beveiliging niet op zo'n hoog niveau hoeft te liggen als bij een OV-chip.

Verwijderd @Moartn • 20 augustus 2008 11:09

ze overdrijven met de beveiliging op OV-chips.... de normale ouderwetse OV-kaart werd ook vaak vervalst. En de strippenkaart kan je met een beetje een goede drukker en het juiste papier ook redelijk op echt laten lijken. Een buschaffeur ziet in het donker en in de snelheid toch niet of het echt of vals is en dat is zijn taak ook niet, dat is de taak van de controleurs die 1 keer in de zoveel tijd de bus binnen stappen. Het lijkt mij logisch dat een OV-chip kaart ook door controleurs gecheckt kan worden dmv contact met een server. Ik weet de preciese werking van zo'n kaart niet, maar kan me voorstellen dat als 1000 mensen met eenzelfde ID rondlopen, dat zoiets gaat opvallen.

Zoals gezegd, de details ken ik niet, maar wat betreft de OV beveiliging lijken er wel een stel mastruberende apen (in Linus zijn terminologie) rond te lopen. Ik zou dus zeggen dat die kaart gewoon ingevoerd wordt. Het is een OV-kaart !!! geen kredietkaart, chipknip of een bankrekening die gekraakt wordt.... het enige wat je kunt bereiken is gratis reizen.

PPie @Verwijderd • 20 augustus 2008 11:24

Als je een kopie maakt van een strippenkaart benadeel je de vervoersbedrijven.
Als je echter een kopie maakt van een OV kaart kun je op kosten van een andere klant reizen. Ik denk dat klanten daar minder blij mee zijn...

ATS @PPie • 20 augustus 2008 11:45

Precies: en bovendien is het wél een soort kredietkaart, omdat hij weldegelijk aan een bankrekening gekoppeld is of kan zijn. Heel fijn als een ander op jouw kosten blijkt te gaan reizen.

Verwijderd @PPie • 20 augustus 2008 13:41

Je gebruikt op dat moment dan de identiteit van een ander persoon. Dit kan verzekerd worden door het vervoersbedrijf. Op het moment dat het de klant opvalt dat er gebruik is gemaakt van zijn ID dient deze dat te melden bij het vervoersbedrijf en krijgt de klant de betreffende kosten weer terug. Bovendien krijgt de klant een nieuw ID (eventueel dus een nieuwe kaart) en wordt het oude ID gemarkeerd als 'hacked'. De kraker van de pas die dit ID dus gebruikt kan op dat moment dus zeer snel gegrepen worden (en dat geeft dan een lekker gevoel bij het reizen .... heb je eerst een kaart moeten hakken voor bijvoorbeeld 50 euro en dan loop je ook nog een groot risico om gepakt te worden (ik denk zelfs een groter risico als bij het kopieren van een strippenkaart))

Bovendien zou het systeem eenvoudig uitgebreid kunnen worden met een pincode van bijv 2 cijfers.

@ATS. Ik ben het met je eens dat het niet prettig is als iemand anders op jou kosten gaat lopen reizen, maar hoeveel mensen op de wereld hebben er een kredietkaart en hoe lek is dat systeem dan? waarschijnlijk heb je er zelf ook 1 ?

san070 @PPie • 20 augustus 2008 14:09

Voor zover ik begrijp, laad je een bepaald bedrag op je OV-chipkaart. Net als op een chipknip. Als iemand van jouw kaart met 50 Euro een kopie maakt, wordt er niet nog eens 50 Euro van je rekening afgetrokken, er is alleen uit het niets 50 Euro op de wereld verschenen. Niets anders dan dat er gebeurt met het drukken van vals geld.

HellPunk @PPie • 21 augustus 2008 08:27

Als je de vervoersbedrijven benadeelt komt dat ook bij de klanten terecht, zij het dan onrechtstreeks in de vorm van een prijsverhoging.

PowerFlower @Verwijderd • 20 augustus 2008 14:31

Bij de strippenkaart is heel makkelijk te zien of hij vals is of niet, ook door een buschauffeur. De inkt van de stempel verkleurt namelijk alleen op een échte strippenkaart. Let de volgende keer dat je stempelt maar eens op.

grun93 @PowerFlower • 20 augustus 2008 14:55

Hoe herken je dan een ongebruikte valse strippenkaart?

Verwijderd @grun93 • 21 augustus 2008 10:48

dit hoeft ook niet, vanaf je de kaart wilt gebruiken ben je strafbaar.

ik mag een valse strippenkaart bezitten, maar niet gebruiken (want dan reis ik met een vervalst vervoersbewijs)

jij mag een nep-rijbewijs hebben.
maar je mag hier niet mee rijden

zoiets ongeveer

Punksmurf @grun93 • 21 augustus 2008 10:56

Aan dat hologramrandje misschien? Maar het idee is natuurlijk vooral dat je bij gebruik door de mand valt.

TtL8e7ay @Moartn • 20 augustus 2008 11:03

Bovendien biedt Mifare al tijden lang een veiligere chip aan die een paar dubbeltjes duurder is. Mifare is hier niet de schuldige.

Ik heb het document (presentatiesheets) uit het artikel gelezen en kan vermelden dat ook de Nederlandse OV-Chip erin wordt genoemd. Sowieso erg leuk om eens te lezen.

GENETX @Nico de Vries • 20 augustus 2008 12:34

Dat gaat niet zo makkelijk: Wat verkoop je dan aan de klanten die de oudere chip al een hele tijd hebben geïmplementeerd en niet even 123 over willen stappen? Die kunnen dan blijkbaar ook geen oude versie meer krijgen die met hun systeem werkt...

Nee, het is de schuld van de klanten die de oudere versie kopen. Het is al lang dduidelijk geweest dat NXP de goedkope versie heeft afgeraden voor het OV. Toch, omdat we Nederlanders zijn, gaan we voor de goedkoopste

mae-t.net @Nico de Vries • 20 augustus 2008 16:01

Ze nemen bij de bouwmarkt toch ook geen deurkrukken zonder slotcylinder uit de handel omdat de uitvoeringen met slotcylinder veiliger zijn?

Stevie-P @corné • 20 augustus 2008 10:30

Mifare is de naam van de chip, ze zijn ontwikkeld door NXP. NXP maakt ook veilige chips (EAL 4+ vertified) maar deze kosten ook meer.

[Reactie gewijzigd door Stevie-P op 24 juli 2024 05:18]

Verwijderd 20 augustus 2008 10:32

Hoeveel mensen zijn er dadawerkelijk die misbruik zullen gaan maken van dit systeem?

Ik denk dat dat wel meevalt, er zijn, waarschijnlijk, maar weinig mensen die daadwerkelijk snappen waar dit in hemelsnaam om gaat. Wellicht een *evil* student van een of andere TU die het zal exploiteren als broodwinning, maar dat zal geen lang leven beschoren zijn...

Pumbaa82 @Verwijderd • 20 augustus 2008 10:53

Net zoals de twilight cd's, satteliet kaartjes en omgebouwde game consoles ?

Ik denk niet dat het gaat om het snappen ervan, maar het bemachtigen ervan.
Het zal niet bij een evil student van een of andere TU blijven, maar het lijkt me ook snel doorstromen naar dat handige neefje en vervolgens naar die oom en die geeft het weer door naar .... etc. En vervolgens verspreiden die weer van die kaartjes.
Ik denk dat er meer lol en uitdaging in zit om zo'n pasje te kraken dan het vervalsen van een papieren bus/trein kaart.

Afgezien van het feit of het kaartje wel of niet veilig is.
Ik snap de drang niet om naar zo'n systeem toe te willen, hiephoi we zijn modern en technisch bezig ?
OV chipkaart hier in NL vindt ik ook een bezopen idee, allemaal geldverspilling (en milieu verontreiniging) voor niks beter.
Want op dit moment kan je gewoon in elke bus met een buskaart betalen. (In Hermes bussen zelfs met het al bestaande chipknip (voor de kosten van een vooraf gekochte kaart))

Ow en nog minder sociaal contact met elkaar, nog meer 'ik op mijn eigen' cultuur promotie.
Voor treinen koop je ook gewoon een kaartje op het station en dat gaat ook goed.

[Reactie gewijzigd door Pumbaa82 op 24 juli 2024 05:18]

roller12358 @Pumbaa82 • 20 augustus 2008 23:28

Ik heb gelezen had dat het de bedoeling is dat naast het saldo op de kaart ook alle reisbewegingen van de reiziger vast te leggen. En dat is ongetwijfeld erg interessant.

Dat maakt het overhandigen van allerlei aanvullende informatie van al die terroristen in Nederland aan vreemde mogendheden een stuk simpeler.
Kijk dus niet vreemd op als je ineens in Bulgarije in de bajes zit, dan heeft er waarschijnlijk een terrorist jouw kaartnummer gebruikt

Of was het nu om te zorgen dat de partners van de OV bedrijven jouw gepaste commerciële aanbiedingen kunnen doen.

Of was het nu om te zorgen dat de OV bedrijven de verkeersbewegingen tot in detail kunnen analyseren.

Ik weet het niet meer...

Ik ben ook heel nieuwgierig of er ook "wegwerpkaarten" komen voor toeristen en mensen die net als ik 1 keer per jaar met het openbaar vervoer reizen. Daar ga ik toch geen ongetwijfeld dure OV kaart voor kopen.

http://tweakers.net/nieuw...en-worden-uitgelezen.html

[Reactie gewijzigd door roller12358 op 24 juli 2024 05:18]

Het.Draakje @Verwijderd • 20 augustus 2008 11:02

Dat korte leven valt wel mee denk ik.

Volgens mij is het zwartrijden best wel een kostenpost. Strippenkaarten worden afgedekt met plakband/lijm/gekopieerd.

Kreeg laatst een buskaartje aangeboden. Hij was nog niet verlopen en de uitstappende passagier vond dat zo zonde van de hele euro dus die wou ze nog even kwijt. Ik heb zelf een abonnement, maar zij was haar kaartje toch zo kwijt in de rij.

Aangezien gratis altijd goedkoper is, is er vraag naar.

Omdat de menselijke controle grotendeels wegvalt (wapper dat ding even richting een apparaat en iedereen gelooft dat je betaald hebt) is de pakkans kleiner dan nu.

Als het niet al te duur is en redelijk simpel, dan zie ik een heel grote markt. Zeker omdat de hardware (card-writer) legaal is.

Voor de zekerheid heb ik mijn kaarten maar in een aluminmum doosje opgeborgen. Ik wil niet dat men mij kaart scant en ik 's avonds laat met een geblokkeerde kaart op het perron (of ervoor) sta.

Neus 20 augustus 2008 10:42

Hij hoopt dat de studenten snel met hem om de tafel gaan zitten om over hun bevindingen te praten, en verwacht dat zij zullen handelen volgens de principes van 'verantwoorde openbaarmaking'

Lijkt mij dat ze na deze rechtzaak daar weinig zin in hebben en dat Mbta in zijn sop gaar kan koken.

buzzin @Neus • 21 augustus 2008 10:06

Lijkt mij ook ja.
Eerst monddood proberen te maken en zelfs proberen te bewijzen dat het criminelen zijn, en als dat niet lukt, ze manen om maar met ze te gaan praten omdat dat 'verantwoord' zou zijn.....

Ze hadden natuurlijk ook EERST kunnen praten....maar ja, daar zit geen enkel bedrijf op te wachten, alles meteen maar kapot procederen en vooral niet kijken hoe je zelf iets kan verbeteren (zoals bijvoorbeeld MPAA en RIAA doen)