Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Jun 10, 2024
Quattro adolescenti hanno hackerato l'MBTA per ottenere corse gratuite. L'agenzia dice che stanno ascoltando
Circa 15 anni fa, tre studenti universitari del MIT si trovarono in difficoltà legali per aver denunciato le vulnerabilità della sicurezza nel sistema di pagamento MBTA. Hackerando la carta magnetica del Charlie Ticket
Circa 15 anni fa, tre studenti universitari del MIT si trovarono in difficoltà legali per aver denunciato le vulnerabilità della sicurezza nel sistema di pagamento MBTA. Hackerando le carte di carta a banda magnetica Charlie Ticket, i tre studenti stavano progettando di presentare le loro scoperte a una conferenza di hacker con una domanda allettante: vuoi viaggi gratuiti in metropolitana per tutta la vita?
Sebbene la conferenza degli studenti del MIT sia stata cancellata, le diapositive sono state pubblicate online. 15 anni dopo, quattro liceali – Matty Harris, Scott Campbell, Noah Gibson e Zack Bertocchi – hanno deciso di riprendere da dove gli studenti del MIT avevano interrotto per vedere se il sistema di trasporto pubblico risolveva le vulnerabilità esposte. Avviso spoiler: non l'hanno fatto.
Due degli studenti, Harris e Campbell, si sono uniti al conduttore di All Things Considered Arun Rath per spiegare le loro scoperte. Quella che segue è una trascrizione leggermente modificata.
Arun Rath: Quindi l'incidente di hacking originale risale al 2008. Eravate praticamente dei bambini a quel tempo, giusto?
Matty Harris: Sì. Più o meno due, credo.
Rath: Allora quando ne hai sentito parlare per la prima volta, e quando la storia ha catturato la tua immaginazione?
Harris: Beh, ne ho sentito parlare per la prima volta quasi esattamente due anni fa. Stavo leggendo di Charlie Cards - in realtà stavo dando un'occhiata all'articolo di Wikipedia su Charlie Card - e sai che c'è una sezione sui problemi di sicurezza. E hanno menzionato questi studenti del MIT e quello che hanno fatto.
Ho letto un paio di articoli su di loro e l'ho trovato davvero interessante perché era un gran caos di cause legali. Voglio dire, fortunatamente hanno vinto la causa. È stato un lavoro molto interessante quello che hanno fatto.
E in realtà l'ho detto a uno dei nostri cospiratori, il nostro complice, Zack Bertocchi. Eravamo seduti sul treno insieme, e gliel'ho detto, e da lì abbiamo fatto qualche ricerca in più, ed è così che è iniziato tutto. Inizialmente volevamo replicare le loro scoperte, ma da lì tutto è decollato.
Rath: Giusto. Voglio dire, è stato un caso abbastanza emblematico. Penso che quella sia stata la prima volta che le persone hanno familiarizzato con il termine "hacker white hat" per persone che non sfruttano tanto le vulnerabilità quanto piuttosto le espongono, giusto?
Harris: Sì, esattamente. Le cose sono decisamente cambiate da allora, vero? Penso che l'hacking white hat sia molto più accettabile ora, ma all'epoca sì, era un caso emblematico. In un certo senso proteggeva i ricercatori sulla sicurezza e questo era un grosso problema. Questo ci ha fatto sentire un po’ meno terrorizzati.
Rath: E Scott, parla di come hai approfondito questo problema. Come avete capito come perfezionare il sistema questa volta?
Scott Campbell: Quindi avevo ricevuto una tessera studentesca e ho pensato che forse avrei potuto trovare un modo per clonarla in modo da poterla condividere con i miei amici. E ne ho parlato di passaggio a Matty, e poi mi ha detto: "Ragazzo, ho un progetto da mostrarti".
Quindi abbiamo iniziato ad approfondire quel progetto e abbiamo iniziato cercando di capire dove fossero i dati. Quindi quello che faremmo è ottenere un dump binario di una carta, aggiungervi un po' di soldi, quindi salvare di nuovo il dump e poi guardare quali sono le differenze e provare a capire quale sequenza di uno e zero sono i soldi: è stata la prima cosa che abbiamo cercato. Ci siamo subito resi conto che dovevamo capire come modificare i dati per poter davvero capire qualcosa.
Quindi siamo passati a provare a decifrare qualcosa chiamato checksum; alla fine di ogni riga di dati c'è una cosa chiamata checksum, che è fondamentalmente un'operazione matematica. Eseguono i dati e poi ottengono un output, e sanno che se modifichi i dati, quando li eseguono sugli stessi dati, se il checksum alla fine è diverso, allora possono dire che qualcosa è andato storto.
Di solito si tratta di errori naturali in cui qualcosa si è rotto nel chip, ma potrebbe anche trattarsi di qualcuno che cerca di manometterlo. Quindi gran parte del progetto consisteva nel cercare di capire come fare in modo che il checksum fosse allineato con i nuovi dati che abbiamo inserito sulla carta.