Guardarci dentro: il Telepass
Sono il (felice) possessore di un apparecchio Telepass, che mi consente di evitare, spesso e volentieri, le lunghe file ai caselli autostradali, ad un costo di servizio assolutamente irrisorio (approssimabile a zero). Recentemente però, da quando in particolare guido l’auto di mio padre, una Grande Punto, ho avuto parecchie noie con il mio fedele apparecchietto, che ha deciso di non volerne sapere di dialogare con le centraline di alcuni caselli. Da alcune valutazioni lanciate li per caso con Danilo, di rientro da Pisa (HackMeeting 2007), ho pensato di smontare il mio apparecchietto per vedere come fosse fatto al suo interno.
Il Telepass è un trasponder RFID attivabile a distanza da un’antenna che trasmette a microonde in DSRC (Dedicated Short Range Communication) ad una frequenza di 5.8Ghz. Si tratta di un apparecchio “semi-passivo”, quindi, dotato di una fonte di alimentazione propria, ma attivato solo su richiesta di un’antenna trasmittente in modo da ridurne il consumo energetico ed allungarne quindi la vita utile. Alcune interessanti informazioni statistiche sul Telepass e sul suo funzionamento, le possiamo reperire qui, anche se le slides non sono proprio aggiornate, e qui.
Esternamente, il Telepass si presenta come una scatoletta di plastica dalla forma rettangolare e sezione schiacciata da un lato, di circa 7cm di lato, 3 di larghezza, ed un’altezza variabile tra 1 e 3cm a seconda del lato. Apparentemente sigillata, la scatoletta di plastica non presenta alcuna particolarità (alloggiamenti esterni per batterie o altre aperture), ed è dotata di una striscia di velcro che ne consente il fissaggio al parabrezza del mezzo di trasporto al quale sarà associato.
In realtà però, con un po’ di prove si scopre che è costituito da tre differenti parti esterne: un divisorio (la sezione gialla) e due coperchi grigi, uno dei quali non è agganciato al divisorio giallo ma solamente infilato tramite alcune punte in plastica. Facendo delicamente leva da un lato e poi dall’altro, lo si può sfilare senza traumi, svelando la piccola scheda elettronica al cui alloggiamento è destinata questa sezione dell’apparecchio.
Sin da subito, su questo lato della scheda, possiamo notare l’antenna (che ne occupa da sola quasi la metà) ed un piccolo circuito elettronico, preposto all’elaborazione del segnale ricevuto dall’antenna. Sull’altro lato della scheda invece, possiamo individuare la presa dell’alimentazione (che proviene tramite una coppia di fili dal vano batterie), ed alcuni altri integrati. Tra gli altri, spicca un componente che non ha apparentemente alcuna incisione indicante la sua natura (al punto che l’ho inizialmente preso per l’apparato preposto all’emissione del tipico suono del Telepass, che potete ottenere ricollegando l’alimentazione dopo averla lasciata staccata per alcune decine di secondi). Fate molta attenzione, perchè si tratta di un componente molto delicato, il cui coperchio si stacca molto facilmente, anche tramite il semplice contatto di un dito.
Ai lati del divisorio giallo, possiamo poi individuare due aperture tramite le quali, con l’uso di un semplice cacciavite “a taglio”, possiamo sganciare l’altro coperchio, scoprendo cosi il vano d’alloggiamento delle batterie. Una volta aperto questo scomparto, scopriremo due banali pile AA al Litio (Panasonic nel mio caso) collegate tra loro in parallelo in modo da aumentarne la durata e l’affidabilità. Richiudere il tutto, a questo punto, è solo un gioco di incastri piuttosto semplici.
La tecnologia piuttosto semplice, effettivamente, quella di questo apparecchietto, ma di assoluta efficacia. Infatti, in coppia con l’antenna ricevente, è in grado di gestire oltre 1500 veicoli/ora (il parco clienti attuale è di circa 5.000.000 unità, per una media di 2.000.000 transiti giornalieri) con l’affidabilità di 35 “retry” per ogni transito, garantendo comunque un servizio di performance discrete (in corsia Telepass c’è un limite a 30 km/h, ma l’apparecchio riesce a funzionare, in condizioni ideali, anche a 60 km/h, anche se questo riduce drasticamente il numero di retry possibili sul singolo passaggio).
Nota a margine sul malfunzionamento: non è che hai il parabrezza schermato? Sulla mia Opel Meriva sei obbligato ad attaccare il telepass nella zona a fianco dello specchietto retrovisore, non sotto, altrimenti non funziona praticamente mai.
Schermato lo è, e non avendo il velcro (è rimasto sulla Panda) lo devo reggere con le mani e quindi la posizione varia di volta in volta. La zona però è sempre la stessa (dietro il retrovisore), e il funzionamento pare essere indipendente da questo (ho addirittura provato a passare, con successo, con il trasponder nel vano porta-oggetti)
Una domanda: sistemi per clonare tag rfid ce ne sono. Cosa mi impedisce di clonare il telepass di qualcuno?
Un sistema di autenticazione sul quale però non sono ancora riuscito a trovare molto. Penso che su questo aspetto dovrò necessariamente andare di antenna ed oscilloscopio :/
Ma a meno che non ci sia un qualche hash del rfid su un chip, non dovrebbe essere possibile clonare semplicemente l’rfid se si é vicini abbastanza da non dovere utilizzare l’antenna? Bho.. aspetto le tue notizie!
L’antenna devi usarla lo stesso, in quanto non serve solo a ricevere un segnale lontano, ma a riceverlo ‘punto’ :)
Puoi usarne una piccola, se sei molto vicino, ma conta che il raggio di azione del DSRC non supera la decina di metri… e comunque si tratta di microonde, non è un gioco da ragazzi :/
Un metodo facile da implementare che potrebbe complicare parecchio la vita a chi volesse clonare un trasponder, è un password challenge, anche piuttosto banalotto: l’RSE potrebbe inviare, dopo la sequenza di attivazione e la fase di riconoscimento (“Ciao, sono il casello”) una stringa random, che il trasponder deve ripetere, accodandovi il proprio codice di identificazione.
In questo modo, le trasmissioni di ogni singolo passaggio sarebbero differenti, impedendo la banale registrazione e ritrasmissione di una comunicazione di passaggio. Ho letto poi da qualche parte (non ricordo dove) che alcuni caselli implementano una tecnologia di cifratura dei dati: questo mi preoccupa meno, in quanto le capacità elaborative del trasponder sono piuttosto limitate, quindi non può che trattarsi di una crittografia piuttosto debole, o quantomeno a chiave piuttosto breve, facilmente attaccabile via brute-force (potrebbero usare un chip RSA dedicato, che legga da una ROM la chiave, a questo punto anche lunghetta, ma quanto gli costerebbe il trasponder? :/)
Concludendo, secondo me il trasponder è clonabile, anche piuttosto facilmente. Il problema è individuare il meccanismo di funzionamento (mi sto documentando ed ho trovato uno standard europeo che ricalca l’UNI-10607 italiano) e soprattutto il protocollo di comunicazione. Una volta in possesso di quelli, probabilmente è solo questione di componenti e qualche riga di codice…
gente, il sistema telepass non è clonabile… oltre al riconoscimento dell’rfid c’è pure il sistema di controllo targa peso assi ecc ecc… la sbarra non si aprirebbe ;)
ciao
Caro mario: scusa se non ti do ragione, ma quello che dici non é vero.
Da certi caselli c’é il iconoscimento della targa, certo, ma da pochissimi. Un anno fa i miei si sono comprati una macchian nuova, e hanno iniziato la procedura per farsi dare un secondo telepass. Intanto hanno messo il telepass vecchio sulla macchian nuova e non ci sono stati problemi, ha funzionato benissimo.
Inoltre un mesetto fa dopo una bufera di neve avevo la targa irriconoscibile (me ne sono accorto solo all’autogrill), e la sbarra si é aperta lo stesso.
Vedi tu poi..
Scusate,
ma le forze dell’ordine e la polizia stradale che tipo di telepass avranno? penso uno predisposto x far aprire la sbarra del casello senza addebiti su nessun conto corrente ! dovremmo rubarne uno e studiarlo che dite ?
Saluti
Andy
Rubarlo naturalmente no.
Inoltre, l’addebito su conto corrente non è certo fatto dall’apparecchietto, ma dal sistema informatico a cui il casello si collega (i server di telepass.it, suppongo), sui quali si può tranquillamente definire che un certo telepass, identificato da quel numero, non viene addebitato…
Lol, può darsi che i poliziotti siano degli hackers.
Scherzi a parte, non credo che si possa fare, perchè se manometti un dispositivo client, poi il server che è protetto rileva una trasmissione o un’apparecchio irregolare con dati falsi. Specialmente nei telepass di seconda generazione, cioè quelli ricaricabili a credito (per intenderci è il dispositivo client con un bottone ed il display per vedere dei dati e la cronologia dei pedaggi effettuati in passato.
Complimenti per il post!
Sono a corto di batterie da unpo e questa è l’unica informazione decente che ho trovato sull’apparecchio telepass.
Altrimenti tutti dicono rivolgersi al punto blu.
Lo stavo per spaccare poi ho potuto vedere come aprirlo ed assicurarmi che l’unica cosa che conviene fare è veramente riportarlo indietro.
Su Google ho cercato:
come sostituire batterie telepass
come aprire telepass
cambiare batterie telepass
spero che questo mio commento ti indicizzi per quelli come me :)
dopo così tani anni dall’uscita del telepass è rimasto praticamente sempre uguale (escluso il primo modello che era da collegar econ i fili all’auto .
Dico io … mettere uno schermettino che mi dice quanto spendo ed un led verde che si accende(il suono che fa è ridicolo) quando passo non sarebbe mica così difficile … perchè non devo sapere quanto spendo ???
Sarai anche felice, ma sicuramente non sei possessore di quel telepass.
Nel momento in cui dovessi disdire il contratto dovrai restituirlo o pagarlo, quindi occhio a come smanetti quando lo apri e richiudi… :)
Naturalmente Beppe, naturalmente :) E’ tuttora perfettamente funzionante :)
Le batterie comunque sono da 3Volt ciascuna in serie….
Ciao gente, possedevo anch’io un telepass, per un po ha funzionato poi non ne voleva più sapere. Impossibile che fosse scarico in quanto lo possedevo da tre mesi circa. Ho viaggiato per le ferie infuriandomi ogni volta che arrivavo al casello. Insomma non potendone più sono prima andato in banca e ho chiuso immediatamente il contratto, volevo restituire l’apparecchio ma mi hanno detto che avevo 20 giorni di tempo per restituirlo al punto blu….di corsa ci sono andato il giorno dopo… non lo volevo più tra i piedi. Arrivato allo sportello l’addetto del punto blu l’ha ritirato e non ha voluto sapere minimamente il motivo. Sono contento di essermene liberato. Io sono pro-tecno… ma solo per quella che funziona.
Ciao a tutti