Meter Hackers Encontre Estacionamento Gratuito em São Francisco

Os planos ambiciosos de San Francisco para a implantação de parquímetros inteligentes informatizados atingiram um obstáculo: eles podem ser hackeados para estacionamento gratuito.

Pesquisadores de segurança dizem que é fácil para um hacker tecnicamente experiente fazer um cartão de pagamento falso que lhes dá acesso ilimitado estacionamento. Para provar seu ponto, eles vão falar sobre como eles construíram exatamente um cartão em cerca de três dias em uma conferência de segurança de computadores.

De acordo com Joe Grand, proprietário do Grand Idea Studio, os parquímetros de San Francisco não têm como dizer a diferença entre um cartão de pagamento genuíno e um falso. Esses cartões podem ser usados ​​para pagar 23.000 metros em toda a cidade.

[Leia mais: Como remover malware do seu PC Windows]

Grand, que não trabalhou muito com cartões inteligentes, disse que o trabalho não era particularmente difícil de fazer. Sua carta simplesmente reproduz os mesmos sinais usados ​​pelos cartões genuínos no medidor. Embora ele nunca tenha realmente usado o cartão para obter estacionamento gratuito, Grand disse que ele foi capaz de construir um cartão com um saldo de US $

,99 - o máximo possível - que nunca ficaria sem fundos.

"Se eu encontrasse este problema, as chances são de que alguém sabe sobre o problema e, possivelmente, está explorando isso ", disse ele. “Isso está custando dinheiro a todos nós contribuintes.”

Para descobrir como funcionava o sistema de pagamento, Grand ligou um osciloscópio a um parquímetro e monitorou o que acontecia quando ele usava um cartão de pagamento genuíno. Ele então analisou os dados manualmente e escreveu um programa de software que emularia o cartão inteligente. Depois de algumas tentativas e erros, ele finalmente descobriu o que seu programa precisava dizer ao medidor para trabalhar. Então ele construiu uma placa que reproduzia os mesmos dados, usando um cartão inteligente programável chamado Silver Card.

São Francisco usa medidores McKay Guardian XLE, disse Grand, mas como esses medidores são implementados de maneiras diferentes em cidades diferentes, sua técnica pode não funcionam fora de São Francisco

As cidades dos EUA estão implementando sistemas de parquímetros computadorizados projetados para serem mais fáceis de pagar e gerenciar. Os medidores inteligentes de São Francisco foram lançados como parte de um programa mais amplo, conhecido como SFpark, que irá implantar sensores de estacionamento que podem detectar quando um espaço está vazio e transmitir essas informações sem fio para os motoristas que procuram pontos.

alguns problemas. Em maio, cerca de 125 medidores inteligentes em Chicago pararam de funcionar adequadamente, levando a especulações de que as máquinas poderiam ter sido hackeadas.

Os funcionários municipais atribuíram o fracasso a uma falha no computador, e Grand disse que a explicação da cidade parece correta. "Pessoalmente, acho que as falhas foram um problema de firmware, um bug no sistema", disse ele.

Porque nunca haviam olhado para parquímetros antes, Grand e seus dois co-pesquisadores, Jacob Appelbaum e Chris Tarnovsky, também passaram algum tempo desmontando um parquímetro que compraram no eBay e cartões de pagamento para entender como eles funcionam. Eles apresentarão suas descobertas na conferência de segurança da Black Hat em Las Vegas na quinta-feira. Eles não pretendem fornecer detalhes técnicos completos sobre como eles construíram seu cartão falso, no entanto, como essa informação poderia ser mal utilizada para enganar São Francisco.

Eles dizem que se São Francisco quiser evitar fraudes em seu sistema, ele deve procurar garantir os medidores desenvolvendo uma maneira melhor de autenticar os cartões inteligentes. Isso pode envolver tornar os medidores ainda mais inteligentes, para que eles possam se comunicar uns com os outros e processar assinaturas digitais durante cada transação.

"Dispositivos de hardware não devem ser confiáveis, eles precisam ser analisados ​​antes de serem implantados", disse Grand.. "Esses dispositivos não são seguros".