Nemrég számoltunk be arról, hogy egy szövetségi bíró megtiltotta, hogy az MIT (Massachusetts Institute of Technology) három hallgatója a Las Vegasban rendezett DEFCON 16 biztonságtechnikai konferencián megtartson egy előadást, melyben a bostoni földalatti automatizált viteldíjrendszerének biztonsági hiányosságait elemezték volna. Az ideiglenesen szilenciumra ítélt hackerek védelmét az Electronics Frontier Foundation (EFF) vállalta fel, s a tegnapi bírósági meghallgatáson sikerült elérniük, hogy vonják vissza a korlátozó rendeletet, pontosabban a meghallgatás napján lejáró, 10 napra szóló korlátozást a bíróság nem hosszabbította meg.
A Zack Andersont, R. J. Ryant és Alessandro Chiesát bepanaszoló massachusettsi közlekedési társaság (MBTA) azt szerette volna elérni, hogy a bíróság rendelje el, hogy a hackerek 2009. január elsejéig nem beszélhetnek a bostoni metró, s leginkább az utazási kártyák és a kártyaelfogadó rendszer biztonsági hibáiról.
Hirdetés
Az ügyet tárgyaló bíró, George O’Toole Jr. indoklásában kifejtette, hogy nem találja megalapozottnak az MBTA azon állítását, hogy a diákok megsértették a rosszindulatú támadások elkövetőinek büntethetőségét lehető tevő 1986-os törvényt (Computer Fraud and Abuse Act – CFAA).
Ez az érvelés némiképp meglepő, mivel a legtöbben arra számítottak, hogy az amerikai alkotmány első, a szólásszabadságot biztosító kiegészítése alapján születik majd határozat (az EFF is erre alapozta védelmét), ám a bíró más utat választott – rövid nyilatkozata két dologra is utal: egyrészt nem volt meggyőződve arról, hogy az első kiegészítés alapján vitathatatlan döntést tudna hozni, s épp ezért (mint általában a szövetségi bíróságok) el akarta kerülni az alkotmányértelmezéssel járó felelősséget.
O’Toole kifejtette, hogy a közlekedési társaság jogászai a két fő ponton nem tudták őt meggyőzni: egyrészt nem látja bizonyítottnak, hogy a diákok terjeszteni kívánták a prezentáció anyagát (ezt CD-n osztották ki még a tiltás előtt a DEFCON résztvevőinek, így került fel aztán az internetre), másrészt pedig azt sem találta helytállónak, hogy a hackerek legalább 5 ezer dollár kárt okoztak volna a társaság rendszerében.
Habár az MBTA még fellebbezhet a döntés ellen, úgy tűnik, nem ez a szándékuk. A meghallgatás után Daniel Grabauskas, a vállalat vezetője békülékeny hangot ütött meg, s utalt arra, hogy a további küzdelem helyett inkább leülnének a hackerekkel, hogy megbeszéljék a problémákat. Ugyanakkor egyelőre nem vonták vissza a panaszukat, mely egy másik eljárás keretében a közlekedési társaság rendszerébe történő betöréssel és károkozással vádolják a diákokat és az MIT-t, így a hackerek vezető tanárát, a világhírű titkosítási szakembert, Ron Rivestet is. (Ezzel kapcsolatban Zack Anderson megjegyezte, hogy soha nem készítettek ingyenes utazásra jogosító hackelt kártyát, csak ennek technológiáját tárták fel, és a kutatás valójában nekik került több száz dollárjukba.)
Cindy Cohn, az EFF megbízásából a diákokat képviselő ügyvéd üdvözölte a döntést, s elmondta: nem véletlenül kapott ez a helyi érdekű ügy országos figyelmet, hiszen a hackerek komoly biztonsági hiányosságokat fedeztek fel, mely más közlekedési rendszereket is érint. Ezért semmiképp sem járhat nekik büntetés: „Ez egy olyan eset volt, amikor a hírnököt, a rossz hír hozóját lőtték le” – tette hozzá a felelősségvállalás elkerülésére utalva.
Az MBTA biztonságtechnikai szakemberei egyébként már napok óta vizsgálják azt a részletes, nyilvánosságra nem hozott 30 oldalas dokumentumot, melyet a diákok elküldtek időközben a közlekedési társaságnak és a bíróságnak, s amelyben részletesen leírják az általuk felfedett sebezhetőségeket. Az MBTA egyébként erre az elemzésre alapozva kérte a szilencium további öt hónapra terjedő meghosszabbítását, mivel szerintük körülbelül ennyi ideig fog tartani a hibák kijavítása.
Azt még nem tudni, hogy a korlátozás feloldása után a diákok mit szándékoznak tenni, de ha kívánják, eredményeiket most már bármilyen fórumon publikálhatják. Az biztos, hogy azt a 30 oldalas jelentést, mely minden technikai részletet tartalmaz, semmiképp nem hozzák nyilvánosságra.