Compteur de Pirates, un Parking Gratuit à San Francisco
San Francisco ambitieux plans de déploiement informatisé de parking intelligent mètres ont frappé un hic: Ils peuvent être piraté pour parking gratuit.
Des chercheurs en sécurité disent que c'est facile pour un expert technique hacker à faire une fausse carte de paiement qui leur donne un accès illimité et gratuit parking. Pour prouver leur point, ils seront parler de comment ils ont construit une telle carte dans environ trois jours à un ordinateur conférence sur la sécurité de jeudi.
Selon Joe Grand, propriétaire de la Grande Idée Studio, San Francisco parking mètres n'ont aucun moyen de faire la différence entre une véritable carte de paiement et un faux. Ces cartes peuvent être utilisées pour payer de 23 000 mètres à l'échelle de la ville.
Grand, qui n'avait pas beaucoup travaillé avec des cartes à puce, a dit que le travail n'était pas particulièrement difficile à faire. Sa carte simplement rejoue les mêmes signaux utilisés par de véritables cartes au compteur. Bien qu'il n'a jamais réellement utilisé la carte pour obtenir un parking gratuit, le Grand a dit qu'il était en mesure de construire une carte avec un solde de US$999.99 -- le maximum possible, ce ne serait jamais à court de fonds.
"Si j'ai trouvé ce problème, les chances sont que quelqu'un d'autre est au courant du problème et peut-être est l'exploitation de son," at-il dit. "Que coûte de nous tous de l'argent des contribuables."
Pour comprendre comment le système de paiement travaillé, Grand relié à un oscilloscope à un parcomètre et de surveiller ce qui s'est passé quand il a utilisé une véritable carte de paiement. Il a ensuite analysé les données à la main, et a écrit un logiciel qui permettrait d'émuler la carte à puce. Après quelques essais et erreurs, il a enfin compris ce que son programme a besoin de dire pour que le compteur ne fonctionne pas. Puis il a construit une carte qui permettrait de rejouer les mêmes données, à l'aide d'une fonction programmable de la carte à puce appelée Carte Argent.
San Francisco utilise McKay Tuteur XLE mètres, le Grand a dit, mais parce que ces compteurs sont mis en œuvre différemment dans différentes villes, sa technique ne peut pas travailler à l'extérieur de San Francisco.
Les villes à travers les états-UNIS sont le déploiement de informatisés de stationnement systèmes de compteurs conçu pour être plus facile de payer et de gérer. San Francisco de compteurs intelligents ont été mis en œuvre dans le cadre d'un programme plus vaste, appelé SFpark, qui sera à terme de déployer des capteurs de stationnement qui peut détecter si un espace est vide et transmettre des informations sans fil pour les conducteurs à la recherche de spots.
Mais il y a eu quelques problèmes. En Mai, environ 125 compteurs intelligents dans Chicago cessé de fonctionner correctement, incitant à la spéculation que la machine peut avoir été piraté.
Les fonctionnaires de la ville attribue l'échec à une panne d'ordinateur, et le Grand dit que la ville explication de sons sur la droite. "Je pense personnellement que les échecs étaient un problème de firmware, un bug dans le système," dit-il.
Parce qu'ils n'avaient jamais regardé de stationnement avant, Grand et ses deux co-chercheurs, Jacob Appelbaum et Chris Tarnovsky, également passé du temps à prendre à part un parcomètre ils ont ramassé sur eBay cartes de paiement et de comprendre comment ils fonctionnent. Ils vont présenter leurs conclusions à la conférence sur la sécurité Black Hat à Las Vegas jeudi.
Ils n'ont pas l'intention de fournir toutes les données techniques concernant la façon dont ils ont construit leur fausse carte, cependant, que ces informations pourraient être utilisées à mauvais escient pour bilk San Francisco.
Ils disent que si San Francisco veut éviter la fraude sur son système, il devrait ressembler à la sécurisation de l'mètres par le développement d'une meilleure façon de s'authentifier de cartes à puce. Cela peut impliquer de faire le mètres encore plus intelligent, afin qu'ils puissent communiquer les uns avec les autres et le processus de signatures numériques lors de chaque transaction.
"Les périphériques matériels ne doivent pas être approuvés, ils doivent être analysés avant qu'ils ne soient déployés, Grand dit. "Ces appareils ne sont pas sécurisés."
Date de publication: Des chercheurs en sécurité disent que c'est facile pour un expert technique hacker à faire une fausse carte de paiement qui leur donne un accès illimité et gratuit parking. Pour prouver leur point, ils seront parler de comment ils ont construit une telle carte dans environ trois jours à un ordinateur conférence sur la sécurité de jeudi.
Selon Joe Grand, propriétaire de la Grande Idée Studio, San Francisco parking mètres n'ont aucun moyen de faire la différence entre une véritable carte de paiement et un faux. Ces cartes peuvent être utilisées pour payer de 23 000 mètres à l'échelle de la ville.
Grand, qui n'avait pas beaucoup travaillé avec des cartes à puce, a dit que le travail n'était pas particulièrement difficile à faire. Sa carte simplement rejoue les mêmes signaux utilisés par de véritables cartes au compteur. Bien qu'il n'a jamais réellement utilisé la carte pour obtenir un parking gratuit, le Grand a dit qu'il était en mesure de construire une carte avec un solde de US$999.99 -- le maximum possible, ce ne serait jamais à court de fonds.
"Si j'ai trouvé ce problème, les chances sont que quelqu'un d'autre est au courant du problème et peut-être est l'exploitation de son," at-il dit. "Que coûte de nous tous de l'argent des contribuables."
Pour comprendre comment le système de paiement travaillé, Grand relié à un oscilloscope à un parcomètre et de surveiller ce qui s'est passé quand il a utilisé une véritable carte de paiement. Il a ensuite analysé les données à la main, et a écrit un logiciel qui permettrait d'émuler la carte à puce. Après quelques essais et erreurs, il a enfin compris ce que son programme a besoin de dire pour que le compteur ne fonctionne pas. Puis il a construit une carte qui permettrait de rejouer les mêmes données, à l'aide d'une fonction programmable de la carte à puce appelée Carte Argent.
San Francisco utilise McKay Tuteur XLE mètres, le Grand a dit, mais parce que ces compteurs sont mis en œuvre différemment dans différentes villes, sa technique ne peut pas travailler à l'extérieur de San Francisco.
Les villes à travers les états-UNIS sont le déploiement de informatisés de stationnement systèmes de compteurs conçu pour être plus facile de payer et de gérer. San Francisco de compteurs intelligents ont été mis en œuvre dans le cadre d'un programme plus vaste, appelé SFpark, qui sera à terme de déployer des capteurs de stationnement qui peut détecter si un espace est vide et transmettre des informations sans fil pour les conducteurs à la recherche de spots.
Mais il y a eu quelques problèmes. En Mai, environ 125 compteurs intelligents dans Chicago cessé de fonctionner correctement, incitant à la spéculation que la machine peut avoir été piraté.
Les fonctionnaires de la ville attribue l'échec à une panne d'ordinateur, et le Grand dit que la ville explication de sons sur la droite. "Je pense personnellement que les échecs étaient un problème de firmware, un bug dans le système," dit-il.
Parce qu'ils n'avaient jamais regardé de stationnement avant, Grand et ses deux co-chercheurs, Jacob Appelbaum et Chris Tarnovsky, également passé du temps à prendre à part un parcomètre ils ont ramassé sur eBay cartes de paiement et de comprendre comment ils fonctionnent. Ils vont présenter leurs conclusions à la conférence sur la sécurité Black Hat à Las Vegas jeudi.
Ils n'ont pas l'intention de fournir toutes les données techniques concernant la façon dont ils ont construit leur fausse carte, cependant, que ces informations pourraient être utilisées à mauvais escient pour bilk San Francisco.
Ils disent que si San Francisco veut éviter la fraude sur son système, il devrait ressembler à la sécurisation de l'mètres par le développement d'une meilleure façon de s'authentifier de cartes à puce. Cela peut impliquer de faire le mètres encore plus intelligent, afin qu'ils puissent communiquer les uns avec les autres et le processus de signatures numériques lors de chaque transaction.
"Les périphériques matériels ne doivent pas être approuvés, ils doivent être analysés avant qu'ils ne soient déployés, Grand dit. "Ces appareils ne sont pas sécurisés."
Auteur: Keylogger.Org L'Équipe
