Нокаут! У криминала появилось новое орудие, способное вскрывать практически всякую сигнализацию
Нокаут! У криминала появилось новое В распоряжение наших коллеги из "Авто-Ревю" попала одна "штучка", с помощью которой за секунды можно вскрыть большая часть авто сигнализаций! Приводим текст статьи Константина Сорокина, в какой он попробовал предупредить весь авто мир, что с этого момента Ваш автомобиль - легкая добыча.
О хитрых устройствах, перехватывающих коды авто сигнализаций, слышали все. О современных системах кодировки, делающих таковой перехват никчемным, тоже. Поединок меж промышленными и преступными технологиями продолжается уже не один десяток лет, но такового сурового удара по репутации производителей охранных систем противник еще не наносил. Высокоточное орудие, которое получили в свои руки угонщики автомобилей, именуется адаптирующийся код-граббер - прибор, «раскалывающий» динамические системы защиты радиоканала. Кто конкретно занимался его созданием и «адаптацией» для Рф, нам непонятно. Можем только констатировать, что при помощи этой штучки мы выслали в глубочайший нокаут сходу 6 типов современных авто сигнализаций. Первую пощечину производители авто сигнализаций получили пятнадцать годов назад, когда на одной из профильных выставок в Тайване местные умельцы проявили простой перехватчик кодов, просто расправлявшийся с простыми охранными системами. Ответом стало волшебное слово KeeLog - метод динамической защиты радиоканала, разработанный южноафриканской компанией Nanoteq. Многие сочли KeeLog панацеей от всех методов хакерского взлома автосигнализаций, и сочли, нужно сказать, небезосновательно: его сигнал - это очень непростой криптографический ребус, разгадать который можно, только зная скрытый ключ.
Этот «телевизионный пульт» в секунду расправляется с шестью типами авто сигнализаций

Зашифрованная южноафриканским методом посылка состоит из 2-ух частей - неизменной и изменяемой. По первой автосигнализация распознает сигнал собственного формата, а принимая и расшифровывая динамическую часть, убеждается, что команда послана «родным» брелоком. Записывать и воспроизводить таковой код при помощи приемников-регистраторов никчемно: «валидная», другими словами воспринимаемая сигнализацией посылка брелока, устаревает сходу после передачи в эфир и никогда не употребляется два раза. Таковой метод шифрования до сего времени является специфичной крипто- графической иконой, так как математических методов подбора его главный композиции не существует.

Сегодняшний обладатель прав на технологию KeeLog, южноамериканская компания Microchip, предлагает разработчикам охранных систем ее готовую аппаратную реализацию - это еще одна причина широкого распространения метода. Но в прошедшем году мы провели тест «замещающего» код-граббера, при помощи которого угонщики научились накалывать ничего не подозревающих автолюбителей (см. АР №18, 2005), - это уже был легкий нокдаун. В момент передачи сигнала таковой прибор испускает помеху, не давая охранной системе среагировать на посылку, и сразу перехватывает код. Обладатель автомобиля, естественно, надавливает кнопку брелока 2-ой раз. В эфире вновь появляется помеха, и системе посылается 1-ая перехваченная команда. Автомобиль послушливо встает на охрану, а в памяти граббера остается 2-ая, применимая для отключения сигнализации кодовая посылка. Если постановка и снятие с охраны выполняются различными клавишами брелока, граббер будет ожидать момента, когда обладатель машины в панике начнет жать все кнопки попорядку, - и улучит-таки момент для рокировки кодов.

Мысль электрического мошенничества с замещением посылок брелока гениальна. Но сама разработка небезупречна, так как в процессе «радиоигры» внимательный автолюбитель может направить внимание на неадекватную реакцию охранной системы. Как правило это смотрится так: отсутствие срабатывания после первого нажатия кнопки брелока и запоздалая (около секунды) реакция на повторную команду. А вот атаку адаптивного код-граббера не увидит никто. Более того, даже схватив злодея за руку и завладев прибором, распознать это орудие сумеет далековато не каждый сотрудник милиции: камуфляж «золотого ключика» разрабатывали мастера.

Что изображено на фото? Верно, универсальный ИК-пульт для телека. Такую вещицу можно смело брать на самые рискованные преступные вылазки: телевизионный пульт не улика. А тот, кто заподозрит в нем устройство двойного предназначения, пусть рассматривает, надавливает кнопки, меняет батарейки… Изделие будет оставаться «мертвым» до того времени, пока опытнейшая рука не пробежится по его кнопкам в строго определенной последовательности. Зажегся индикаторный светодиод? Означает, «пин-код» верный. Сейчас караулим на парковке ничего не подозревающего «лоха» и записываем эталон «почерка» охранной системы. В момент радиоперехвата адаптивный граббер никак не обнаруживает собственного присутствия в эфире (сигнализация встает на охрану без осечек) и «хватает» только радиопосылки подходящего формата. Можно даже дать обладателю неделю прокатиться - прибор все равно вскроет систему защиты. Не верите?

Мы тоже сомневались. Вот только четыре редакционных автомобиля, брелоки которых «клонированы» полгода вспять, открываются «телевизионным пультом» до сего времени. И запираются, кстати, тоже…

Как такое может быть? Секрет прост. Приборчик располагает данными, с помощью которых зашифровываются команды управления авто сигнализациями. Проще говоря, он знает ключи к системам кодировки. И как в эфире возникает сигнал знакомого формата, «пульт» расшифровывает его подходящей «отмычкой», а позже генерирует хакерскую посылку. Это нокаут! В памяти граббера лежат 6 ключей - по одному на любой из 6 узнаваемых брендов сигнализаций. Но в аннотации по эксплуатации есть прозрачный намек на возможность обновления («апдейта») программного обеспечения, так что все есть основания считать, что завтра на пол ринга зазорно упадут еще с десяток охранных систем.

Об этом приборчике мы уже ведали: замещающий код-граббер, замаскированный под брелок от сигнализации с двухсторонней связью, стал героем материала Funkspiel (см. АР №18, 2005)

Каким образом угонщики получили доступ к скрытым ключам, которые «зашиваются» в брелоки сигнализаций на заводе? А вы думали над тем, откуда берутся компакт-диски с базами данных ГИБДД, Минюста и налоговых органов, которые до настоящего времени продаются чуть не у каждой станции метро? Верно, ключи к системам кодировки KeeLog украдены. Либо, что в итоге то же самое, куплены за огромные средства. У самих производителей охранных систем либо у «оборотней в погонах» из какой-либо спецслужбы - находить канал утечки должны спецы по борьбе с злодеяниями в сфере больших технологий. Но даже если продавцов «золотых ключиков» схватят за руку, кривая «высокотехнологичных» угонов вниз не пойдет - информация уже скопирована и растиражирована.





Перехватчик кодов автосигнализаций, собранный в корпусе радиостанции CB-диапазона

А это означает, что адаптирующиеся код-грабберы, закамуфлированные под пульты ДУ, CD-плееры и электрические игрушки, будут продолжать поступать на преступный рынок. По последней мере до того времени, пока производители сигнализаций не выдумают, как уберечь автолюбителей. Сделать это можно, к примеру, переходом на измененные системы кодировки, в которых каждый брелок «прошивается» своим ключом, познание которого не приводит к вскрытию всех однотипных сигнализаций. Что, вобщем, не устраняет от необходимости смотреть за внутренней безопасностью на собственных предприятиях.








Этот дисковый mp3-плеер - очередной пример грамотного камуфляжа. Он стопроцентно работоспособен, но снутри корпуса установлена «опция» в виде замещающего код-граббера (коричневая плата)

А что делать обладателям машин? Поменять конфигурацию противоугонного комплекса! Отключение режима охраны брелоком ни при каких обстоятельствах не должно приводить к снятию всех противоугонных барьеров: пусть открываются двери, замок капота, но на пути к цепям зажигания и пуска мотора должен оставаться как минимум очередной заслон в виде электрического иммобилайзера с контактным либо транспондерным управлением. И заносить такие конфигурации нужно как можно резвее. Пока не прозвучал финишный гонг.

ШТАТНАЯ ЗАЩИТА?

Специализированных код-грабберов для вскрытия штатных сигнализаций импортных машин нам созидать не приходилось. Может быть, поэтому, что угонщики не расценивают такие охранные системы как суровую преграду и предпочитают расправляться с машиной отлично отработанными аппаратными способами - к примеру, подменой блоков управления движком. Но судя по участившимся случаям угонов дорогих автомобилей «в одно касание», схожая аппаратура на преступном рынке есть.

-------------------------------------------------------------------------------- Пользующаяся популярностью Тайнопись

В базу системы кодировки KeeLog положен симметричный (шифрование и дешифрование делается одним ключом) блочный (шифрование делается блоками по 32 бита) метод. После нажатия на кнопку брелока кодер определяет ее номер, наращивает на единицу счетчик количества нажатий (счетчик синхронизации), также сформировывает и зашифровывает динамическую часть посылки, которая состоит из значения счетчика синхронизации и уникального 12-битного числа (значения дискриминации). После чего к посылке добавляется неизменная часть кода (она, в свою очередь, формируется из серийного номера - уникального 28-битного числа, и номера кнопки). После чего команда передается в эфир. Приемный тракт сигнализации сверяет серийный номер, при помощи ключа дешифрирует изменяемую часть кода, сверяет значение дискриминации и ассоциирует показание счетчика синхронизации с сохраненным ранее - оно должно находиться в определенном окне значений.

















После чего значение счетчика синхронизации обновляется, а посреди дешифрованных данных отыскивается номер нажатой кнопки, который сравнивается со значением, переданным в неизменной части кода. При совпадении всех характеристик команда производится. Сама по для себя разработка криптозащиты KeeLog не является скрытой - этот метод описан в открытой документации компании Microchip. Но чтоб сгенерировать код управления определенной охранной системой, нужно знать личный 64-битный скрытый ключ шифрования/дешифрования, который записывается в память брелока на заводе-изготовителе сигнализации. Найти ключ математическими методами нереально: на компьютерный перебор всех 18446744073709551616 вариантов уйдет 29247 лет.





















ОХОТНИКИ ЗА КОДАМИ

Вести торговлю ключами к чужим шифрсистемам в мире начали за длительное время до возникновения авто сигнализаций и электрических систем доступа, при этом известны случаи, когда воровство кодов совершалось на самом высочайшем муниципальном уровне. Во время 2-ой мировой войны сотрудник японской разведсети в Европе продал германскому правительству коды генштаба Югославии и дипломатичных служб Бразилии, Ватикана, Португалии и Турции. Ключами к системам управления ракетами ВМФ США более 20 лет приторговывал агент русских спецслужб Джон Энтони Уокер. С нашей стороны в этом виде бизнеса серьезно преуспел полковник ГРУ Олег Пеньковский, которому, как говорят некие историки, практически удалось взломать систему безопасности СССР. Ну а самым масштабным походом за чужими электрическими ключами считается скрытая операция «Дженнифер», организованная спецслужбами США в 70-х годах прошедшего века. Специально для этого было выстроено океанское судно Glomar Explorer, которое под прикрытием гидрографических и геологоразведочных исследовательских работ подняло с глубины более 5000 метров несколько больших фрагментов корпуса русской подводной лодки К-129, затонувшей в Атлантическом океане в 1968 году. Цель - захват шифровального оборудования и ключей к системам радиообмена меж береговыми станциями слежения и подводными лодками ВМФ СССР. Проект, бюджет которого превысил 350 млн баксов, финансировал южноамериканский промышленник Говард Хьюз.

Полковника Олега Пеньковского, расстрелянного по приговору Верховного суда СССР в 1963 году, некие западные историки считают человеком, смогшим в одиночку взломать систему безопасности страны Янки Джон Энтони Уокер 20 лет продавал русским спецслужбам коды управления ракетным вооружением ВМФ США. Приговорен к бессрочному заключению

Интенсивно занимались спецслужбы и теоретическим криптоанализом. В этом, в частности, преуспели сотрудники русского НИИ-2, вошедшего в историю как Марфинская шарашка. Позднее разработкой инструментов вскрытия дипломатичных и военных шифров «потенциального противника» занимались спецы 16-го управления КГБ СССР, используя для этой цели вычислительную машину Булат, установленную в высотном здании на проспекте Вернадского, - самую сильную советскую ЭВМ времен «холодной войны».

-------------------------------------------------------------------------------- Величавая Потаенна ХХ ВЕКА

Самым известным устройством для защиты инфы, над вскрытием которого бились криптоаналитики всего мира, является шифровальная машина Enigma (Потаенна), сделанная германским инженером Артуром Шербиусом. По принципу деяния шифратор Enigma напоминал авто одометр: три съемных зубчатых ротора (шифродиска) со сквозными электронными контактами размещались вереницей. Когда оператор надавливал кнопку с буковкой открытого текста, сигнал проходил через неурядицу контактов на 3-х шифродисках, после этого попадал на перемычку рефлектора и отчаливал в оборотном направлении (уже по другому «электрическому пути»). Потом 1-ый диск поворачивался на одну позицию - и кодирование последующей буковкы выполнялось уже по совсем иному закону. Как только оператор вводил через клавиатуру 26 символов, 1-ый диск ворачивался в начальное положение, а вот 2-ой проворачивался на позицию вперед. Чтоб стремительно зашифровать и передать текст при помощи Энигмы, требовалась бригада из 4 человек: один зачитывал вслух открытый текст, 2-ой набивал его на клавиатуре, 3-ий считывал зашифрованную информацию с индикаторов, а 4-ый передавал ее в телефонную либо телеграфную линию. Ключами к шифрмашине Enigma служили изначальное размещение роторов и электронная коммутация цепей - количество вероятных главных композиций выражалось числом с 92 нулями.

"Авто-Ревю" №21,2006
Константин Сорокин
ремонт автомобиля