Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Interjú egy metróhackerrel - végleges verzió

2008.08.23. 10:25 | buherator | 7 komment

A PopularMechanics interjút készített Zack Andersonnal, a bostoni metró biztonsági rendszerében hibákat találó MIT-s fiatalok egyikével.

A magyar változat alant:

Az egész egy MIT-s projektként kezdődött, nem de?

Alapvetően ez volt a 'Számítógép hálózatok biztonsága' tárgy utolsó projektje. Akartunk találni egy rendszert, aminek vannak hibái, kitalálni, hogy mik azok, és hogyan lehet őket kijavítani, ha léteznek. Végül is a metró díjbeszedő rendszerére gondoltunk, és ránéztünk az MBTA-re [a bostoni metrótársaság]. Helyben van, úgyhogy elég kimerítő analízist tudtunk folytatni.

Mit találtatok?

Elég keveset találtunk. Volt néhány figyelemre méltó probléma a fizikai biztonságban - nem technológiai jellegű, hanem inkább olyan dolgok, ami fölött könnyen át lehet siklani. Az ember megnyom egy nyitott dobozban lévő gombot, és a beengedő kapuk kinyílnak. Miért bajlódnál valami high-tech hackkel, ha egyszerűen csak meg kell nyomnod egy gombot?

Megnéztük még a Charlie jegyet is, ami egy mágneskártya. Tulajdonképpen az MIT Tech-nek (az egyetem újsága) van egy jó cikke, ami alapvetően átvizsgált mindent, ami publikálásra került - néhány olyan dolgot is, ami az MBTA keresetében szerepelt, és nem a mi publikációnkban

A Charlie jegyek klónozhatók és hamisíthatók. A klónozás azt jelenti, hogy mondjuk veszel egy 5$-os jegyet, és csinálsz belőle kettőt. A hamisítás azt jelenti, hogy meg tudsz változtatni adatokat a kártyán, minek hatására az új értékkel fog bírni. Mindkét féle támadás lehetséges.

Mi a helyzet a Charlie kártával?

Igen, a Charlie kártya egy RFID kártya, gyenge titkosítással. A gyenge titkosítás miatt megszerezhető a kártya kulcsa, amivel aztán olvashatóvá és írhatóvá válik a kártyán lévő adat.
Szóval le tudsz menni az állomásra, és anékül, hogy hozzáérnél bármihez is, az aktatáskádban elhelyezett antenna segítségével le tudod olvasni a valaki zsebében lévő kártya kulcsát, amit aztán addig használhatsz, amíg a kártya le nem merül, vagy deaktiválják. Mindig ez az RFID kártyák veszélye - hozzá sem kell érned, hogy leolvasd.

Szóval megírtátok a jelentéseteket és megtartottátok az előadásotokat az MIT-n. Milyen volt a fogadtatás?

Nagyon jól fogadták. Az emberekre nagy hatást tett és meglepetést okozott, hogy ezek a hibák léteztek. Ez a kurzus vége velé volt, talán az utolsó napon.

És azonnal a DefCon-on kezdtetek gondolkodni?

Voltunk már a DefConon az előtt, és úgy gondoltuk, hogy érdekes lenne ott egy előadást tartani. És úgy gondoltuk, hogy a téma is alkalmas lenne erre - egy csomó metrórendszer létezik, és közölük sok szenvedhet ugyanezektől a hibáktól, ez pedig egy nagyon fontos probléma, amiről beszélni kell. Úgy gondoltuk, hogy a DefCon ideális helyszín lenne erre.

Tehát a DefCon elfogadja a jelentkezéseteket, repülőjegyeket és hotelszobákat foglaltok. Mi történt ezek után?

Eltelt egy kis idő, és július közepe környékén írtunk egy e-mailt a professzorunknak, Ron Rivestnek [tudjátok, RSA, MD, RC algoritmusok...], amiben megkértük, hogy lépjen kapcsolatba a nevünkben a MBTA-jel, és közölje velük, hogy megcsináltuk ezt az analízist, ezeket a hibákat találtuk, és így lehet kijavítani őket, valamint, hogy előadást fogunk tartani minderről a DefConon, de - és ez egy fontos pont - néhány kulcs információt vissza fogunk tartani. Nem fogunk végigmenni a rendszer replikációjának teljes folyamatán, ezért az emberek nem fogják tudni reprodukálni a támadást.

Mi volt a reakció?

Amikor Ron Rivest visszajött hozzánk azt monta, "Van egy komoly problémánk". Megkérdeztük mi történt, mire azt felelte "Az MBTA nem áll szóba velem. Már tudnak az előadásról, és aztmondták, hogy az FBI is részt vesz az ügyben."

Elég dermesztő lehetett meghallani az "FBI"-t...

Nem tudtam elhinni. Azt gondoltam, "Mit csináltunk? Az FBI? Miért?" Teljességel meg voltunk lepve. De azt mondtuk, ezt gyorsan meg kell oldanunk. Vissza kell hívnunk őket, hogy megszervezzünk egy találkozót, hogy megbizonyosodhassanak a jó szándékunkról, hogy láthassák, mit csináltunk, mit akarunk előadni, és megnyugodhassanak. Ezen kívül a kiinduló álláspontunk az volt, hogy az MBTA-nek minden képpen ki kell javítani néhány létező problémát.

Mivel sikerült megnyomnom a böngésző Vissza gombját, az blog.hu-s autosave meg baszik működni ilyenkor, nagyjából egy órányi munkám elveszett, a cikk második felét majd később kapjátok meg.

Értem, tehát találkozót szerveztetek az MBTA-vel.

Igen. Úgy volt, hogy az MIT kampuszon fogunk találkozni egy MBTA tisztviselővel. Erre beállít valaki az MBTA-től (egy nyomozó), mögötte meg egy különleges ügynök az FBI-tól.

"Ez egy kicsit komolyabb" - gondoltuk, mivel ugyan az MBTA közölte velünk, hogy "az FBI nyomot", de nem tudtuk, hogy ebben mennyi az igazság. Persze gondoltuk, hogy van a dologban valami, pl. felvették a kapcsolatot az FBI-jal, de velemi webes űrlap elküldése kicsit más, mint egy gőzerővel folyó nyomozás.

Az, hogy ott volt az ügynök, valósabbá tette a helyzetet. De egy perc után megnyugodtam, és rájöttem, hogy csak meg kell nekik, hogy az egész nem nagy dolog, nem probléma. Nincs miért aggódnia az FBI-nak, és nincs miért aggódnia az MBTA-nek sem. Mondjuk csak el, hogy mit csináltunk, mit találtunk és tisztázzuk a dolgokat.

Hogy végződött a találkozó?

A találkozó nagyon jó kimenetellel zárult. az MBTA-s nyomozó azt mondta, hogy nem lát olyan okot, ami miatt ne folytathatnánk az előadásra történő felkészülést, és hogy e-mailben fogja értesíteni a felettesét, hogy találkozott velünk, és hogy minden rendben van. Az FBI ügynök tulajdonképpen azt mondta, hogy nem lesz nyomozás, nincs itt semmi különös, ne aggódjunk emiatt.

Megmondtuk nekik, hogy eljuttatjuk hozzájuk a sebezhetőségekről készült jegyzőkönyvet, végignézzük, hogy mit találtunk, és hogy ezeket a problémákat hogyan lehet kijavítani. Ők pedig azt mondták, hogy ezt két héten belül megejthetjük.  Azt tervetük, hogy még a  munkahét végéig eljuttatjuk hozzájuk az anyagot, hogy a kezükben lehessen, mielőtt megtartjuk az előadást. Úgy éreztük, hogy ez a kötelességünk.

Ez a jelentés nem az volt, amelyiket a DefConon be akartunk mutatni, nem erről volt szó. Néhány ember az MBTA-től azt állította, hogy ez volt az, de ez az anyag valójában a sebezhetőségek leírását, és javításuk módját tartalmazta. Ez az amit eljuttatunk hozzájuk még azon a  pénteken.

A hét végén tehát gépre ültetek, és relrepültetek Las Vegasba DefCon-ra.

Igen. Péntek volt a konferencia első nepja, sé egy reggeli előadásra igyekeztünk. Éppen ebédeltünk, amikor kaptunk egy hívást a MIT egyik ügyvédétől, hogy az MBTA a bíróságon van, és beperelnek minket és az MIT-t. Éppen a keresetet adják be, és nincs senki a bíróságon, aki minket képviselne, csak az MBTA jogászai és nem igazán tudjuk, hogy mi történik.

Mit tettetek?

Nem emlékszem pontosan mi zajlott a beszélgetés további részében. Azt hiszem próbáltam kiszedni minél több információt az MIT-s ügyvédből. Ő azt ajvasolta, hogy sürgősen szerezzünk egy ügyvédet.

Elmentünk az Electronic Frontier Foundation bódéjához, de a hangulat hektikusabb volt annál, hogy "Akkor üljünk le". Inkább az volt a levegőben, hogy "Úristen!". Egész pénteken próbáltunk minél többet megtudni az ügyről. Kapcsolatba léptünk az MBTA jogi képviselőjével és megszereztük a papírokat a szövetségi irattárból.

Azonnal felbéreltek valakit Bostonban?

Megpróbáltak, de ez pénteken volt és egy sürgősségi meghallgatás lett kitűzve szombat reggelre. Kétségbeesetten próbáltunk keríteni valakit Bostonban, aki tud nekünk segíteni, de ennyi idő alatt ez nem volt lehetséges.

Ezen kívül volt kapcsolat az MBTA-vel?

Igen is meg nem is. FElhívtam az BMTA egyik ügyvétjét. Röviden beszéltem az egyik műszaki fickóval, aki a díjbeszedők biztonságáért fele. Azt próbáltuk nekik megmutatni, hogy már késő, és hogy az egész dolog valószínűleg visszafele fog elsülni. Mert ha van valami, amit a DefCon közönsége nem szeret, az a lefújt előadás. Abban reménykedtek, hogy nem lesz nagy ügy a dologból, és hogy nem hozunk nyilvánosságra olyan részleteket, ami lehetővé tenné hogy az emberek becsapják a rendszert. Ez utóbbit mi is mindvégig hangoztattuk.

Szombaton meghallgatás. Egész éjjel fennt voltunk és készültünk, aztán telefonon jelentkeztünk be a bostoni bíróságra. Nem volt senki jelen, aki minket képviselt volna, csaktelefonon, illetve az MIT részéről.

A végén a bíró az MBTA javára döntött, és elrendelte, hogy nem beszélhetünk semmiről, ami segíthet a díjkezelő rendszer kijátszásában.  Világossá vált, hogy le kell fújnunk az előadást. Aztán hirtelen felfigyelt ránka  méda. Válaszoltunk amire tudtunk. De az előadásnak annyi volt. Nem lehetett megváltoztatni a döntést annyi idő alatt.  Tényleg nem volt lehetséges. Az volt a baj, hogy a bíróság pénteki zárása előtt néhány percel töltötték ki a megfelelő papírokat. Akkor kaptuk meg a határozatot, amikor a bíróságok zárva voltak.

Ilyenkor semmit nem lehet tenni hétfőig.

ekkor már több mint 30 órája ébren voltunk, és az az igazság, hogy ekkora már vége volt. Bár nagyon csalódottak voltunk, ez egy kis...lehetőséget adott, hogy fellélegezzünk, aludjunk, meg ilyenek.

És gyakorlatilag DefCon hírességekké váltatok.

Ez tényleg nagy dolog volt. Sokan beszéltek rőla. Sokan jöttek oda hozzánk érdeklődve, de senkinek sem tudtunk túl sokat mondani.

Biztons vagyok benne, hogy a média még ennél is jobban érdeklődött.

Sok téves információ volt, erről meggyőződhettünk, amikor hétfőn megnéztük az országos lapokat. Az MBTA sok félrevezető információt közölt, azt állítva, hogy életre szóló ingyen jegyeket akarunk adni az embereknek. Ha te vagy bármilyen műszaki ember megnézi a diákat láthatja, hogy nincs bennük elég információ ehhez.

Így hát megpróbáltam tisztázni a dolgokat. Azt hiszem, hogy a hacker szó bűnös stigmát jelent a nagy nyilvánosság számára, ami nem szerencsés, mivel sok olyan ember hívhatja magát hackernek, akiről egy átlag ember soha nem mondaná azt, hogy "Na ez itt egy hacker!".A legtöbben ha hackerekről hallanak egy olyan emberre gondolnak, aki azért tör fel rendszereket, hogy kárt és pusztítást okozzon.

Tehát vasárnap vége a konferenciának.

Vasárnap, Vegasszal a hátam mögött úgy éreztem "Istenem, mi történt ezen a héten?", mivel elég sokkoló volt az egész. Az első hétvégém Vegasban miután elmúltam 21. Ki gondolta volna, hogy ez lesz a legnagyobb élményem? Egy szövetségi per?

Kedden volt a valódi, nagy bírósági meghallgatás Bostonban, ahová elrepült néhány ügyvédem, volt ott még pár helyi ügyvéd, mi meg a telefonban figyeltünk. Az egész kb. másfél órát tartott, mindkét fél előadta az álláspontját, végül pedig a bíró mondta el, hogy hogyan értelmezi a törvényt, hogyan látja az esetet, és végig vette a szemben álló érdekeket. Az első tíz percben elég pártatlan volt, mindkét oldalt bemutatta. Aztán izgatottabb lett, mikor arról kezdett el beszélni, hogy az MBTA-nek igazából nincs mivel a Computer Fraud and Abuse Actre [ez lényegében az amerikai 300/C] hivatkoznia. Sok dolognak kell teljesülnie ehhez, és ebben az esetben ezek közül több nem teljesült.

Hogyan reagáltatok?

Kikapcsoltam a telefon mikrofonját a meghallgatás alatt, nehogy valamilyen zaj zavarja meg a tárgyalótermet. De igen, nagyon izgalmas volt hallgatni a bírót, ahogy lassan kezdett a mi oldalunkra hajlani. A végén pedig, mikor feloldotta a korlátozó rendeletet, érvénylelenítette az előző bíró határozatát, és elvetette az MBTA korlátozás öt hónapos meghosszabítására vonatkozó igényét, az igazán felemelő volt. Kielégítő volt látni, hogy a bíróság jól értelmezte a törvényt.

Hogyan tovább? Az MBTA keresete még mindig fennáll.

Valószínűleg lezárhatjuk a dolgot, és elfelejthetjük az egészet. Ha mégsem, akkor be kell nyújtanunk egy indítványt az ügy ejtésére, de azt hiszem és remélem, hogy már lényegében vége a dolognak. Nem tartottuk meg az előadást, ami azt hiszem az elsődleges céljuk volt. Ez eredményes volt az ő részükről.

Ezen kívül ahogy már mondtam, mi soha nem terveztüka  részletek nyilvánosságrahozatalát. Még ha már meg is tehetnénk,a kkor sem tennénk.

Milyen jogi következményei lehetnek az esetnek a jövőben?

Erről a legjobb lenne az EFF-t kérdezni, de ez volt az egyik első olyen eset, hogy a Computer Fraud and Abuse Act úgy lett próbára téve, ahogy az MBTA az élő beszédre alkalmazni próbálta, és a bíró ejtette az ügyet. Szóval itt egy szabályozatlan területet teszteltünk. Persze ha a bíróság a másik irányban dönt, az rendkívűl problematikus helyzetbe hozta volna a biztonság kutató közösséget úgy általában.

Lassan visszatértek az MIT-ra. Igazi hírességek lesztek a kampuszon!

Egy bolg "valóságos hacker hősöknek" nevezett minket. Nem tudom, hogy a "hős" vagy hasonló jelzőt kiérdemeltük-e? Még egyszer, úgy érzem, hogy ebből hatalmas dolog lett, pedig nem volt nagy szám az ahogy kezdtük. Ahhoz hogy hős legyél, valami elépesztően nagyot kell alkotnod a magad nemében.

Úgy gondolom, hogy igen mélyreható kutatást csináltunk, és az előadás és a munka is nagyon jól sikerült. Átéltük és kibírtuk ezt az egészet, de azt gondolom, hogy a valódi hőök ezesetben a jogászaink voltak, akik harcoltak az ügyért, és ők azok akik sikerre vitték legalábbis az első indítványt, amely megszüntette a korlátozó végzést és ejtette meghosszabításra vonatkozó javaslatot. Ha valaki hős ebben az ügyben, akkor azt hiszem, az ügyvédeink azok.

Ráadásként pedig ezt a dalt ajánlanám ;)

"Now you citizens of Boston don't you think its a scandal How the hacker stole
the train What's the big fuckin' deal, he'll work for beer Let the hacker
drive the train!"

Címkék: jog defcon mbta

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

dpeti · http://www.ninapartmentsphuket.com 2008.08.23. 14:26:46

nem semmi azért nem csak nálunk genyók a nagy cégek!
tiszta parkolótársaság. segíteni akarnak és a kezükbe harapnak. aztán lehet, hogy csak az ottjárt alkalmazott nem küldte el azt az emailt.

d.hardman 2008.08.23. 15:18:53

"Mivel sikerült megnyomnom a böngésző Vissza gombját, az blog.hu-s autosave meg baszik működni ilyenkor, nagyjából egy órányi munkám elveszett, a cikk második felét majd később kapjátok meg."

ezért használj Operát. www.opera.com

DOGMAN · http://kutyasagok.blogspot.com 2008.08.23. 16:09:41

Úgyis ki fog jutni a netre a tejes módszer, és ezek után az MBTA meg fogja érdemelni ha ezrek fogják meghekkelni :D

zurhajos · http://zurhajos.wordpress.com 2008.08.23. 16:37:09

Hát ez szép, bár én nem értem, ha már egyszer ott voltak az ügynökök, arról valószínüleg készült jegyzőkönyv vagy valami is. Akkor utána miért jelentették fel őket mégis?

buherator · http://buhera.blog.hu 2008.08.23. 19:32:58

@d.hardman
Használok azt is, speciel a posztot FF_ban írtam,d e annak is van ilyen feature-e, csak az ilyen csilivili AJAX-os varázslatokkal néha nem tud mit kezdeni (pontosabban a Forward gomb nem hozza elő azt a textareat, amit a böngésző ki tudna tölteni)

@zurhajos
Valószínűleg az volt, hogy az MBTA azt hitte, hogy azt a részletes doksit akarják közzétenni, amit hozzájuk eljuttattak, és az tényleg para lett volna

Még azért hozzá tartozik a történethez, hogy a srácok kicsit több időt is hagyhattak volna maguknak meg a társaságnak...

.Andrei (törölt) · http://www.andreiground.com/ 2008.08.23. 19:39:44

Tisztára olyan ez a sztori, mint a legnagyobb magyarorszégi telekom szolgáltató bármelyik biztonsági részlegével folytatott egyeztetések. Mindig bíróságon és/vagy a nemzetbiztonságiaknál landol a téma.

Kasa lett a fordítás. Dank u wel...

sghctoma 2008.08.24. 19:27:32

ehh, nekem is ez a Dropkick szám ugrott be, mikor először hallottam a sztorit... oi..