Peajes de carretera pirateados

Conductores que utilizan el automatizado FasTrak El sistema de peaje en carreteras y puentes en el Área de la Bahía de California podría ser vulnerable al fraude, según una firma de seguridad informática en Oakland, CA.





Bajo el capó : Después de estudiar el funcionamiento de los transpondedores FasTrak como este, Nate Lawson dice que es posible copiar o cambiar los números de identificación que se usan para facturar a los conductores cuando pasan por los peajes de autopistas y puentes.

A pesar de las garantías anteriores sobre la seguridad del sistema, Nate Lawson de Laboratorios raíz afirma que los números de identidad únicos utilizados para identificar los transpondedores inalámbricos FasTrak que se llevan en los automóviles pueden copiarse o sobrescribirse con relativa facilidad.

Esto significa que los estafadores podrían clonar transpondedores, dice Lawson, copiando la identificación de otro conductor en su dispositivo. Como resultado, podrían viajar gratis mientras otros, sin saberlo, pagan la factura. Es trivial clonar un dispositivo, dice Lawson. De hecho, ya tengo varios clones con mi propia identificación.



Lawson dice que esto también plantea la posibilidad de utilizar el sistema FasTrak para crear coartadas falsas, sobrescribiendo la propia identificación en el dispositivo de otro conductor antes de cometer un delito. Los registros del sistema de peaje parecerían mostrar al perpetrador conduciendo en otro lugar cuando se estaba cometiendo el crimen, dice.

Hasta ahora, las fallas de seguridad solo se han verificado en el sistema FasTrak, pero otros sistemas de peaje, como Pase E-Z y Paso , también deben ser analizados, argumenta Lawson. Cada sistema moderno requiere una revisión de seguridad pública para asegurarse de que no haya problemas diferentes pero relacionados, dice. De hecho, en las últimas semanas, los investigadores anunciaron fallas en otro sistema de identificación inalámbrica: el chip Mifare Classic, que utilizan los viajeros en los sistemas de transporte de muchas ciudades, incluidas Boston y Londres. Sin embargo, la semana pasada, la Autoridad de Transporte de la Bahía de Massachusetts (MBTA) presentó una demanda para evitar que los estudiantes del MIT presentaran un análisis del sistema de metro de Boston.

La Comisión de Transporte Metropolitano del Área de la Bahía (MTC), que supervisa el sistema de peaje FasTrak, sostiene que es seguro pero dice que está investigando las reclamaciones de Lawson. MTC está en contacto con proveedores que fabrican equipos y dispositivos de carril FasTrak para identificar riesgos potenciales y acciones correctivas, dice el portavoz de MTC Randy Rentschler. También estamos mejorando la supervisión del sistema para detectar actividades potencialmente fraudulentas.



En el pasado, las autoridades han insistido en que el sistema FasTrak utiliza encriptación para proteger los datos y que no se almacenan datos personales en el dispositivo, solo dos números de identificación únicos asignados al azar. Uno de estos se usa para registrar el dispositivo cuando un cliente lo compra, mientras que el otro actúa como un identificador único para permitir que los receptores de radio en los peajes detecten los autos cuando pasan.

Pero cuando Lawson abrió un transpondedor, descubrió que no había seguridad que protegiera estas identificaciones. El dispositivo usa dos antenas, una para detectar una señal de solicitud del lector de peaje y otra para transmitir su identificación para que se pueda leer, dice.

Al copiar los ID de los lectores, fue posible activar el transpondedor para transmitir su ID. Este truco no tiene que llevarse a cabo en la carretera, señala Lawson, pero podría lograrse caminando por un estacionamiento e interrogando discretamente a los transpondedores.



Es más, a pesar de las afirmaciones anteriores de que los dispositivos son de solo lectura, Lawson descubrió que las identificaciones en realidad se almacenan en una memoria flash regrabable. Es probable que FasTrak no esté al tanto de esto, por lo que traté de ponerme en contacto con ellos, dice. Es posible enviar mensajes al dispositivo para sobrescribir la identificación de alguien, ya sea borrándolo o reemplazándolo con otra identificación, dice Lawson.

El acceso a un número de etiqueta no brinda la posibilidad de acceder a ninguna otra información, dice Rentschler de MTC. También creemos que sería necesario invertir un esfuerzo significativo en la clonación de etiquetas. Agrega: Si se detecta alguna actividad fraudulenta de peaje en la cuenta de un cliente, el sistema de control de peaje existente se puede utilizar para identificar y rastrear al perpetrador.

Lawson dice que usar cada identificación robada solo una vez dificultaría la localización de un estafador. Él cree que una mejor solución sería requerir que los lectores de peaje y los transpondedores lleven a cabo alguna forma de autenticación segura. Pero esto requeriría cambios por parte de MTC. Como alternativa, Lawson está trabajando en un kit de privacidad para permitir que los conductores enciendan y apaguen sus transpondedores para que solo sean vulnerables durante un breve período al pasar un peaje.



Hay otra forma, dice. Probablemente, lo mejor para el usuario sea dejarlo en casa. Esto se debe a que FasTrak utiliza el reconocimiento de matrículas como respaldo.

Ross Anderson , profesor de ingeniería de seguridad en la Universidad de Cambridge, en el Reino Unido, dice que muchos sistemas integrados están totalmente abiertos a la manipulación por parte de cualquiera que se moleste en pasar algún tiempo estudiándolos.

El uso competente del cifrado es la excepción y no la norma, agrega Anderson, y es poco probable que la situación cambie pronto. Una industria tras otra está adoptando la tecnología digital, y ninguno de ellos se da cuenta de que necesita experiencia en seguridad informática hasta que es demasiado tarde y los atacan, dice.

Bruce Schneier , director de tecnología de seguridad de BT, con sede en Mountain View, CA, dice que es demasiado fácil para las empresas salirse con la suya con una pésima seguridad informática. Honestamente, la mejor manera es que las empresas de transporte demanden a los fabricantes, dice. Entonces lo pensarán dos veces antes de vender productos de mala calidad en el futuro.

esconder