Guardarci dentro: il Telepass

Sono il (felice) possessore di un apparecchio Telepass, che mi consente di evitare, spesso e volentieri, le lunghe file ai caselli autostradali, ad un costo di servizio assolutamente irrisorio (approssimabile a zero). Recentemente però, da quando in particolare guido l’auto di mio padre, una Grande Punto, ho avuto parecchie noie con il mio fedele apparecchietto, che ha deciso di non volerne sapere di dialogare con le centraline di alcuni caselli. Da alcune valutazioni lanciate li per caso con Danilo, di rientro da Pisa (HackMeeting 2007), ho pensato di smontare il mio apparecchietto per vedere come fosse fatto al suo interno.

Il Telepass è un trasponder RFID attivabile a distanza da un’antenna che trasmette a microonde in DSRC (Dedicated Short Range Communication) ad una frequenza di 5.8Ghz. Si tratta di un apparecchio “semi-passivo”, quindi, dotato di una fonte di alimentazione propria, ma attivato solo su richiesta di un’antenna trasmittente in modo da ridurne il consumo energetico ed allungarne quindi la vita utile. Alcune interessanti informazioni statistiche sul Telepass e sul suo funzionamento, le possiamo reperire qui, anche se le slides non sono proprio aggiornate, e qui.

Step 0

Esternamente, il Telepass si presenta come una scatoletta di plastica dalla forma rettangolare e sezione schiacciata da un lato, di circa 7cm di lato, 3 di larghezza, ed un’altezza variabile tra 1 e 3cm a seconda del lato. Apparentemente sigillata, la scatoletta di plastica non presenta alcuna particolarità (alloggiamenti esterni per batterie o altre aperture), ed è dotata di una striscia di velcro che ne consente il fissaggio al parabrezza del mezzo di trasporto al quale sarà associato.Step 1

In realtà però, con un po’ di prove si scopre che è costituito da tre differenti parti esterne: un divisorio (la sezione gialla) e due coperchi grigi, uno dei quali non è agganciato al divisorio giallo ma solamente infilato tramite alcune punte in plastica. Facendo delicamente leva da un lato e poi dall’altro, lo si può sfilare senza traumi, svelando la piccola scheda elettronica al cui alloggiamento è destinata questa sezione dell’apparecchio.

Sin da subito, su questo lato della scheda, possiamo notare l’antenna (che ne occupa da sola quasi la metà) ed un piccolo circuito elettronico, preposto all’elaborazione del segnale ricevuto dall’antenna. Sull’altro lato della scheda invece, possiamo individuare la presa dell’alimentazione (che proviene tramite una coppia di fili dal vano batterie), ed alcuni altri integrati. Tra gli altri, spicca un componente che non ha apparentemente alcuna incisione indicante la sua natura (al punto che l’ho inizialmente preso per l’apparato preposto all’emissione del tipico suono del Telepass, che potete ottenere ricollegando l’alimentazione dopo averla lasciata staccata per alcune decine di secondi). Fate molta attenzione, perchè si tratta di un componente molto delicato, il cui coperchio si stacca molto facilmente, anche tramite il semplice contatto di un dito.

Step 2

Ai lati del divisorio giallo, possiamo poi individuare due aperture tramite le quali, con l’uso di un semplice cacciavite “a taglio”, possiamo sganciare l’altro coperchio, scoprendo cosi il vano d’alloggiamento delle batterie. Una volta aperto questo scomparto, scopriremo due banali pile AA al Litio (Panasonic nel mio caso) collegate tra loro in parallelo in modo da aumentarne la durata e l’affidabilità. Richiudere il tutto, a questo punto, è solo un gioco di incastri piuttosto semplici.

La tecnologia piuttosto semplice, effettivamente, quella di questo apparecchietto, ma di assoluta efficacia. Infatti, in coppia con l’antenna ricevente, è in grado di gestire oltre 1500 veicoli/ora (il parco clienti attuale è di circa 5.000.000 unità, per una media di 2.000.000 transiti giornalieri) con l’affidabilità di 35 “retry” per ogni transito, garantendo comunque un servizio di performance discrete (in corsia Telepass c’è un limite a 30 km/h, ma l’apparecchio riesce a funzionare, in condizioni ideali, anche a 60 km/h, anche se questo riduce drasticamente il numero di retry possibili sul singolo passaggio).

Annunci

27 pensieri su “Guardarci dentro: il Telepass

  1. PseudoTecnico

    Nota a margine sul malfunzionamento: non è che hai il parabrezza schermato? Sulla mia Opel Meriva sei obbligato ad attaccare il telepass nella zona a fianco dello specchietto retrovisore, non sotto, altrimenti non funziona praticamente mai.

    Rispondi
  2. alt-os Autore articolo

    Schermato lo è, e non avendo il velcro (è rimasto sulla Panda) lo devo reggere con le mani e quindi la posizione varia di volta in volta. La zona però è sempre la stessa (dietro il retrovisore), e il funzionamento pare essere indipendente da questo (ho addirittura provato a passare, con successo, con il trasponder nel vano porta-oggetti)

    Rispondi
  3. alt-os Autore articolo

    Un sistema di autenticazione sul quale però non sono ancora riuscito a trovare molto. Penso che su questo aspetto dovrò necessariamente andare di antenna ed oscilloscopio :/

    Rispondi
  4. ramsesoriginal

    Ma a meno che non ci sia un qualche hash del rfid su un chip, non dovrebbe essere possibile clonare semplicemente l’rfid se si é vicini abbastanza da non dovere utilizzare l’antenna? Bho.. aspetto le tue notizie!

    Rispondi
  5. alt-os Autore articolo

    L’antenna devi usarla lo stesso, in quanto non serve solo a ricevere un segnale lontano, ma a riceverlo ‘punto’ 🙂
    Puoi usarne una piccola, se sei molto vicino, ma conta che il raggio di azione del DSRC non supera la decina di metri… e comunque si tratta di microonde, non è un gioco da ragazzi :/

    Un metodo facile da implementare che potrebbe complicare parecchio la vita a chi volesse clonare un trasponder, è un password challenge, anche piuttosto banalotto: l’RSE potrebbe inviare, dopo la sequenza di attivazione e la fase di riconoscimento (“Ciao, sono il casello”) una stringa random, che il trasponder deve ripetere, accodandovi il proprio codice di identificazione.

    In questo modo, le trasmissioni di ogni singolo passaggio sarebbero differenti, impedendo la banale registrazione e ritrasmissione di una comunicazione di passaggio. Ho letto poi da qualche parte (non ricordo dove) che alcuni caselli implementano una tecnologia di cifratura dei dati: questo mi preoccupa meno, in quanto le capacità elaborative del trasponder sono piuttosto limitate, quindi non può che trattarsi di una crittografia piuttosto debole, o quantomeno a chiave piuttosto breve, facilmente attaccabile via brute-force (potrebbero usare un chip RSA dedicato, che legga da una ROM la chiave, a questo punto anche lunghetta, ma quanto gli costerebbe il trasponder? :/)

    Concludendo, secondo me il trasponder è clonabile, anche piuttosto facilmente. Il problema è individuare il meccanismo di funzionamento (mi sto documentando ed ho trovato uno standard europeo che ricalca l’UNI-10607 italiano) e soprattutto il protocollo di comunicazione. Una volta in possesso di quelli, probabilmente è solo questione di componenti e qualche riga di codice…

    Rispondi
  6. mario

    gente, il sistema telepass non è clonabile… oltre al riconoscimento dell’rfid c’è pure il sistema di controllo targa peso assi ecc ecc… la sbarra non si aprirebbe 😉

    ciao

    Rispondi
  7. ramsesoriginal

    Caro mario: scusa se non ti do ragione, ma quello che dici non é vero.
    Da certi caselli c’é il iconoscimento della targa, certo, ma da pochissimi. Un anno fa i miei si sono comprati una macchian nuova, e hanno iniziato la procedura per farsi dare un secondo telepass. Intanto hanno messo il telepass vecchio sulla macchian nuova e non ci sono stati problemi, ha funzionato benissimo.
    Inoltre un mesetto fa dopo una bufera di neve avevo la targa irriconoscibile (me ne sono accorto solo all’autogrill), e la sbarra si é aperta lo stesso.
    Vedi tu poi..

    Rispondi
  8. Andrea

    Scusate,
    ma le forze dell’ordine e la polizia stradale che tipo di telepass avranno? penso uno predisposto x far aprire la sbarra del casello senza addebiti su nessun conto corrente ! dovremmo rubarne uno e studiarlo che dite ?

    Saluti

    Andy

    Rispondi
  9. alt-os Autore articolo

    Rubarlo naturalmente no.
    Inoltre, l’addebito su conto corrente non è certo fatto dall’apparecchietto, ma dal sistema informatico a cui il casello si collega (i server di telepass.it, suppongo), sui quali si può tranquillamente definire che un certo telepass, identificato da quel numero, non viene addebitato…

    Rispondi
  10. Tor Romeo

    Lol, può darsi che i poliziotti siano degli hackers.
    Scherzi a parte, non credo che si possa fare, perchè se manometti un dispositivo client, poi il server che è protetto rileva una trasmissione o un’apparecchio irregolare con dati falsi. Specialmente nei telepass di seconda generazione, cioè quelli ricaricabili a credito (per intenderci è il dispositivo client con un bottone ed il display per vedere dei dati e la cronologia dei pedaggi effettuati in passato.

    Rispondi
  11. Paolucci

    Complimenti per il post!
    Sono a corto di batterie da unpo e questa è l’unica informazione decente che ho trovato sull’apparecchio telepass.
    Altrimenti tutti dicono rivolgersi al punto blu.
    Lo stavo per spaccare poi ho potuto vedere come aprirlo ed assicurarmi che l’unica cosa che conviene fare è veramente riportarlo indietro.
    Su Google ho cercato:
    come sostituire batterie telepass
    come aprire telepass
    cambiare batterie telepass

    spero che questo mio commento ti indicizzi per quelli come me 🙂

    Rispondi
  12. alexe

    dopo così tani anni dall’uscita del telepass è rimasto praticamente sempre uguale (escluso il primo modello che era da collegar econ i fili all’auto .
    Dico io … mettere uno schermettino che mi dice quanto spendo ed un led verde che si accende(il suono che fa è ridicolo) quando passo non sarebbe mica così difficile … perchè non devo sapere quanto spendo ???

    Rispondi
  13. beppe

    Sarai anche felice, ma sicuramente non sei possessore di quel telepass.
    Nel momento in cui dovessi disdire il contratto dovrai restituirlo o pagarlo, quindi occhio a come smanetti quando lo apri e richiudi… 🙂

    Rispondi
  14. paolozac

    Ciao gente, possedevo anch’io un telepass, per un po ha funzionato poi non ne voleva più sapere. Impossibile che fosse scarico in quanto lo possedevo da tre mesi circa. Ho viaggiato per le ferie infuriandomi ogni volta che arrivavo al casello. Insomma non potendone più sono prima andato in banca e ho chiuso immediatamente il contratto, volevo restituire l’apparecchio ma mi hanno detto che avevo 20 giorni di tempo per restituirlo al punto blu….di corsa ci sono andato il giorno dopo… non lo volevo più tra i piedi. Arrivato allo sportello l’addetto del punto blu l’ha ritirato e non ha voluto sapere minimamente il motivo. Sono contento di essermene liberato. Io sono pro-tecno… ma solo per quella che funziona.
    Ciao a tutti

    Rispondi
    1. Burzum cattivissimo

      E infatti sono 9 mesi che lo uso senza problemi… e non una volta ogni tanto e mai dato una scocciatura… passo a 55 senza problemi.

      Rispondi
  15. Cris

    Qualche news a riguardo ? 🙂 In particolare ero interessato al protocollo di scambio dati tra attori attivi e passivi… sto pensando di usare i telepass (qualcosa di simile ai telepass) per creare un sistema distribuito… sai dove posso reperire info ? thx!

    Rispondi
    1. Giacomo Rizzo Autore articolo

      Purtroppo non so darti altri dettagli… Le compagnie sono molto chiuse e riservate sotto questo aspetto :/

      Rispondi
  16. Giuseppe

    secondo me hanno usato due tecnologie:
    o una vagonata di one-time password (come le chiavette per i codici della banca) impossibile da emulare.
    oppure
    potrebbe esserci un codice incrementale (come per alcuni telecomandi apricancelli di nuova generazione), ossia ogni qual volta passi al varco il trasmettitore verifica la tua autenticità e ti imposta un nuovo valore da usare per il passaggio successivo. In tal caso anche se lo cloni ti funzionerebbe, ma al malcapitato non più e lo andrebbe a sostituire disattivando quindi il vecchio.

    Rispondi
    1. Giacomo Rizzo Autore articolo

      Si tratta di un apparecchio RFID (radio frequency identifier). Non ha la possibilità di immagazzinare nulla. Da questo punto di vista, il meccanismo è piuttosto chiaro…

      Rispondi
    1. Giacomo Rizzo Autore articolo

      Se sono le batterie (potrebbe essere anche molto altro), non si possono sostituire. L’unica modo e’ portarlo ad un Punto Blu e farselo sostituire (gratis)

      Rispondi

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...