US-Mautsystem "anfällig für Betrug"
Sicherheitsexperte Nate Lawson will eine Methode gefunden haben, Transponder des unter anderem in Kalifornien eingesetzte "FasTrak"-Systems zu klonen.
Wer in der kalifornischen Region um San Francisco unterwegs ist und dabei das automatisierte "FasTrak"-Mautsystem verwendet, um die Gebühren für Brücken und Straßen drahtlos zu entrichten, könnte Gefahr laufen, Opfer von Betrügern zu werden. Davon ist zumindest Nate Lawson überzeugt, Sicherheitsexperte bei der IT-Security-Firma Root Labs.
Lawson hat die Angreifbarkeit des Systems überprüft und kam im Gegensatz zu den Beteuerungen des Herstellers zu der Überzeugung, dass die eindeutigen Identifikationsnummern, die der bei FasTrak verwendete Transponder nutzt, um einzelne Kunden zu unterscheiden, kopiert oder überschrieben werden können. Da dies mit relativ wenig Aufwand möglich sei, werde Kriminellen Tür und Tor geöffnet, meint Lawson. Auch das Klonen von Transpondern sei möglich, indem die ID eines anderen Fahrers entnommen und auf den eigenen Transponder hochgeladen werde. So wären Betrüger dann kostenlos unterwegs, während ein anderer die Rechnung zahle. "Es ist ein trivialer Akt, den FasTrak-Sender zu klonen. Ich selbst habe bereits mehrere Klone meiner eigenen ID erstellt", sagte Lawson gegenüber der Online-Ausgabe des Technologiemagazins Technology Review.
Die für FasTrack zuständige kalifornische Behörde MTC gab an, sie halte ihr System nach wie vor für sicher, werde sich Lawsons Erkenntnisse aber ansehen. "Wir arbeiten mit dem Hersteller zusammen, um potenzielle Risiken erkennen und korrigieren zu können", hieß es in einer Stellungnahme, "wir verbessern außerdem die Überwachung unseres Systems, um potenzielle betrügerische Aktivitäten auszuschließen".
In der Vergangenheit hatten die Behörden stets beteuert, dass das FasTrak-System eine Verschlüsselung nutze, um die Daten zu schützen. Nachdem Lawson den Sender geöffnet hatte, stellte er allerdings fest, dass es keine echte Sicherheitsschicht gab, mit denen die in den Transpondern enthaltenen ID-Nummern geschützt werden. Außerdem könne man diskret auf Parkplätzen mit einem Lesegerät entsprechende IDs entnehmen. Hinzu kommt ein weiteres Problem: Obwohl der Hersteller behauptet, dass die IDs nur gelesen werden können, stecken sie in einem wiederbeschreibbaren Flash-Speicher, sagt Lawson. Er schlug vor, den FasTrak-Transponder zumindest abschaltbar zu machen, damit eine Entnahme der ID künftig nicht mehr so leicht möglich sei.
Mehr zum Thema in Technology Review online:
(bsc)
