Na DEF CON 2023, a palestra de dois estudantes sobre vulnerabilidades no metrô de Boston deu o que falar. Durante 2 anos, a dupla trabalhou em uma pesquisa que demonstra a possibilidade de clonar cartões, fazer recargas ilimitadas e atribuir funções especiais para obter benefícios como viagens gratuitas ilimitadas.
Mas essas vulnerabilidades não são tão recentes quanto se imagina!
Não é de hoje que o metrô de Boston é assunto nas edições da DEF CON: um dos maiores escândalos da história da conferência já envolvia as falhas de segurança na bilhetagem do metrô.
Quer saber o desfecho dessa história? Leia a seguir!
Vulnerabilidades no Metrô de Boston: uma velha história
Há exatos 15 anos, em agosto de 2008, pouco antes de um grupo de estudantes do MIT planejar dar uma palestra na conferência sobre um método que encontraram para conseguir viagens gratuitas no sistema de metrô de Boston, a MBTA (Autoridade de Transporte da Baía de Massachusetts) os processou e obteve uma ordem de restrição para impedi-los de subir ao palco. A palestra foi cancelada, mas não antes que os slides dos hackers fossem amplamente distribuídos aos participantes da conferência e publicados na internet.
A partir destes registros, Matty Harris e Zachary Bertocchi, dois estudantes da Medford Vocational Technical High School, estavam no metrô de Boston quando Harris contou a Bertocchi sobre um artigo da Wikipedia que leu sobre o ocorrido.
Foi então que surgiu a ideia de replicar o trabalho dos hackers do MIT, a fim de verificar se o problema persistia. Depois de uma longa jornada de testes, o desfecho da história foi surpreendente e os levou até os palcos da DEF CON em 2023: o metrô não havia corrigido o problema de 15 anos atrás!
Clonagem de cartões e créditos falsos
Com a ajuda de outros dois amigos hackers, a dupla de estudantes não só replicaram os truques dos hackers do MIT de 2008, mas foram além.
Como os cartões de tarja magnética pesquisados pela equipe de 2008 foram descontinuados, o grupo de adolescentes estendeu as pesquisas para fazer uma engenharia completa dos novos modelos de cartão por aproximação, chamado CharlieCard.
Mesmo com a mudança no modelo dos cartões, os hackers conseguiram não só adicionar qualquer quantia de dinheiro a estes cartões, bem como designá-los como um cartão de estudante, de idoso e até de colaborador da MBTA, conseguindo viagens com descontos e, no último caso, viagens gratuitas ilimitadas.
Para demonstrar o resultado da pesquisa, os adolescentes chegaram ao ponto de criar sua própria vending machine portátil – um pequeno dispositivo touchscreen com um sensor de cartão RFID, que permite adicionar qualquer valor que desejarem a um CharlieCard ou alterar suas configurações.
Como foi realizada a clonagem dos cartões?
Os estudantes afirmaram que, quando iniciaram suas pesquisas em 2021, estavam apenas tentando replicar a pesquisa de hacking do CharlieTicket da equipe de 2008, mas quando a MBTA eliminou gradualmente esses cartões com tarja magnética, eles passaram a estudar o funcionamento interno dos CharlieCards. Após meses de tentativas e erros com diferentes leitores RFID, eles finalmente conseguiram despejar o conteúdo dos dados nos cartões e começar a decifrá-los.
Ao contrário dos cartões de crédito ou débito, cujos saldos são rastreados em bancos de dados externos, e não nos próprios cartões, os CharlieCards armazenam, na verdade, cerca de um quilobyte de dados em sua própria memória, incluindo seu valor monetário. Para evitar que esse valor seja alterado, cada linha de dados na memória dos cartões inclui uma “soma de verificação”, uma sequência de caracteres calculada a partir do valor usando o algoritmo não divulgado do MBTA.
Comparando linhas idênticas de memória em cartões diferentes e observando seus valores de checksum, os hackers começaram a descobrir como funcionava a função de checksum. Eles finalmente conseguiram calcular somas de verificação que lhes permitiam alterar o valor monetário de um cartão, juntamente com a soma de verificação que faria com que um leitor Charlie Card o aceitasse como válido.
A partir disso, calcularam uma longa lista de somas de verificação para cada valor, de modo que pudessem alterar arbitrariamente o saldo do cartão para qualquer valor que escolhessem. A pedido da MBTA, eles não estão divulgando essa tabela, nem os detalhes de seu trabalho de engenharia reversa de checksum.
A resposta da MTBA
Em contraste com a atitude de 2008, a MBTA não ameaçou processar os estudantes, nem tentou evitar a palestra na DEF CON.
Em vez disso, convidou-os à sede da autoridade de transportes no início deste ano para fazer uma apresentação sobre as vulnerabilidades que encontraram. Então, a MBTA pediu educadamente que ocultassem parte de sua técnica para dificultar a replicação de outros hackers.
Os hackers dizem que a MBTA não corrigiu realmente as vulnerabilidades que descobriram e, em vez disso, parece estar esperando por um sistema de cartão de metrô totalmente novo que planeja lançar em 2025, alegando que a vulnerabilidade não representa um risco iminente que afete a seugrança, interrupção do sistema ou que viole dados pessoais.
Matty Harris, um dos estudantes que realizou a pesquisa, afirmou que está satisfeito com a atitude da MBTA ao não adotar uma abordagem tão rígida quanto ocorreu em 2008. “Se eles não tivessem feito isso”, diz Harris, “não estaríamos aqui”.