Хакеры счетчиков находят бесплатную парковку в Сан-Франциско
Исследователи безопасности говорят, что технически подкованному хакеру легко сделать поддельную платежную карту, которая дает им неограниченную бесплатную парковку. Чтобы доказать свою точку зрения, они расскажут о том, как они построили именно такую карту примерно через три дня на конференции по компьютерной безопасности в четверг.
По словам Джо гранда, владельца студии Grand Idea Studio, парковочные счетчики Сан-Франциско не могут отличить подлинную платежную карту и фальшивка. Эти карты можно использовать для оплаты 23 000 метров по всему городу.
Гранд, который не очень много работал со смарт-картами, сказал, что эта работа не была особенно трудной. Его карта просто воспроизводит те же сигналы, которые используются подлинными картами, на счетчик. Хотя он никогда на самом деле не использовал карту, чтобы получить бесплатную парковку, Гранд сказал, что он смог построить карту с балансом в 999,99 доллара США-максимально возможный-который никогда не будет исчерпан.
"Если я нашел эту проблему, скорее всего, кто-то еще знает об этой проблеме и, возможно, использует ее", - сказал он. - Это стоит денег всем нам, налогоплательщикам."
Чтобы выяснить, как работает платежная система, Гранд подключил осциллограф к парковочному счетчику и отслеживал, что происходит, когда он использует настоящую платежную карту. Затем он проанализировал эти данные вручную и написал программу, которая эмулировала бы смарт-карту. После нескольких проб и ошибок он, наконец, понял, что его программа должна была сказать счетчику, чтобы он работал. Затем он построил карту, которая воспроизводила бы те же данные, используя программируемую смарт-карту, называемую серебряной картой.
Сан-Франциско использует счетчики McKay Guardian XLE, сказал гранд, но поскольку эти счетчики реализованы по-разному в разных городах, его техника может не работать за пределами Сан-Франциско.
Города по всей территории США внедряют компьютеризированные системы парковочных счетчиков, предназначенные для облегчения оплаты и управления. Умные счетчики Сан-Франциско были развернуты в рамках более широкой программы, известной как SFpark, которая в конечном итоге развернет датчики парковки, которые могут обнаруживать, когда место пусто, и передавать эту информацию по беспроводной сети водителям, ищущим места.
Но возникли некоторые проблемы. В мае около 125 интеллектуальных счетчиков в Чикаго перестали работать должным образом, что вызвало предположение о том, что машины, возможно, были взломаны.
Городские власти приписали сбой компьютерному сбою, и Гранд сказал, что объяснение города звучит примерно правильно. "Я лично думаю, что сбои были проблемой прошивки, ошибкой в системе", - сказал он.
Поскольку они никогда раньше не смотрели на парковочные счетчики, Гранд и два его соавтора, Джейкоб Аппельбаум и Крис Тарновски, также потратили некоторое время на разборку парковочного счетчика, который они купили на eBay, и платежных карт, чтобы понять, как они работают. Они представят свои выводы на конференции Black Hat security conference в Лас-Вегасе в четверг.
Однако они не намерены предоставлять полную техническую информацию о том, как они построили свою поддельную карту, поскольку эта информация может быть использована не по назначению, чтобы обмануть Сан-Франциско.
Они говорят, что если Сан-Франциско хочет избежать мошенничества в своей системе, он должен подумать о защите счетчиков, разработав лучший способ аутентификации смарт-карт. Это может включать в себя создание счетчиков еще умнее, чтобы они могли взаимодействовать друг с другом и обрабатывать цифровые подписи во время каждой транзакции.
"Аппаратным устройствам нельзя доверять, их нужно анализировать, прежде чем они будут развернуты", - сказал Гранд. - Эти устройства небезопасны."
Автор: Keylogger.Org Команда