MIT moet RFID-hack stilhouden

Beveiligingsonderzoekers mogen horen en zien, maar moeten zwijgen.

Beveiligingsonderzoekers mogen horen en zien, maar moeten zwijgen.

Beveiligingsonderzoekers van het Amerikaanse onderzoekscentrum MIT moeten zwijgen over hun kraak van de RFID-pas voor de metro in Boston. De rechter verbiedt de drie studenten te spreken op de Black Hat-beveiligingsconferentie.

De Amerikaanse staat Massachussetts heeft met succes beveiligingsonderzoekers het zwijgen opgelegd. De staatsoverheid spande vorige week op de valreep een rechtszaak aan tegen drie studenten van het Amerikaanse onderzoekslaboratorium MIT (Massachussetts Institute of Technology). Zij zouden op de Black Hat 2008-beveiligingsconferentie in Las Vegas uit de doeken doen hoe zij de RFID-chip én magneetstrip van de metropas in Boston hebben gekraakt.

De drie wilden niet alleen uit de doeken doen hoe zij de encryptie van de ov-pas hebben gekraakt, maar ook software vrijgeven waarmee dit is te doen. Het spreekverbod voor de beveiligingsonderzoekers is opgelegd om misbruik van het metrosysteem te voorkomen. De rechter geeft daarmee de staat Massachussetts gelijk.

Deze uitkomst is precies het tegenovergestelde van wat laatst in Nederland is gebeurd. Onderzoekers van de universiteit Nijmegen hebben de Myfare Classic-chip van voormalig Philips-dochter NXP gekraakt, maar mogen van de rechtbank wel hierover spreken. NXP had een kort geding aangespannen om publicatie te voorkomen.

Roepen of zwijgen?

De discussie over het publiceren of juist stilhouden van van beveiligingskwesties speelt al jaren in de security-wereld. Ook het expertpanel van Computable's topic Security is verdeeld over deze kwestie. Enerzijds zou het onthullen van details over beveiligingsgaten kwaadwillenden in de kaart spelen. Anderzijds zou publicatie juist beheerders in staat stellen afschermende maatregelen te nemen. Bovendien kan het ict-leveranciers aanzetten tot meer haast voor het dichten van een gat.

In de praktijk is de snelheid waarmee crackers komen met exploitcode al dermate hoog dat onthulling vaak een verplichte optie is geworden. Microsoft heeft nu een nieuw security-initiatief onthuld waarbij het een tussenweg kiest in deze security-discussie.

De Windows-producent onthult details over beveiligingskwesties vóórdat het een patch klaar heeft, maar het deelt die kennis alleen met een selecte club leveranciers van beveiligingsproducten. Daarnaast biedt Microsoft ook een barometer voor de mate waarin een gat misbruikt kan worden. Voorheen was de Amerikaanse softwareproducent tegenstander van onthulling (disclosure) van beveiligingskwesties.