Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Jun 10, 2024
Quatro adolescentes hackearam o MBTA para viagens gratuitas. A agência diz que está ouvindo
Há cerca de 15 anos, três estudantes do MIT enfrentaram problemas legais por falarem sobre vulnerabilidades de segurança no sistema de pagamento MBTA. Ao hackear o papel da tarja magnética do Charlie Ticket
Há cerca de 15 anos, três estudantes do MIT enfrentaram problemas legais por falarem sobre vulnerabilidades de segurança no sistema de pagamento MBTA. Ao hackear os cartões de papel com tarja magnética do Charlie Ticket, os três estudantes planejavam apresentar suas descobertas em uma conferência de hackers com uma pergunta atraente: Quer viagens de metrô gratuitas para o resto da vida?
Embora a palestra dos alunos do MIT tenha sido cancelada, os slides foram publicados online. 15 anos depois, quatro estudantes do ensino médio — Matty Harris, Scott Campbell, Noah Gibson e Zack Bertocchi — decidiram continuar de onde os estudantes do MIT pararam para ver se o sistema de trânsito corrigia as vulnerabilidades expostas. Alerta de spoiler: eles não fizeram isso.
Dois dos estudantes, Harris e Campbell, juntaram-se ao apresentador do All Things Considered, Arun Rath, para explicar suas descobertas. O que se segue é uma transcrição levemente editada.
Arun Rath: Então o incidente original de hacking foi em 2008. Vocês eram basicamente bebês naquela época, certo?
Matty Harris: Sim. Quase dois, eu acho.
Rath: Então, quando você ouviu falar disso pela primeira vez e quando a história despertou sua imaginação?
Harris: Bem, ouvi falar disso pela primeira vez há quase exatamente dois anos. Eu estava lendo sobre Charlie Cards - na verdade, estava dando uma olhada no artigo da Wikipédia sobre Charlie Card - e você sabe que há uma seção sobre questões de segurança. E eles mencionaram esses estudantes do MIT e o que eles fizeram.
Li alguns artigos sobre eles e achei muito interessante porque era uma confusão de ações judiciais. Quero dizer, felizmente, eles ganharam o processo. Foi muito interessante o trabalho que eles fizeram.
E na verdade contei a um de nossos co-conspiradores – nossos parceiros no crime, Zack Bertocchi. Estávamos sentados juntos no trem e eu contei a ele sobre isso e, a partir daí, fizemos mais pesquisas, e foi assim que tudo começou. A princípio, queríamos replicar suas descobertas, mas a partir daí decolou.
Rath: Certo. Quero dizer, foi um caso bastante marcante. Acho que foi a primeira vez que as pessoas se familiarizaram com o termo 'hacker de chapéu branco' para pessoas que não estão explorando vulnerabilidades, mas sim as expondo, certo?
Harris: Sim, exatamente. As coisas definitivamente mudaram desde então, certo? Acho que o hacking de chapéu branco é muito mais aceitável agora, mas na época, sim, foi um caso marcante. Meio que protegia os pesquisadores de segurança e isso era um grande negócio. Isso nos fez sentir um pouco menos aterrorizados.
Rath: E Scott, fale sobre como você investigou esse problema. Como vocês descobriram como refinar o sistema desta vez?
Scott Campbell: Recebi um cartão de estudante e pensei que talvez pudesse descobrir uma maneira de cloná-lo para poder compartilhá-lo com meus amigos. E eu mencionei isso de passagem para Matty, e então ele disse: "Cara, tenho um projeto para mostrar a você."
Então começamos a entrar nesse projeto e tentamos descobrir onde estavam os dados. Então, o que faríamos seria obter um despejo binário de um cartão, adicionar um pouco de dinheiro a ele e, em seguida, salvar o despejo novamente e então ver quais são as diferenças e tentar descobrir qual sequência de uns e zeros é o dinheiro – foi a primeira coisa que procuramos. Rapidamente percebemos que precisávamos descobrir como alterar os dados para podermos realmente descobrir alguma coisa.
Então, tentamos decifrar algo chamado soma de verificação; no final de cada linha de dados, há uma coisa chamada soma de verificação, que é basicamente uma operação matemática. Eles executam os dados e obtêm uma saída, e sabem que se você alterar os dados, quando eles executarem os mesmos dados, se a soma de verificação no final for diferente, eles poderão dizer que algo deu errado.
Normalmente, são erros naturais em que algo quebrou no chip, mas também pode ser alguém tentando mexer nele. Portanto, a maior parte do projeto foi tentar descobrir como fazer com que a soma de verificação se alinhasse com os novos dados que colocamos no cartão.