Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 28 reacties

Beveiligingsonderzoekers hebben kwetsbaarheden ontdekt in de rfid-kaartjes die bij Amerikaanse tolwegsystemen worden gebruikt. De tags kunnen niet alleen worden uitgelezen, maar ook gekloond en gevolgd worden.

Fastrak transponderDe details van zijn reverse engineering-werkzaamheden zal Nate Lawson, beveiligingsonderzoeker bij Root Labs, pas in augustus tijdens de Black Hat-conferentie in Las Vegas uit de doeken doen. Ook zal hij dan een opensourcetool beschikbaar maken waarmee bezitters van een tolkaartje hun gegevens af kunnen schermen van ongewenste gluurders. Lawson onderzocht het zogenoemde Fastrak-systeem waarmee bestuurders hun tol automatisch kunnen betalen. De rfid-tags worden echter ook gebruikt door verkeersinformatiesystemen om verkeersstromen in kaart te brengen. Hackers zouden die gegevens kunnen misbruiken, maar ze zouden ook gebruikt kunnen worden als bewijsmateriaal bij het opleggen van verkeersboetes, zo vreesde Lawson.

Samen met collega Chris Tarnovsky opende Lawson de hardware en onderzocht de firmware van de transponder-tags. De firmware gebruikte tot zijn schrik geen encryptie om de unieke codes die de eigenaar identificeert, op te slaan. Wel biedt de firmware ruimte voor encryptie, maar de makers kozen ervoor deze onbenut te laten. De identificatiecode dient om gegevens van centrale servers op te halen waar het saldo en andere informatie van de eigenaar opgeslagen staan. Omdat het volgens Lawson triviaal zou zijn om de rfid-kaart van een ander te klonen, besloot hij zijn kaart hardwarematig te beschermen: een addon-kaart activeert het rfid-deel van de Fastrak-kaart na een druk op een knop. Zodra de transactie is voltooid, wordt de energietoevoer naar de rfid-tag afgesloten en kan de kaart niet langer uitgelezen worden. Overigens biedt de fabrikant van de tags, Fastrak, een aluminium envelop om de tags in op te bergen: de informatie kan dan niet van de kaart uitgelezen worden, maar deze werkwijze is ietwat omslachtig.

Moderatie-faq Wijzig weergave

Reacties (28)

Je kan hooguit een kaart van een ander klonen en dan op zijn kosten proberen te rijden. Maar wie weet hangen er camara's bij die tolpunten en zie daar hup ze hebben je kenteken en je hebt een probleem.
Jah, het lijkt me ook wel een beetje verdacht als je auto ineens op plaatsen is. Je kan er vast wel bezwaar tegen indienen, maar het geeft wel weer een boel gedoe.

En als er ook camera's hangen is het inderdaad simpel genoeg om de logs te checken tegen de camera beelden of je RFID nummer wel klopt met je nummerbord.
Ja want iemand kan natuurlijk niet een vals kenteken aan z'n auto hangen.
Voor veel mensen is de stap kleiner om een rfid kaartje te "kopieren" dan een compleet nummerbord te vervalsen. Je hebt dus inderdaad gelijk dat het systeem zo nog te frauderen is maar dat zal in de praktijk niet zo'n vaart lopen waarschijnlijk.

In Nederland zie je sinds de invoering van trajectcontrole toch ook niet iedereen nummerborden wisselen?

Edit\ @ rico750, dat is niet helemaal juist. In de meeste staten moet je voor ůf achter een nummerbord hebben. Eentje is dus genoeg.

[Reactie gewijzigd door Maks op 11 juli 2008 00:21]

In Nederland zie je sinds de invoering van trajectcontrole toch ook niet iedereen nummerborden wisselen?
Klopt, dat doen we met een automatisch roulerende draaier met 3 platen eraan :+

Wat ik een beetje, en ook een beetje bij de Nederlandse overheid mis is dat de centrale overheid alles wil oplossen met betalen, betalen en nog eens betalen. Steeds meer moeten betalen ergerd de mensen alleen maar en werkt averechts. De centrale overheid heeft normaliter de taak om de basting centjes van de burger dermate goed te besteden aan infrastructuur dat er weinig tot geen obstakels zijn.

En kijk iedere keer wat er gebeurt, ook op andere vlakken zoals gezondheidszorg, we blijven maar meer betalen, al 2 decennia lang en wat heeft het verbeterd ? Niets !

Het word tijd dat de overheid eens op houd met geld opmaken aan loze projectjes zoals de Betuwelijn, de Noord-Zuid lijn met de metro zoals in Amsterdam terwijl er een sneltram rijd etc etc. Zolang daar niemand tegen in verwwer komt en het maar blijft accepteren dat we ministers hebben, keer op keer, die maar geld lopen te verkwanselen dan hebben we niet eens recht tot spreken.

Nederland klaagt en ouwehoert teveel en we komen te weinig in actie. Zoalng we dat niet doen blijven ze deze trend doorzetten die Clingendael boys/girls, betalen tot er niet meer tegen op te werken valt, en dan ?

Maar goed, heb je heerlijk gewerkt de hel dag, stress tot in je kleine teentje en dan krijg je je overheidsbonus, file. In de jaren hadden de mensen geen burn out, geen duur sociaal netwerk om mensen op te hoeven vangen, mensen die minder aan het werk gingen omdat hun hoofdje volliep. Sinds we aan de 2 verdieners "moesten" en anderen mensen in de wereld moetsen helpen is onze uitgave post alleen maar groter geworden. Maar dat begrijpen ze in Den Haag niet, je bedenkt het 1, het leverd een aantal jaren rendement op en dan mag de volgende generatie jarenlang bloeden voor het lumineuze idee van 1 de herders in deze wereld. Nee, we bedenken kinderopvang etc. zodat moeders ook aan het werk kan en de winst per saldo ? Het kost alleen maar meer.

Slaap lekker allemaal, laat ze maar lekker stoeien met hun RFID boeien, want meer is het niet, alsof je dankbaar moet zijn om boven de wegenbelasting, verzekering, brandstof accijns + kwartje van Kok ook nog eens voor een "vrije" snelweg te betalen, buiten het parkeerkaartje/vergunning om. Reken maar eens voor de gein uit wat op die manier + je BPM je autogebruik over 10 jaar kost. Hou er wel rekening mee dat als je dat doet een devribilator en een zuurstoffles in de buurt heb, anders overleef je dat niet ;)
Heb je heerlijk in de stress gezeten, kan je ff uitblazen in de file, muziekje aan, ff hersenloos aansluiten en zie daar, voor je het weet ben je thuis :)
in america hebben ze geen nummer borden aan de voorkant van de auto
Onzin, in California zijn voorplaten verplicht. Dit is per staat anders.
ach uitgangspunt is toch de RFID - pas bij klagen zullen ze denk ik de kentekenplaten bekijken.
Precies, zitten ze hier te klagen dat de ov-chipkaart geen encryptie heeft die sterk genoeg is. Daar doen ze het gewoon zonder en dat ook nog eens (lijkt het) met kaarten die van veel grotere afstand dan een paar mm te lezen zijn. Kaarten die op auto's zitten die wel heel vaak onbeheerd zomaar ergens, voor iedereen toegankelijk, staan.
Zo'n chipkaart zit bijv. in m'n portemonnee en die is al snel te dik om die tag uit te lezen. Verder pleeg ik m'n buidel doorgaans niet zomaar ergens op straat achter te laten. :Y)
Vergeet niet dat de de chip die in de OV-kaart zit (ben even de naam kwijt) ůůk in London al geruime tijd voor de metro wordt gebruikt en voor bijna ťlk gebouw dat met een pasje beveiligd is! Wij hebben gewoon de pech/geluk dat op het moment van het invoeren de boel gekraakt wordt! Dus de encryptie was lange tijd goed genoeg!
Security by obscurity is op de lange termijn erg onveilig en de OV-kaart (ook die in Londen dus) is hiervan een sprekend voorbeeld.

De fabrikant gaat er vanuit dat als het ontwerp niet bekend is het niet gekraakt kan worden met de huidige stand van zaken. Op de lange termijn komen er echter meer geavanceerde 'hack-tools' waardoor het uiteindelijk kinderlijk eenvoudig te hacken is.

Ik geloof dat de in opspraak geraakte universiteit bezig is met een nieuwe OV-kaart die uitgaat van security by design. Dat zou wel een stuk veiliger moeten zijn. Time will tell :)
Dat er bij een dergelijk systeem niet gebruik wordt gemaakt van encryptie is wel heel erg slecht. Alles valt te hacken inderdaad. Maar als je er niet eens een encryptie op zet maak je het mensen wel heel gemakkelijk.
Zitten die pasjes niet in een beschermende houder op je ruit geplakt?

Ik was eerder dit jaar in een huurauto in Amerika en deze had een doosje achter de achteruitkijkspiegel op het raam geplakt.
Deze moest je echt open trekken want anders pakten die tolpoortjes de tags niet.

Lijkt me dat zo'n simpele oplossing ook gewoon tegen kopiŽren werkt?
Heeft zo'n tolstrook dan ook nog voordelen tov de gewone rijstrook?
Wat denk je? Je hebt er geen FILE!

Dit is ongeveer het zelfde idee als een carpool strook, dan mag je enkel op de carpool baan rijden als je met 2 of meer in de auto zit :) En opnieuw, geen file!
Heeft helemaal niks met files te maken. De tol strook heeft geen voordelen omdat iedereen op dat punt tol dient te betalen. In Amerika is er geen wegenbelasting en betaal je dus vaak tol bij bruggen en wegen, verschilt ook heel erg per staat. Zijn ook wegen die gesponsord worden door het bedrijfsleven (zijn meestal ook de knapste van allemaal).

Het voordeel dat dit rfid systeem bied is dat je gelijk kan doorrijden. Rustig aankomen rijden voor het tolpoortje en het gas er weer op, anders moet je toch echt even stil gaan staan en je creditcard pakken.

http://citytransport.info...niversity_Toll_Plazaa.jpg
Geen file is onzin. Als iedereen op die tolstrook gaat rijden dan staat het daar ook binnen de kortste keren vast.
Klopt...maar de grap is dat mensen weigeren te betalen. Op een paar na. Die hebben graag wat geld over om niet in de file te staan. Bij Dordrecht heb je een tunnel waar je tol moet betalen. Daar staat nooit een file en je kan er voluit doorheen rijden. Dat komt omdat 95% van de mensen liever in de spits 20 km omrijdt via de A16,A15 en A29 om een paar euro te besparen. Dat ze die euros nu uitgeven aan benzine en er veel langer over doen dringt niet door. (Blijven doen hoor mensen, ik rijd graag door die tunnel zonder file)

[Reactie gewijzigd door Ortep op 10 juli 2008 20:14]

Alle bruggen in de Bay-Area zijn tolwegen?
http://www.bayareafastrak.org/static/facilities/index.shtml
inclusief de Golden Gate Bridge
Wel interessant:

"Any 2-axle vehicle, without trailer(s), carrying three or more persons, may cross toll-free in designated lane(s)."

Scheelt je toch elke keer weer $4,- over de bruggen.
Er is dus een soortement van 'casual carpool' de stad in. De stad uit is nog steeds tol-vrij, dus als je met iemand meerijdt de stad in, moet je terug gewoon weer de bus nemen.
De 91 toll-lanes zijn zo'n 15 kilometer lang, en lopen langs een van de drukste snelwegen hier in de buurt.... en de enige oost/west verbinding van Orange County richting Riverside County vanwege bergen.

En inderdaad je bent sneller door de ellende heen met tolstroken. :P
Alles is te hacken, dat staat al een hele tijd vast. De vraag is alleen of het rendabel is om iets te hacken. Dus als een systeem zoveel tijd kost om te hacken dat het niet meer redabel is heeft de beveiliging gewerkt.
Maar het kan wel verdomt moeilijk worden gemaakt. Door bewezen encryptiestandaarden te gebruiken, vanaf het begin securtiy in het achterhoofd houden etc etc.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True