Meter-hackers Vind gratis parkeerplaats in San Francisco

De ambitieuze plannen van San Francisco om geautomatiseerde slimme parkeermeters uit te rollen, hebben een addertje onder het gras: ze kunnen worden gehackt voor gratis parkeren. Beveiligingsonderzoekers zeggen dat het voor een technisch onderlegde hacker gemakkelijk is om een ​​valse betaalkaart te maken die hen onbeperkt gratis geeft parkeren. Om hun punt te bewijzen, zullen ze vertellen over hoe ze zo'n kaart hebben gebouwd in ongeveer drie dagen op een computerbeveiligingsconferentie donderdag.

Volgens Joe Grand, eigenaar van Grand Idea Studio, kunnen parkeermeters van San Francisco niet vertellen het verschil tussen een echte betaalkaart en een nep. Deze kaarten kunnen worden gebruikt om 23.000 meter over de hele stad te betalen.

[Lees meer: ​​Hoe u malware van uw Windows-pc verwijdert]

Grand, die niet veel met smartcards had gewerkt, zei dat het werk niet bijzonder was moeilijk om te doen. Zijn kaart herhaalt eenvoudig dezelfde signalen die door echte kaarten op de meter worden gebruikt. Hoewel hij de kaart nooit heeft gebruikt om gratis te parkeren, zei Grand dat hij in staat was een kaart te maken met een saldo van US $

,99 - het maximaal mogelijke - dat nooit zonder geld zou komen.

"Als ik dit heb gevonden probleem is, is de kans groot dat iemand anders het probleem kent en mogelijk misbruikt, "zei hij. "Dat kost ons allemaal geld van de belastingbetaler." Om erachter te komen hoe het betaalsysteem werkte, koppelde Grand een oscilloscoop aan een parkeermeter en volgde hij wat er gebeurde toen hij een echte betaalkaart gebruikte. Vervolgens analyseerde hij die gegevens met de hand en schreef een softwareprogramma dat de smartcard zou emuleren. Na wat vallen en opstaan, bedacht hij eindelijk wat zijn programma aan de meter moest zeggen om te kunnen werken. Toen bouwde hij een kaart die dezelfde gegevens zou herhalen, met behulp van een programmeerbare smartcard, een Silver Card.

San Francisco gebruikt McKay Guardian XLE-meters, zei Grand, maar omdat deze meters in verschillende steden anders worden geïmplementeerd, kan zijn techniek Niet werken buiten San Francisco. Steden in de Verenigde Staten implementeren geautomatiseerde parkeersystemen die zijn ontworpen om gemakkelijker te betalen en te beheren. De slimme meters van San Francisco zijn uitgerold als onderdeel van een breder programma, bekend als SFpark, dat uiteindelijk parkeersensoren zal inzetten die kunnen detecteren wanneer een ruimte leeg is en die informatie draadloos kunnen verzenden naar bestuurders die op zoek zijn naar plekken.

Maar er zijn enkele problemen. In mei stopten ongeveer 125 slimme meters in Chicago met werken, wat speculatie suggereerde dat de machines mogelijk gehackt waren. Stadsbestuurders schreven het falen van een computerglitch toe, en Grand zei dat de verklaring van de stad klinkklank is. "Ik denk persoonlijk dat de fouten een firmware-probleem waren, een bug in het systeem," zei hij.

Omdat ze nog nooit eerder naar parkeermeters hadden gekeken, Grand en zijn twee co-onderzoekers, Jacob Appelbaum en Chris Tarnovsky, ook heb wat tijd besteed aan het uit elkaar halen van een parkeermeter die ze op eBay hebben opgehaald en betaalkaarten om te begrijpen hoe ze werken. Ze zullen hun bevindingen presenteren op de Black Hat-beveiligingsconferentie op donderdag in Las Vegas.

Ze zijn echter niet van plan volledige technische details te verstrekken over hoe ze hun valse kaart hebben gebouwd, omdat die informatie kan worden misbruikt voor bilk San Francisco.

Ze zeggen dat als San Francisco fraude op zijn systeem wil voorkomen, het moet kijken naar het beveiligen van de meters door een betere manier te ontwikkelen om smartcards te authenticeren. Dit kan inhouden dat de meters nog slimmer moeten worden, zodat ze tijdens elke transactie met elkaar kunnen communiceren en digitale handtekeningen kunnen verwerken.

Hardware-apparaten moeten niet worden vertrouwd, ze moeten worden geanalyseerd voordat ze worden geïmplementeerd.. "Deze apparaten zijn niet beveiligd."