Blog

Jun 10, 2024

Cuatro adolescentes piratearon la MBTA para obtener viajes gratis. La agencia dice que están escuchando.

Hace unos 15 años, tres estudiantes del MIT se encontraron en problemas legales por hablar sobre las vulnerabilidades de seguridad en el sistema de pago MBTA. Hackeando el papel de banda magnética Charlie Ticket

Hace unos 15 años, tres estudiantes del MIT se encontraron en problemas legales por hablar sobre las vulnerabilidades de seguridad en el sistema de pago MBTA. Al piratear las tarjetas de papel con banda magnética Charlie Ticket, los tres estudiantes planeaban presentar sus hallazgos en una conferencia de hackers con una pregunta tentadora: ¿Quieres viajes gratuitos en metro de por vida?

Aunque la charla de los estudiantes del MIT fue cancelada, las diapositivas se publicaron en línea. 15 años después, cuatro estudiantes de secundaria (Matty Harris, Scott Campbell, Noah Gibson y Zack Bertocchi) decidieron continuar donde lo dejaron los estudiantes del MIT para ver si el sistema de transporte solucionaba esas vulnerabilidades expuestas. Alerta de spoiler: no lo hicieron.

Dos de los estudiantes, Harris y Campbell, se unieron al presentador de All Things Considered, Arun Rath, para explicar sus hallazgos. Lo que sigue es una transcripción ligeramente editada.

Arun Rath: Entonces, el incidente de piratería original ocurrió en 2008. Ustedes eran básicamente bebés en ese momento, ¿verdad?

Matty Harris: Sí. Más o menos como dos, creo.

Rath: Entonces, ¿cuándo oíste hablar de esto por primera vez y cuándo te llamó la atención la historia?

Harris: Bueno, escuché sobre esto por primera vez hace casi exactamente dos años. Estaba leyendo sobre Charlie Cards (de hecho, estaba echando un vistazo al artículo de Wikipedia sobre Charlie Card) y sabes que hay una sección sobre cuestiones de seguridad. Y mencionaron a estos estudiantes del MIT y lo que hicieron.

Leí un par de artículos sobre ellos y lo encontré realmente interesante porque era un lío de demandas. Quiero decir, afortunadamente ganaron su demanda. Fue un trabajo muy interesante el que hicieron.

Y de hecho se lo dije a uno de nuestros cómplices: nuestro cómplice, Zack Bertocchi. Estábamos sentados juntos en el tren y le conté sobre eso, y a partir de ahí, investigamos un poco más y así fue como empezó todo. Al principio queríamos replicar sus hallazgos, pero todo empezó a partir de ahí.

Rath: Correcto. Quiero decir, fue un caso bastante histórico. Creo que fue la primera vez que la gente estaba familiarizada con el término "hacker de sombrero blanco" para referirse a las personas que no explotan las vulnerabilidades sino que las exponen, ¿verdad?

Harris: Sí, exactamente. Definitivamente las cosas han cambiado desde entonces, ¿verdad? Creo que el hackeo de sombrero blanco es mucho más aceptable ahora, pero en ese momento, sí, fue un caso histórico. En cierto modo protegía a los investigadores de seguridad y eso fue un gran problema. Eso nos hizo sentir un poco menos aterrorizados.

Rath: Y Scott, habla sobre cómo investigaste este problema. ¿Cómo descubrieron cómo perfeccionar el sistema esta vez?

Scott Campbell: Recibí una tarjeta de estudiante y pensé que tal vez podría encontrar una manera de clonarla para poder compartirla con mis amigos. Y se lo mencioné de pasada a Matty, y luego me dijo: "Chico, tengo un proyecto que mostrarte".

Entonces comenzamos a adentrarnos en ese proyecto y comenzamos tratando de averiguar dónde estaban los datos. Entonces, lo que haríamos es obtener un volcado binario de una tarjeta, agregarle un poco de dinero y luego guardar el volcado nuevamente y luego observar cuáles son las diferencias e intentar descubrir qué secuencia de unos y ceros. es el dinero, fue lo primero que buscamos. Rápidamente nos dimos cuenta de que necesitábamos descubrir cómo cambiar los datos para poder realmente resolver algo.

Así que pasamos a intentar descifrar algo llamado suma de comprobación; Al final de cada línea de datos, hay algo llamado suma de comprobación, que es básicamente una operación matemática. Ejecutan los datos y luego obtienen un resultado, y saben que si cambia los datos, cuando los ejecutan en esos mismos datos, si la suma de verificación al final es diferente, entonces pueden darse cuenta de que algo salió mal.

Por lo general, son errores naturales en los que algo se rompió en el chip, pero también podría ser que alguien intentara alterarlo. Entonces, la mayor parte del proyecto consistió en descubrir cómo hacer que la suma de verificación se alinee con los nuevos datos que ingresamos en la tarjeta.

Harris: Comenzamos simplemente intentando replicar los hallazgos que encontraron los estudiantes del MIT sobre la falsificación de boletos de Charlie, ya sabes, poniéndoles valores personalizados. Comenzamos clonando Charlie Cards, y luego, una vez que pudimos clonar tarjetas y al hacerlo, demostramos que todavía almacenan valor directamente en la tarjeta en lugar de en una base de datos central en algún lugar, lo que sería más seguro. Confían en que las tarjetas sean precisas.

Y así, al hacer todo nuestro trabajo con la suma de verificación, pudimos explotar eso y editar los valores. Pasamos mucho tiempo simplemente mirando datos. De hecho, pasamos muchas horas sentados directamente en una estación de tren; pasamos mucho tiempo en Wellington y la Estación Norte, simplemente sentados allí, cambiando cosas, tocando tarjetas, experimentando y refinando nuestros hallazgos hasta que finalmente pudimos descubrir cómo cambiamos la variable que contiene el dinero para que podamos tener una tarjeta con cualquier cantidad de dinero que queramos hasta $300.

Rath: Sabes, ciertamente no soy un experto en seguridad de Internet, pero la forma en que lo describiste, suena como una puerta bastante abierta por la que pudiste atravesar. ¿Es ese el caso? ¿Y te sorprendió que todavía estuviera tan abierto?

Harris: Sí, diría que definitivamente estamos bastante sorprendidos porque antes de intentar hacer la clonación, asumimos que habían desarrollado un nuevo sistema y que todavía no estaban almacenando valores en la tarjeta. No sabíamos ningún detalle de cómo funcionaba porque simplemente asumimos que lo habían arreglado. Pero una vez que pudimos clonar tarjetas, nos dimos cuenta: "Está bien, sí, no han solucionado nada". Es exactamente igual que hace 15 años.

Es mucho, está bastante abierto. Creo que esa es la razón por la que más personas no han salido a explotarlo, probablemente es simplemente por lo doloroso que es hacerlo. Pero sí, si eres dedicado, definitivamente podrás resolverlo.

Rath: Como mencionamos al principio, los tres estudiantes del MIT hace 15 años se encontraron en problemas y en un tribunal federal. ¿Existe alguna sensación de peligro legal esta vez? ¿Han cambiado realmente las cosas?

Campbell: Como industria, realmente en ciberseguridad, el enfoque se ha centrado mucho más en tratar de ayudar a los investigadores de seguridad en lugar de atacarlos. Como mencionamos antes, el caso del MIT fue una jurisprudencia muy amplia y hay muchos precedentes legales que nos protegen. Sigue siendo un área gris, pero mucho menos de lo que solía ser.

También es lo mejor para la MBTA ayudarnos y trabajar con nosotros porque fue un desastre de relaciones públicas cuando demandaron a los estudiantes del MIT, y podemos tratar de ayudarlos a solucionar los problemas en lugar de simplemente publicitarlos más.

Harris: Dicho esto, todavía había cierta incertidumbre cuando empezamos a hacer esto. Si recuerdas, en diciembre del año pasado, hubo un artículo en el Boston Globe que destacaba la investigación de un tipo llamado Bobby Rauch, quien descubrió algo similar con la clonación de tarjetas. Se le ocurrieron algunas teorías sobre cómo se podría explotar el sistema de tarifas.

Pasó por... Creo que definitivamente le tenía mucho más miedo a la MBTA porque en ese momento, ya sabes, tenían un historial comprobado de demandar a investigadores. Entonces contrató a un abogado y tomó muchas más precauciones. De hecho, nos comunicamos con él y pudo compartir su experiencia de trabajar con T.

Descubrimos que la T ha recorrido un largo camino desde hace 15 años. Y como dijo Scott, están mucho más interesados ​​en trabajar con los investigadores en lugar de enemistarse con ellos, perseguirlos y causar mucho caos.

Campbell: Muchos de los cambios en la forma en que han manejado a los investigadores de seguridad provinieron de su nuevo director de seguridad de la información, Scott Margolis, quien fue extremadamente amable con nosotros y manejó la situación muy, muy bien.

Rath: Eso es increíble. Es un gran cambio con respecto a cómo eran las cosas hace 15 o 20 años. Es fantástico saberlo.