매사추세츠 만 교통국 대 앤더슨 사건

Massachusetts Bay Transportation Authority v. Anderson
매사추세츠 만 교통국 대 앤더슨 사건
District-Massachusetts.gif
코트미국 매사추세츠 지방 법원
전체 케이스 이름매사추세츠 베이 교통국 대 잭 앤더슨 사건, RJ 라이언, 알레산드로 치에사, 매사추세츠 공과대학교 사건
결정했다2008년 8월 19일 (2008-08-19)
사례 이력
이전 작업2008년 8월 9일 (2008-08-09) 민사소송 제08-11364-GAO 허가된 가처분.
사례의견
판사는 MBTA의 가처분 연장 요청을 기각
법원회원권
판사석조지 A. 오툴 주니어[1]
키워드

매사추세츠 베이 교통국 앤더슨 사건(MBTA) 08-11364호)은 매사추세츠 베이 교통국(MBTA)이 MBTA의 찰리 카드 자동 운임에서 발견한 보안 취약점을 공개적으로 제시하지 못하도록 한 도전이었다.징수 제도이 사례는 컴퓨터 보안 결함의 공개미국 수정헌법 제1조에 의해 보호되는 표현의 자유에 관한 것이다.

MBTA는 MIT 학생들이 컴퓨터 사기남용에 관한 법률(CFAA)을 위반했다고 주장했으며, 2008년 8월 9일, MBTA의 교통요금 편취에 이용될 가능성이 있는 정보를 DEFCON 회의 참석자들에게 제시하지 못하도록 하기 위해 학생들을 상대로 임시 접근금지 명령(TRO)을 내렸다고 주장했다.MIT 학생들은 출판 전에 정부 기관의 검토와 승인을 받기 위해 그들의 연구를 제출하는 것은 헌법에 위배되는 사전 구속이라고 MIT 학생들은 그들의 연구를 출판하기 전에 정부 기관에 제출하는 것은 위헌적인 사전 구속이라고 주장했다.

이 사건은 가처분 신청이 본의 아니게 스트레이산드 효과의 희생양이 되었을 때 상당한 대중과 언론의 주목을 받았으며, 이 슬라이드가 가처분 신청 전 몇 주 동안 모두 회의 주최 측에 배포되었고 또한 채택되지 않았기 때문에 학생들의 발표의 민감한 정보의 배포를 증가시켰다.Tly는 MBTA의 원래 불평에 대한 전시물로 지방 법원 공공 웹사이트에 게시했다.

8월 19일, 판사는 접근 금지 명령을 연장해 달라는 MBTA의 요청을 기각했고 TRO도 마찬가지로 만료되어 학생들에게 토론과 발표 권한을 부여했다.[2]

배경

2007년 12월, NXPMIFARE 세트비접촉식 전자카드 시스템에서 구현된 특정 보안 체계의 취약한 암호화 및 기타 취약성에 관한 주의사항이 카스텐[3] 노엘과 헨리크 플로츠에 의해 별도로 발표되었다.[4][5]2008년 3월, 신문과 컴퓨터 무역 저널에 취약성에 관한 기사가 실렸다.[6][7]MIFARE Classic 칩에 초점을 맞춘 비교 가능한 독립적인 암호 분석Radboud University Nijmegen에서 수행되었다.3월 7일 과학자들은 값비싼 장비를 사용하지 않고도 RFID 카드에서 암호키를 복구할 수 있었다.[8]책임 있는 공개와 관련하여, Radboud University Nijmegen은 6개월 후에 이 기사를[9] 발표했다.NXP는 예비 가처분 신청을 통해 두 번째 기사의 발행을 중단하려고 했다.네덜란드에서, 판사는 7월 18일 이 과학 기사를 출판하는 것은 표현의 자유의 원칙에 해당하며, 민주 사회에서 과학 연구의 결과가 출판될 수 있는 것이 매우 중요하다고 판결했다.[10]

2008년 5월, MIT 학생 잭 앤더슨,[11][12] 러셀 J. 라이언,[13] 알레산드로 치사,[14] 사무엘 G.맥비티는 론 리베스트 교수의 6.857: 컴퓨터 네트워크 보안 클래스에서 MBTA의 자동 요금 징수 시스템의 약점을 보여주는 최종 논문을 발표했다.보고서는 이 값이 보안 데이터베이스가 아닌 카드에 저장돼 있고 카드의 데이터를 쉽게 읽고 덮어쓸 수 있으며 위조 방지를 위한 암호화 서명 알고리즘이 없으며 중앙집중식 카드 검증 시스템이 없다는 등 4가지 문제점을 확인했다.[15]앤더슨, 라이언, 치사는 마그스트라이프 카드의 데이터를 리버스 엔지니어링하는 방법, MIFARE 기반 찰리 카드를 깨기 위한 여러 공격, 그리고 흉폭한 힘 등을 검토 및 시연하는 DEF CON 해커 컨벤션에 "지하철 해킹의 해부: 크립토 RFID와 티켓팅 시스템의 매그스트라이프"라는 제목의 프레젠테이션을 제출했다.FPGA를 사용한 공격.[16]

브루스 슈나이어는 2008년 8월 고소장이 접수되기 전 이 문제에 대해 "이번 공격의 홍보는 NXP와 그 고객들에게는 비용이 많이 들 수 있지만 전반적으로 보안에 좋다.기업은 고객이 요구하는 만큼 보안 설계만 잘하겠다고 말했다.[17]

소송

2008년 8월 8일, MBTA는 판매업자들이 결함들을 시정하고 금전적 손해를 청구할 충분한 시간을 갖기 전까지 학생들이 그들의 연구 결과를 발표하거나 토론하지 못하도록 하기 위해 일시적인 금지 명령을 요구하는 소송을 제기했다.그 동의는 8월 9일 더글러스 P 판사에 의해 승인되었다. 우드록[18] 학생들은 예정대로 나타났지만, 그들은 그 회의에 연설하거나 발표하지 않았다.[19][20]그러나 이번 가처분 신청은 더 많은 인기와 언론의 관심을 끌었을 뿐만 아니라, 가처분 신청이 있기 전 몇 주 동안 회의 주최 측에 모두 배포되었기 때문에 (스트레이산드 효과라고 하는 것에 의해) 학생들의 발표에서의 민감한 정보가 훨씬 더 널리 퍼지게 되었다.MBTA의 원래 불평에 대한 전시물로 지방 법원 공공 웹사이트에 간접적으로 게시했다.[21][22]

그 MBTA, 그들을 대표하기 위해서는 책임 있는 공개의 규범에서 학생들은 MBTA의 결점을 보완하다 전에 충분한 정보나 시간을 제공하지 않고 학생들은 프로그램(거나 피해를 전송하려는 시도)에 손상을 일으키기를 방송했다고 주장한다고 주장했다 네덜란드 및 나이트를 점했다.전차컴퓨터 사기 남용에 관한 법률에 따라 5,000달러를 초과하는 금액의 컴퓨터.게다가, 이 손상은 공공 보건과 안전에 위협이 되고, 만약 학생들이 출석하도록 허용된다면 MBTA는 회복할 수 없는 를 입게 될 것이고, 학생들은 MBTA 재산을 개폐하고 불법으로 그들의 활동에서 이득을 얻었으며, MIT 자체는 감독하는데 소홀했다고 주장했다.MBTA에 [23]통보하는 학부생들

MIT학생들 그들을 대표하고 CFAA은"전송"광범위하게 소통의 형태로 고정 주문은 사전 억제령 학문적 연구에 대해 보호 언론 자유의 헌법 수정 제1항의 권리를 침해하는 것을 해석하면 안 될 수 있다고 주장했다 전자 프론티어 재단과 물고기&리처드슨을 잃지 않았다..[24][25]11일 저명한 컴퓨터 과학자 11명이 낸 서한은 피고인들의 주장을 뒷받침하며 "개그 명령의 전례가 연구 노력을 강화하고 학술용 컴퓨터 연구 프로그램을 약화시킬 것"이라고 주장했다.결과적으로, 우리는 법이 모호한 그늘이 우리의 정보 인프라의 핵심인 보안 기술에서 산업 연구에 기여할 수 있는 능력을 감소시킬 것을 우려한다."[26]

8월 19일, 판사는 접근 금지 명령을 연장해 달라는 MBTA의 요청을 기각했고 TRO도 마찬가지로 만료되어 학생들에게 토론과 발표 권한을 부여했다.[2]

참고 항목

참조

  1. ^ "Judges of the United States Courts - Biography of Judge George A. O'Toole, Jr". Federal Judicial Center. Archived from the original on 2008-09-21. Retrieved 2008-08-15.
  2. ^ a b Malone, Scott (2008-08-19). "Judge backs hackers in Boston subway dispute". Reuters. Retrieved 2008-08-19.
  3. ^ "Karsten Nohl webpage". University of Virginia. Retrieved 2008-08-15.
  4. ^ Plötz, Henryk; Meriac, Milosch (August 2007). "Practical RFID Attacks". Berlin, Germany: Chaos Communication Camp. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  5. ^ Courtois, Nicolas T.; Nohl, Karsten; O’Neil, Sean (April 14, 2008). "Algebraic Attacks on the Crypto-1 Stream Cipher in MiFare Classic and Oyster Cards". IACR pre-print archive. Retrieved 2008-08-15. {{cite journal}}:Cite 저널은 필요로 한다. journal=(도움말)
  6. ^ "Group Demonstrates Security Hole in World's Most Popular Smartcard". UVA Today. February 26, 2008. Archived from the original on August 5, 2012. Retrieved 2008-08-15.
  7. ^ Dayal, Geeta (March 19, 2008). "How they hacked it: The MiFare RFID crack explained : A look at the research behind the chip compromise". Computerworld. Retrieved 2008-08-15.
  8. ^ "Scientists of the Radboud University Nijmegen break the security of the MIFARE Classic cards" (PDF).
  9. ^ Garcia, Flavio D.; Gerhard de Koning Gans; Ruben Muijrers; Peter van Rossum, Roel Verdult; Ronny Wichers Schreur; Bart Jacobs (2008-10-04). "Dismantling MIFARE Classic" (PDF). 13th European Symposium on Research in Computer Security (ESORICS 2008), LNCS, Springer.
  10. ^ Arnhem Court Judge Services (2008-07-18). "Pronunciation, Primary Claim (dutch)". Rechtbank Arnhem.
  11. ^ MIT의 잭 앤더슨 홈페이지
  12. ^ 잭 앤더슨 개인 홈페이지
  13. ^ 러셀 J. 라이언 홈페이지
  14. ^ MIT의 알레산드로 치에사 페이지
  15. ^ Baxter, Christopher (August 12, 2008). "MIT students' report makes security recommendations to T". Boston Globe. Retrieved 2008-08-15.
  16. ^ "Speakers for DEFCON 16". DEFCON Communications. Retrieved 2008-08-16.
  17. ^ Schneier, Bruce (August 7, 2008). "Hacking Mifare Transport Cards". Schneier on Security newsletter.
  18. ^ "Judges of the United States Courts - Biography of Judge Douglas Woodlock". Federal Judicial Center. Archived from the original on 2008-09-16. Retrieved 2008-08-15.
  19. ^ McCullagh, Declan (August 9, 2008). "Judge orders halt to Defcon speech on subway card hacking". CNET News. Retrieved 2008-08-15.
  20. ^ Lundin, Leigh (2008-08-17). "Dangerous Ideas". MBTA v DefCon 16. Criminal Brief. Retrieved 2010-10-07.
  21. ^ Heussner, Ki Mae (August 12, 2008). "Injunction to Silence MIT Student Hackers Backfires". ABC News. Retrieved 2008-08-15.
  22. ^ Stix, Gary (August 14, 2008). "MIT hackers make Massachusetts officials nervous at Defcon". Scientific American: 60-Second Science Blog. Archived from the original on September 11, 2012. Retrieved 2008-08-15.
  23. ^ 불만, 페이지 12-16.
  24. ^ 응답, 페이지 9-17.
  25. ^ McCullagh, Declan (August 13, 2008). "Transit agency wants MIT students to stay gagged". CNET News. Retrieved 2008-08-15.[데드링크]
  26. ^ 컴퓨터 과학 교수들과 컴퓨터 과학자들로부터 온 편지, 7페이지.

추가 읽기

외부 링크

법원 문서

기타 링크