Android

Meter Hackers Trouver un parking gratuit à San Francisco

Watchdogs 2 - Bus, Cable Car & Boat Locations - 3 Transportation Achievements/Trophies

Watchdogs 2 - Bus, Cable Car & Boat Locations - 3 Transportation Achievements/Trophies
Anonim

Les chercheurs en sécurité disent qu'il est facile pour un hacker techniquement averti de fabriquer une fausse carte de paiement parking. Pour prouver leur point, ils vont parler de la façon dont ils ont construit une telle carte dans environ trois jours lors d'une conférence de sécurité informatique jeudi.

Selon Joe Grand, propriétaire de Grand Idea Studio, les parcmètres de San Francisco n'ont aucun moyen la différence entre une véritable carte de paiement et un faux.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Grand, qui n'avait pas beaucoup travaillé avec les cartes à puce, a déclaré que le travail n'était pas particulièrement difficile à faire. Sa carte rejoue simplement les mêmes signaux utilisés par les cartes authentiques au compteur. Bien qu'il n'ait jamais utilisé la carte pour se garer gratuitement, Grand a dit qu'il était capable de construire une carte avec un solde de

,99 $ US - le maximum possible - qui ne manquerait jamais de fonds.

«Si je trouvais ça problème, il y a des chances que quelqu'un d'autre connaisse le problème et l'exploite peut-être », a-t-il dit.

Pour comprendre comment fonctionnait le système de paiement, Grand a branché un oscilloscope à un parcmètre et a surveillé ce qui s'était passé lorsqu'il a utilisé une véritable carte de paiement. Il a ensuite analysé ces données à la main, et a écrit un logiciel qui émulerait la carte à puce. Après quelques tâtonnements, il a finalement compris ce que son programme avait besoin de dire au mètre pour pouvoir travailler. Puis il a construit une carte qui rejouerait les mêmes données, en utilisant une carte à puce programmable appelée Silver Card.

San Francisco utilise des compteurs McKay Guardian XLE, dit Grand, mais comme ces compteurs sont implémentés différemment dans différentes villes, sa technique peut pas de travail à l'extérieur de San Francisco.

Des villes à travers les États-Unis déploient des systèmes de parcmètres informatisés conçus pour être plus faciles à payer et à gérer. Les compteurs intelligents de San Francisco ont été déployés dans le cadre d'un programme plus large, SFpark, qui finira par déployer des capteurs de stationnement capables de détecter la présence d'un espace vide et de transmettre cette information sans fil aux automobilistes en quête de spots. quelques problèmes. En mai, environ 125 compteurs intelligents à Chicago ont cessé de fonctionner correctement, laissant supposer que les machines auraient été piratées.

Les autorités municipales ont attribué l'échec à un problème d'ordinateur, et Grand a dit que les explications de la ville semblaient exactes. "Je pense personnellement que les échecs étaient un problème de firmware, un bug dans le système", at-il dit.

Parce qu'ils n'avaient jamais regardé les parcomètres avant, Grand et ses deux co-chercheurs, Jacob Appelbaum et Chris Tarnovsky, aussi passé un certain temps à démonter un parcmètre qu'ils ont ramassé sur eBay et des cartes de paiement pour comprendre comment ils fonctionnent. Ils présenteront leurs conclusions à la conférence de Black Hat sur la sécurité à Las Vegas jeudi.

Ils n'ont pas l'intention de fournir des détails techniques complets sur la façon dont ils ont construit leur fausse carte, car cette information pourrait être utilisée à mauvais escient.

Ils disent que si San Francisco veut éviter la fraude sur son système, il devrait chercher à sécuriser les compteurs en développant un meilleur moyen d'authentifier les cartes à puce. Cela peut impliquer de rendre les compteurs encore plus intelligents, de sorte qu'ils puissent communiquer entre eux et traiter les signatures numériques lors de chaque transaction.

"Les périphériques matériels ne doivent pas être approuvés, ils doivent être analysés avant d'être déployés". "Ces périphériques ne sont pas sécurisés."