Суббота, 18.Ноя.2017, 22:22
Приветствую Вас Гость | RSS
Главная » Статьи » Охрана Безопасность

взлом автомобильных сигнализаций

                            история код-грабберов

       для вскрытия автомобильных сигнализаций

                                                                    

На заре развития автомобильных сигнализаций словом «код-граббер» пугали всех — и владельцев машин, и разработчиков охранных систем. И ведь было чего бояться! Компактный электронный прибор, настроенный на рабочую частоту брелка-передатчика, «подслушивал» кодовую посылку, записывал ее в свою память, а потом посылал в эфир, отключая противоугонную систему.

   Сокрушающий удар по код-грабберам нанесли сигнализации с динамическим кодом управления, причем самым удобным в использовании, самым стойким и самым подходящим для автомобильного использования оказался алгоритм шифрования, разработанный в середине восьмидесятых годов южноафриканской фирмой Nanoteq. Технология получила название Keeloq — по созвучию с английским key («ключ») и lock («замок»)

 Последовательность его посылки генерируется на основе 28-битного серийного номера (постоянная часть кода), 64-битного ключа (изменяющаяся часть) и 16-битного счетчика синхронизации, образуя миллиарды никогда не повторяющихся цифровых комбинаций! По уровню крипто стойкости код Keeloq можно сравнить разве что с одноразовым шифр блокнотом: каждая радио посылка брелка используется только один раз, так что записывать и воспроизводить ее заново бесполезно — код становится устаревшим уже в момент передачи. Алгоритм генерирования таких сигналов известен только приемнику и передатчику, а за расшифровку и анализ перехваченных данных может взяться разве что сумасшедший.

   
«сломать» Keeloq не удастся,

    но вот обмануть — вполне!

    Так называемые замещающие код-грабберы, с помощью которых  отключают авто сигнализации с динамической защитой радиоканала, не взламывают алгоритмы кодирования, а обманывают систему «автомобиль-владелец», вовлекая жертву в «радио игру».

   Вероятность корректного перехвата кодовых посылок и их правильного «подтасовывания» составляет более 90%  Остальные 10%  можно отнести к сложной обстановке на радиочастоте { высокий уровень помех - к примеру у Контимировского моста } ну и некоторых проблем связанных с работой самого оборудования с его алгоритмом работы связанных с самим процессом перехвата и глушения кода. Ну а на состояние дел на сегодняшний день вскрываются все сигнализации и самые навороченные которые были, есть, а также которые еще в проекте. Выводы делайте сами.  

Без башенным лучше не напрягаться. Это оборудование не двух кнопок { типа пуск, стоп } а требует некоторого наличия  знаний и опыта в области радиоэлектроники, ну и творческого склада ума.

                             Да вот еще о брелках двусторонней связи

. На самом деле пейджер никаким образом на влияет на работу сигнализации - это информатор. Находясь в одном корпусе две эти системы не взаимодействуют друг с другом и даже частоты у них разные ( пейдж использует либо 27 Мгц , либо 430 ). При вскрытии сигнализации любым граббером он проинформирует владельца (если есть такая функция) но проинформирует не в режиме паника , а  в режиме легального действия . Можно сделать отдельно и для него падавитель сигнала ( глушак )

                                              

 

Ну теперь непосредственно к "железу"


         Начну описание с краткого описания работы сигнализаций . В природе их сегодня можно разделить на три группы (имеется ввиду управляемые брелком):

        1. Сигнализация с фиксированным кодом . С ней всё ясно - код не изменяемый , а значит его можно записать и воспроизвести. Диапазон частот 430-440 мгц - стандартный (имеется ввиду Российский стандарт Министерства связи и радиовещания). Но сейчас такие встречаются крайне редко.

       2. Сигнализация с динамическим кодом имеет алгоритм , то есть с каждым нажатием на кнопку брелка в эфире появляется новая комбинация (изменённая математической формулой старая цифра ). Приёмник в режиме ожидания готов распознать 16 последовательных команд ( или около того ) на случай, если было нажатие вне радиуса действия ( не менее 16 холостых, безнаказанных нажатий) . Подобрать не возможно, число имеет минимум 16... разрядов. Однако 60-70% всех этих устройств , на Российском рынке, используют один и тот же контроллер , фирмы Microchip , или одну из его разновидностей (PIC 16XXX, PIC 17CXXX.........). Другими словами этот алгоритм (KeeLoq) не возможно вычислить, но как правило это и не нужно - проще усложнить схему сканера всё той же микросхемой. Всё это делается , продаётся

       3. Сигнализация с двойным динамическим кодом всё та же , ранее описанная система . Отличие лишь в том, что микроконтроллеры не штампуются на конвейере одно яйцевым образом и в каждую из них вводят серийный номер изделия , от которого и зависит алгоритм . Помимо всего их два , и цифры соответственно тоже две , с интервалом в 40 мс . Делается для защиты от граббера , У многих есть ещё и блокиратор при неверно введённой команде (при подборе например).

                                           Работа устройства


  Дело в том, что любая схема охраны рассчитана на работу в режиме от -50 до + 80 градусов и в мороз, и в жару рядом с двигателем. В следствии изменения температуры, или по иной причине (влажность и т.д.) уход частоты может привести к выходу из строя (изменения заданных параметров рабочей частоты) . Поэтому в подобных системах используются радио тракты с полосой пропускания гораздо шире, полосы сигнала). Это характеристика любой, самой навороченной модной охраны , она и положена в основу работы прибора...

      


  Посмотрите на рисунок, где F1 -F2 - полоса пропускания приёмника автосигнализации. F3 - частота передатчика брелка сигнализации. Теперь рассмотрим работу системы: брелок вырабатывает оригинальный код и излучает его в эфир. В обычной ситуации сигнал попадает в приёмник, обрабатывается и опознаётся. В нашей ситуации всё  иначе... Что из себя представляет "сканер"? Это некое устройство содержащее в себе узкополосный приёмник, настроенный на частоту F4-F5 (передатчика брелка), цифровой блок (ноут-бук или КПК) запоминает коды . Также , сканер имеет передатчик настроенный на частоту F6 находящуюся вне полосы пропускания F4-F5, но в полосе F1-F2, то есть сдвигается чуть (что бы не фонил).

 И так, брелок посылает код, начало сигнала принимается обоими приёмниками, в этот момент включается передатчик F6,который искажает его помехой, но находится он вне эфира радио брелка, который сканируется изначально . Мощность рации на порядок (или более) выше мощности  брелка. Поэтому, даже находясь вне зоны уверенного приёма F1-F2 , задачу "глушака" выполнит на отлично. Поскольку сигнал передатчика устройства  находится вне полосы пропускания  F4-F5, сканер принимает сигнал посылки и  записывает ноут-буком. Внешне это выглядит как-будто сигнализация просто не сработала! Что делает хозяин в такой ситуации? Правильно, нажимает на кнопку ещё раз! Что и требовалось... Теперь всё повторяется, но с одним нюансом.  Теперь передатчик F6 (после того, как опять собьёт вторю попытку )  прекращает вещать помехи  и передаёт в эфир ту кодовую последовательность, которую запомнил в предыдущий этап. Машина открыта! Но открыта кодом предыдущей посылки, твоим передатчиком (делается в долю секунды после записи второй комбинации ...) и этот следующий код находится у нас в памяти! Теперь, как только хозяин поставит машину на сигнализацию . После чего, посылаем вновь записанный код в эфир и машина открыта

        Интерфейс программы для взлома любых сигнализаций.

 На самом деле "глушак" так же влияет отчасти и на запись. И прежде чем дать команду воспроизвести, компьютер должен выделить из полученного коктейля строгое соответствие , определить особенность и т.д. Но это уже тонкости...
 вскрывается любая сигналка , с любым кодом (почти любая) .

 

Ну и до кучи для полноты информации еще об одном способе

Вскрытия это так называемый «адаптирующийся» брелок

Статья взята с сайта “Magic Ring” написанная в 2005 году  Игорем Острейковским  Которая вобщем полно и грамотно описывает этот способ, но на мой взгляд не очень перспективный (статья урезана}


                    Новая угроза: «адаптирующийся» брелок

Каждый установщик рано или поздно сталкивается с необходимостью объяснить «по-простому, на пальцах», как же работает алгоритм Keeloq.

Система кодирования Keeloq. С нее и начнем. В случае применения в охранной системе «стандартного Keeloq'а», передаваемая в эфир кодовая комбинация (при нажатии на любую кнопку) выглядит следующим образом:

<номер нажатой кнопки><номер брелка><...шифрованная часть...>

В шифрованной части присутствует информация, обеспечивающая распознавание брелка, и, как следствие, отключение охраны автомобиля. Она содержит:

<<номер нажатой кнопки><дополнительная информация><счетчик нажатия>>

Мы видим, что в структуре Keeloq заранее известно, где что расположено. Кроме того, номер нажатой кнопки передается в эфир дважды: один раз в открытой, другой раз — в шифрованной части.
Два слова о счетчике нажатия. Для системы Keeloq нажатие на любую кнопку увеличивает его на единицу. Если он был «x», то следующее нажатие будет пронумеровано как «x+1», затем «x+2» и т.д.
Получая команду из эфира, главный модуль сигнализации проверяет номер брелка. Если номер не совпадает с заранее записанным в память модуля, дальнейшая обработка сигнала прекращается. Если совпадает, производится попытка дешифровки. В этом случае дополнительная информация позволяет проверить, что нажат именно брелок хозяина, а не какой-то другой со случайно совпавшим номером.
Наконец, производится проверка счетчика нажатия. Если счетчик больше, чем зафиксировано в памяти системы, команда считается правильной и выполняется (в соответствии с номером нажатой кнопки). Если меньше или не изменился — возможно, что воспроизводится ранее записанная простейшим граббером команда. Такая команда отвергается.
Основной секрет состоит в том, как же зашифрована «шифрованная часть». Сразу скажем, что это — весьма сложная функция «F», включающая в себя собственно счетчик нажатия «x», номер брелка «C», номер кнопки «B» и основной секрет (пароль) производителя «A» (в случае применения стандартного Keeloq’а).  Итак:

F=Ax2+Bx+C

Сразу становится понятно, как производится дешифровка в главном модуле. Узнав из эфира номер брелка «С», номер кнопки «B» и заранее зная Пароль «А» легко вычислить счетчик «x».

Этап первый: вычисление пароля. Если посмотреть на нашу функцию чуть внимательнее, то данный алгоритм легко поддается дешифровке. Достаточно лишь записать 2 последовательные команды:

F1=Ax2+Bx+C
F2=A(x+1)2+B(x+1)+C

Весьма ясно, как взломать пароль. В нашем случае достаточно записать две последовательные команды брелка, решить систему уравнений и получить пароль производителя «А». Для системы другого производителя — другое решение, другой пароль. И так далее. Все что осталось — это занести список паролей в чудо-устройство под названием «адаптирующийся брелок» — вуаля! Задача решена.

Этап второй: применение «адаптирующегося брелка». Заметьте, что он не является в истинном смысле адаптирующимся, а он заранее адаптирован под некоторые уже вскрытые системы. Самое время заменить его название в соответствии с его предназначением. Назовем его лучше «граббером для некоторых заранее взломанных систем с плавающим кодом».
Как только граббер ловит из эфира (синхронно с атакуемой охранной системой) кодовую комбинацию, он начинает ее анализ. Граббер последовательно пытается применить все имеющиеся в его памяти пароли к записанному коду. Анализ может проводиться по нескольким параметрам, поэтому осуществляется достаточно быстро. В качестве примера вспомним, что номер нажатой кнопки передается как в открытой, так и в закрытой части. Если не совпало — переходим к следующему паролю, если совпало — продолжаем анализ. При неудаче (пароль не подобран), будем считать, что хозяину повезло. Скорее всего, для угона его автомобиля понадобятся другие средства, например утюг. В случае успеха (пароль подобран) граббер извещает автомобильного вора тихим зуммером или миганием лампочки. Второй этап пройден.

Последний этап: угон. Как мы помним, хозяин и злоумышленник расстались. Но злоумышленник знает, что автомобиль марки «ХХХ» гос. номер у000уу00RUS оснащен вскрытой сигнализацией, записанной в ячейку номер Z граббера. В зависимости от условий автомобиль может быть угнан немедленно или через неделю. Или через год


«полный Keeloq»  не выдержит также атаки с применением «замещающего граббера».  При этом разработчикам нельзя утешаться тем, что «замещающий граббер» обманывает не систему кодирования, а человека, пользующегося брелком. Итог один — угон автомобиля.

 

Эта информация выложена для более углубленного понимания как и чем вскрываются автомобильные сигнализации. От себя рекомендую не брезговать дедовскими методоми где бональный  тумблер может оказаться надежней навороченной сигнализации стоимостью в 5-10 т\рублей

{может найтись умный и сказать что у него предусмотрена штатная сигнализация прошитая в микропроцессорном блоке управления двигателем ну да. Да вот только за десяток секунд перекидывается разьем на свой блок с нужной прошивкой и в итоге итог один- угон автомобиля

 

Категория: Охрана Безопасность | Добавил: berkut (22.Июн.2009)
Просмотров: 13449 | Комментарии: 4
Всего комментариев: 3
2  
А как насчёт gsm сигнализаций, например из сотового телефона???
http://sova-c60.narod.ru/ GSM сигнализация "Сова-60" angry

3  
А как насчёт gsm сигнализаций, например из сотового телефона???

Для этого существуют Глушилки (генератор помех GSM GPS 3G)
К примеру в Санкт-Петербурге на апрашке можно купить китайский
трех диапозонный ГЛУШИТЕЛЬ GSM сетей от 5 до 8 тысяч рублей. Последний раз был осенью в продаже видел.
А так же можно собрать самому
Могу кинуть примитивную схему если есть интерес

Ну и понятно что этими глушителями можно обезвредить не
только автомобиль но и дачные УВЫ сигнализации.


1  
Ну вот
Моего сына обули на панель от магнитофона
И ковырянием замка зажигания его фабии недавно приобретенной
У всем известного рынка ЮНОНА в Санкт-Петербурге
Когда он пошел выяснять отношения со своими коллегами (он в органах работает)
Там в приемной еще человек восемь сидело бедолаг с аналогичной проблемой
Угнать его фабию невозможно дабы сам ее четыре дня дооборудовал тремя независимыми сигнализациями если только увезти
После разбора и анализа ситуации понял что вскрыли ее
замещающим код-граббером
С целью не угона а поживиться что найдется из оставленных вещей
Ну а замок зажигания поковыряли наверно на всякий случай
а вдруг из этого чего получится.
Так что этих ребят можно отнести к категории “барсеточники”
Ну а коллеги его слились не помогли
Хотя больше чем уверен , что в курсе они и могли разрулить ситуацию за 10 минут
Но не захотели
Киндр обиделся и телегу на них накатал
Чем это кончится мне самому интересно

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Категории раздела
Садовод и ЗАКОН [38]
Отстаиваем свои права [14]
Охрана Безопасность [6]
Очумелые ручки [5]
Свободная энергия [3]
Калейдоскоп [6]
Будьте здоровы [21]
Животные [3]
Поиск по сайту
Наш опрос
Нужна ли нам охрана в СНТ Токсовское
Всего ответов: 75
Форма входа
Друзья сайта
  • Родовое поместье
  • Русское Вече
  • Развивающие уроки для детей
  • Погода в Токсово
  • Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0
    Загрузка плеера ...
    Скачать