Изучение уязвимостей электронных систем
Кодграбберы
Пару месяцев назад попало мне в руки это гениальное творение. Почитав инструкцию стало ясно, что тут что-то не чисто. Но сразу улыбнуло что он использует какие-то сверх секретные алгоритмы и методы РЭБ. И также настораживает то что брелок надо в него приписывать, при этом обратная связь не работает. Отсюда делаю вывод что он тупо глушит пакет от родного брелока, не давая его принять ни кодграбберу ни сигнализации.
На борту у него Микрочиповский трансивер RFX и МК.
Очень давно сделал устройство для перебора кодов шлагбаумных ворот фирмы Came.
Код статический 13-бит, первый бит в заголовке всегда одинаковый, это упрощает задачу и сокращает время перебора в два раза.
Кодируются биты примерно так:
Лог 0 – 600мкс низкого уровня и 300 мкс высокого
Лог 1 — 600мкс высокого уровня и 300 мкс низкого
Первым битом в заголовке пакета всегда идет ноль, дальше 12 бит. Переборщик кодов начинает перебирать коды с 0000000000000 до 0111111111111, время на перебор с небольшой паузой между пакетами занимает около трех минут. Для более уверенного перебора, многие делают повтор до трех раз одного и того же пакета и увеличивают паузу между пакетами, что бы не глушить автомобильные сигнализации.
Предлагаю проект, он предназначен для более углубленного изучения авто-сигнализаций.
Проект состоит из двух частей, это сканер (пакето-анализатор) и устройство для выброса кода, в сумме, эти устройства представляют из себя готовый кодграббер, которым тестируют авто-сигнализации на уязвимость. Первое про что я хочу рассказать, это про сканер, он принимает две кодировки (StarLine и KeeLoq). Все распознается автоматически, принадлежность пакета определяется сервисным байтом, это либо 00, либо FF, это значение идет в заголовке. FF- это StarLine, а 00-это KeeLoq, на картинке я прилагаю наглядную иллюстрацию.
Сигнализация Scher-khan является брендом, ее ставят на престижные автомобили, но насколько она надежна? Давайте с вами сейчас разберемся с этим. Что бы это понять, нужно отсканировать брелок и разобраться в кодированной посылке. Для этого собираем пакетоанализатор. Его схема очень проста, тем более, я уже написал за вас программу к нему, от вас требуется минимальные усилия, что бы во всем разобраться.
Хочу предложить проект для повторения. Это комплекс, который содержит в себе кодграббер, пакета-анализатор и циничную глушилку, которая валит весь эфир на 433.92мГц. Проект выполнен на микроконтроллере PIC18F252 и LCD 3410.
Комплекс предназначен для исследовательских целей, он позволит понять кое какие принципы работы охранных систем, также поможет разоблачить не добросовестных производителей авто-сигнализаций. Давайте я по подробней опишу, как все работает.
Pro версия от предыдущих моделей ничем особо не отличается, кроме того что в Pro сигнал инвертированный и преамбула длиннее, что хорошо видно на рисунке:
Логический ноль — 750\750 us
Логическая единица — 1000\1000 us
Хедер — 1500\1500 us
Осциллограмма снята PowerGraph-ом через звуковую карту, поэтому одинаковые временные интервалы низкого и высокого уровней кажутся разными, низкий уровень более вытянутый.
Практически всем известно, что такое кодграббер. В сети есть множество сайтов с их описанием, предложениями продать и схемами сборки. Также есть много сомнительных роликов с демонстрацией работы данных устройств. Однако почти все описания имеют множество ошибок и неточностей, а ролики снимают производители диалоговых сигнализаций или журналисты, сами не до конца понимающие в этой теме.
Впервые я заинтересовался проблемами безопасности автомобилей в 2006 году, предложенный мной материал является обобщением пятилетнего опыта.
Первое поколение приборов
«Сканеры» — переборщики кода.
Российская история электронных автомобильных сигнализаций начинается в 90х годах. Код сигнализации был статическим, более того, уникальных комбинаций было от 256 до 65536. Вскрыть такую систему можно было простым перебором кода – сканером.
Производители сигнализаций наспех закрыли эту дыру функцией «Антисканер», которая отслеживала в эфире факт перебора кода и отключала приёмник на некоторое время.
Постепенно кодовую посылку сделали длиннее, добавили счётчик посылок, перебор в лоб стал не возможен, но код оставался статическим, и достаточно было записать из эфира сигнал, увеличить счётчик и передать команду, чтобы снять охрану.
