科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道世界黑客大会:麻省理工学生教人"免费乘地铁"

世界黑客大会:麻省理工学生教人"免费乘地铁"

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

美国麻省理工学院的3名本科生经过潜心研究,找出了波士顿地铁刷卡计费系统的漏洞,从而掌握了可以“免费乘地铁”的技术。据说这一技术也适用于世界上很多国家的地铁刷卡计费系统。

作者:陶蹊 来源:青年参考陶蹊 2008年9月17日

关键字: 攻击防范 黑客

  • 评论
  • 分享微博
  • 分享邮件

  美国麻省理工学院的3名本科生经过潜心研究,找出了波士顿地铁刷卡计费系统的漏洞,从而掌握了可以“免费乘地铁”的技术。据说这一技术也适用于世界上很多国家的地铁刷卡计费系统。3名“高才生”计划将这一成果在“世界黑客大会 ”上公开,遭到波士顿地铁管理部门的强烈反对,波士顿地区联邦法院于是裁定,禁止3学生与黑客们分享研究成果。日前,美国法院作出了被誉为“捍卫学术自由”的裁定:撤销“封口令”,3位学生可以公开谈论地铁计费系统的安全漏洞。但是,使用这种技术无疑是违法行为。

  1.令管理部门胆战心惊的技术

  “只需花150美元,一个聪明的犯罪分子就能从互联网上买到一个磁条卡读写器。通过地铁站里的自动售票机,他可以买几张面值5美分的磁条卡,然后使用磁条卡读写器和专用软件改写这些磁条卡中的金额,甚至可以写入655.36美元(磁条卡中可存储的最高金额),再将这些磁条卡低价出售。他能够保证‘处理’过的每张磁条卡都具有惟一的识别码,这样,马萨诸塞州海湾交通管理局(波士顿地铁的管理部门)就很难识别这些磁条卡。”

  “管理部门要想查获这些‘伪卡’,必须采用人工检票的方式,因为磁条卡的表面印刷了卡的原始面值。不过,犯罪分子仍有方法避开这一点。他买一张5美分面值的磁条卡,使用读写器将其金额改为99美元,然后将这张卡塞进自动售票机,按下售票机上的‘充值’键,再塞入一张1美元的钞票,这样,售票机就会收回那张‘伪卡’,另外吐出一张存有100美元金额的合法磁条卡。如此一来,犯罪分子只花了1.05美元,却得到了价值100美元的地铁磁条卡。”

  这只是美国麻省理工学院3名本科生最近开发的“免费乘地铁”技术的一小部分,却足以令波士顿地铁管理部门胆战心惊。这3名本科生是21岁的扎克·安德森、22岁的拉塞尔·赖恩和20岁的亚历山德罗·切萨。

  2.发现地铁漏洞作业得高分

  能够进入麻省理工学院学习,安德森等3人自然都是高才生。他们均就读于电子工程与计算机科学系,“免费乘地铁 ”技术其实只是他们本学期完成的一个作业。他们很早就发现,波士顿地铁管理系统存在诸多问题,貌似先进的刷卡计费系统同样如此。因此,他们将探寻波士顿地铁刷卡计费系统的漏洞作为研究课题。他们的指导老师名叫罗纳德·里维斯特,是一位著名的密码破译专家。

  经过数月的研究,安德森等人找到了波士顿地铁刷卡计费系统的漏洞。指导老师里维斯特对他们的这个作业非常满意,给出了“A”的成绩。安德森说,他们之所以选择波士顿地铁系统进行研究,一方面是出于兴趣、完成学期作业的需要,另一方面也是为了给地铁管理部门“提个醒”。作业完成后,他们撰写了一份波士顿地铁刷卡计费系统安全问题的评估报告,通过里维斯特教授递交给马萨诸塞州海湾交通管理局。

  此时,恰逢第16届“世界黑客大会”在“赌城”拉斯韦加斯举行。麻省理工学院的学生一向热衷于参加这一“黑客技术交流”的盛会,安德森等3人决定在这次大会上公布他们的地铁研究成果,为此还专门制作了内容详尽的幻灯片(PPT 文件)。大会组织者安排他们于今年8月10日在大会上发言,和与会者分享他们的成果。

  3.世界黑客的狂欢节

  从1992年开始,每年七八月份,“世界黑客大会”都会在拉斯韦加斯举行。虽然被冠以“大会”的名称,但这其实是黑客们的狂欢节。会议期间举行各种各样的黑客竞赛,供来自世界各地的黑客们“炫技”,技术出类拔萃者还可以获得奖金。

  世界知名公司的最新产品和技术,一直是黑客们竞赛的目标。在2007年8月举行的第15届“世界黑客大会”上,微软公司的vista操作系统和苹果公司的iphone,成为黑客们施展技能的目标。

  除了手段高超的黑客们,许多大公司也派出代表出席“世界黑客大会”。他们主动邀请黑客给自己的产品找漏洞,以便对产品进行改善。此外,美国国防部、联邦调查局(FBI)、国家安全局(NSA)等政府机构,也是“世界黑客大会” 的常客。借此机会,FBI等打击犯罪的机构会锁定一些对网络安全造成威胁的犯罪嫌疑人。譬如,2001年的黑客大会结束后,FBI特工立即逮捕了26岁的俄罗斯程序师德米特里·斯基亚罗夫,因为他设计的软件能将美国阿杜比(Adobe) 公司的电子图书格式转化为常用的PDF格式,被认为违反了美国的数字版权法。

  不过,美国国防部、国家安全局等机构,参会目的与FBI不同,他们主要是向黑客们求助,希望这些电脑高手们能成为维护网络安全的盟友,打击犯罪和恐怖主义。对于那些有意与政府合作且技术高超的黑客,这些机构会向他们发出邀请,将他们招至麾下。

  4.意外遭遇“封口令”

  鉴于“世界黑客大会”与会者身份复杂,安德森等3名学生事先将在黑客大会上发言的内容,告知了马萨诸塞州海湾交通管理局,试图避免麻烦。8月5日,该机构的一名官员和一名负责打击网络犯罪的FBI特工来到麻省理工学院,与3名学生和他们的指导老师里维斯特教授会面。

  在这次会面中,安德森向来访者播放了将在“世界黑客大会”上使用的幻灯片,并表示,不会公开有关波士顿地铁刷卡计费系统漏洞的“关键信息”。马萨诸塞州海湾交通管理局的官员表达了政府对此事的关切,称“已经引起了州长本人的关注”,政府迫切想知道学生们在黑客大会上发言的“细节”。在这位官员的要求下,安德森等人同意在幻灯片和发言中删除“ 免费乘地铁”的说法。

  此次会面后,安德森等人以为已经取得了马萨诸塞州海湾交通管理局的谅解。不料,8月8日,马萨诸塞州海湾交通管理局将他们3人、里维斯特教授以及麻省理工学院一并起诉至波士顿地区联邦法院。交通管理局的一名发言人说,安德森等人同意向管理局发送一份幻灯片和发言稿的复印件,但管理局一直没收到,该机构“没有别的选择”,只能起诉。

  在长达17页的起诉书中,马萨诸塞州海湾交通管理局认为,安德森等人以及麻省理工学院违反了《反滥用计算机欺诈法》,可能给波士顿的地铁运营系统造成数百万美元损失,要求法院下令禁止安德森等3人在“世界黑客大会”上发言,并表示将提出赔偿要求。

  5.“绝密技术”已扩散

  8月9日,波士顿地区联邦法院同意了马萨诸塞州海湾交通管理局的诉讼请求,下令禁止安德森等3人在“世界黑客大会”上发言。

  得知法院的这一裁决后,安德森等人表示“非常震惊”。“我们的目的是找出波士顿地铁系统存在的漏洞,研究如何解决问题,而不是要刻意‘侵入’这个系统。”安德森强调。为了帮助安德森他们应对官司,非营利组织“电子前沿委员会” 免费为他们提供了律师。8月10日,抵达拉斯韦加斯的安德森等人,在律师玛西娅·霍夫曼的陪同下举行了新闻发布会,吸引了大批记者参加。

  霍夫曼表示,为了不违反法庭的禁令,安德森等人决定不在“世界黑客大会”上发言,但并不认同法庭的裁决。“波士顿地区联邦法院的判决是一个非常危险的先例,”霍夫曼说,“法院的判决表明,与其他数字安全研究者分享研究成果违反了联邦法律。据我所知,这种判决是史无前例的,将对该领域的研究造成巨大打击。”她表示,将依据保护言论自由的宪法第一修正案,对法庭的裁决提起上诉。

  马萨诸塞州海湾交通管理局请求法庭下令,禁止安德森等人在“世界黑客大会”上发言,目的是阻止他们的研究成果扩散。然而,他们在呈交法庭的起诉书中附上了安德森等人为发言而准备的幻灯片作为证据,而法律规定,证据是公开的。因此,安德森等人的研究成果事实上已经扩散,黑客大会的黑客们得到了存有这一幻灯片的光盘,任何对此感兴趣的公众都可以通过互联网下载这一幻灯片。

  “事实证明,每次试图对研究者进行限制,都反而会帮助他们扩散研究成果。”密切关注此类事件的西雅图电脑安全专家丹·卡明斯基说。

  据报道,正当人们为“封口令”而激烈争论时,波士顿联邦法院撤销了“封口令”,允许3位学生公开谈论他们的发现。美国公民自由联盟执行主任罗斯说:“我们需要学术自由,如果对科学家下达‘封口令’,学术研究就无法运转。”

  相关报道

  用曲别针撬开五角大楼

  据法新社报道,尽管麻省理工学院的3名学生被禁止在“世界黑客大会”上发言,但此次黑客大会依然“精彩”不断。

  曾出版“专著”指导人们如何开锁的高手马可·托拜厄斯,再次出现在黑客大会上。他示范了如何使用曲别针以及用塑料片制成的钥匙,打开著名制锁公司“美迪高”生产的锁头,而美国五角大楼和英国王室使用的都是该公司的产品。托拜厄斯说,如果学会了如何复制钥匙,那么,连撬锁这样的技能都不必学了。

  “美迪高”就此接受采访时坚称自己生产的锁头很安全,但同时也劝告用户“保管好自己的钥匙”。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章