Все о RFID
RFID и системы  доступа
RFID и программы лояльности
Адрес:
Группа компаний "Релвест"
191015, Санкт-Петербург, ул. 9-я Советская, д.4
Телефоны:
(+7-812) 274 6078, 274 5623.
 

Взломана RFID-система оплаты автодорог

Система автоматического сбора пошлины за проезд по магистралям взломана, имеется опасность утечки персональной информации. Исследователь нашел уязвимости в широко используемой в США системе FasTrak для автоматического сбора пошлины за проезд по автомагистралям.

Хотя проноситься мимо пропускных пунктов без остановки для оплаты проезда очень удобно и экономит время, имеется опасность утечки персональной информации. Это обнаружил участник конференции Black Hat. Оказывается, используемые в этой системе устройства подвержены атакам, которые позволяют перехватывать передающуюся информацию, клонировать устройства оплаты и тайно следить за водителями.

Водители обычно прикрепляют транспондер (основанное на технологии RFID автоматическое приемопередающее устройство, посылающее данные в ответ на принятый сигнал) на лобовое стекло чтобы сэкономить время на оплате пошлин за проезд. Нэйт Лоусон, глава Root Labs, продемонстрирует на ближайшей конференции Black Hat что ему удалось найти в этих RFID чипах уязвимости (намёк: никакого шифрования) и выпустит устройство с открытой документацией для защиты от взлома.

Транспондеры, используемые в FasTrak, содержат только уникальный идентификационный код для каждого пользователя системы, а информация о балансе на счету и другая финансовая и персональная информация хранится на центральных серверах. Лоусон считает, что получить какую-либо информацию о том как защищены эти сервера достаточно сложно, так что насколько защищена персональная информации клиентов остается пока неясным. По его словам он еще не исследовал другие системы кроме EZPass — их защита зависит от того как собирается и обрабатывается информация.

По словам Лоусона, он с самого начала не желал использовать систему автоматического сбора пошлины из-за опасности раскрытия персональной информации, но всё же причиной досконально разобраться в работе системы послужила новость о возможности получения информации о пробках, что привело его на мысль, что датчики установлены те только на пунктах сбора, но и на столбах освещения вдоль дорог. «Таким образом они могут следить за проходящими машинами в реальном времени», - заявил он.

«Скорей всего информация остается там на какое-то время, что превращает транспондеры в объект для хакинга».

После взлома аппаратного обеспечения и изучения прошивки с помощью своего товарища исследователя Криса Тарновски, Лаусон сказал, что для него было сюрпризом отсутствие какого-либо шифрования внутри устройства, хотя в прошивке имеется специально предназначенное место для шифрующего ключа, которое осталось незадействованным. Странно, что до сих пор не распространилось мошенничество - клонирование и продажа взломанных и перепрограммированных «бесплатных транспондеров». «С технической точки зрения нет ничего, что могло бы этому помещать». Также Лоусон исследовал возможность внедрения вредоносного кода в FasTrak транспондеры. Хотя его исследования в этом направлении еще не закончены, он считает что устройства для этого вполне подходят.

Тем временем фирма FasTrak предлагает алюминиевые антистатические контейнеры в которые водители могут положить RFID чип после проезда пункта сбора пошлины, но это неудобно и потенциально опасно — засовывать на ходу во время движения, считает Лоусон, Поэтому он пришёл к альтернативному решению как защитить FasTrak транспондер от перехвата и утечки информации. «Я разработал дополнительную плату, подключаемую к устройству. Вы нажимаете кнопку на ней при приближении к пункту оплаты, плата активирует чип RFID, и затем, после проезда, отключает питание от всей цепи.»

Лоусон бесплатно предлагает разработанную им технологию для любых фирм и заинтересованных исследователей. Также он предоставляет бесплатные консультации фирмам, обслуживающим пункты сбора пошлин которые нуждаются в помощи по защите своих систем сбора пошлин.

Кроме этого Лоусон приготовил другой хак — самодельный сниффер, который записывает сообщения, передаваемые между RFID чипом и системой слежения за движением на фонарных столбах вдоль трассы. Это позволяет следить за передвижениями других людей.

Источник: http://www.xakep.ru/post/44393/default.asp