ADMIN@PROMOTO.UA PROMOTO.UA Заказать звонок

Электронный угон? - Это не фантастика.

Дата публикации: 2014-08-12
Если взять в руки несколько коробок с сигнализациями, можно прочесть: «статический код», «динамические код», «Keeloq», «D2», «DID» и много других страшных слов. Что это значит? «А фиг его знает» - скажет покупатель, а часто и продавец. А ведь эти слова объясняют, почему одна сигнализация стоит 50$, а другая 500$. И почему одну из них угонщик может нейтрализовать за 2 секунды, но не решится вступить в схватку со второй.

    Чтобы выстроить эффективную защиту своего мотоцикла, недостаточно прочесть пару-тройку рекламных обзоров или спросить совета у «знающего человека» с образованием церковно-приходской школы. Не годится в этом случае и «многолетний опыт», а так же «знание жизни» установщиков. Для этого необходимо хорошо понимать, что и как работает. Итак, начнём.
    Перенесёмся в недалёкое прошлое. Лет так на двадцать назад. В тот исторический период начали зарождаться первые электронные авто-мото сигнализации. Принцип их работы был прост: при нажатии на кнопку брелока, в эфир передавался простейший статический код (например «123»). Сигнализация принимала код и инвертировала своё состояние. То есть, либо ставилась, либо снималась с охраны. Число возможных комбинаций кода равнялось 512 – по тем временам очень круто.
    Эта система отхватила свою долю оваций, пока кто-то не собрал простейший сканер. То было примитивное устройство, которое методом автоматического перебора искало одну из этих 512 комбинаций, что снимала сигнализацию с охраны. Такой метод взлома занимал не более 10 секунд.
    Тогда производители вывели на рынок систему с защитой от сканирования. Это был алгоритм, «зашитый» в процессор основного блока. Заключался он в следующем: в случае принятия неверного кода, сигнализация на некоторое время блокировалась, и вывести её из этого состояния можно было только методом многократной трансляции правильного кода.
    Разработчики вздохнули с облегчением – угроза сканера, висящая дамокловым мечом, сошла на нет. Но, рано радовались… Во время токийского автосалона в середине 90-х, новейшая сигнализация была взломана… за 2 секунды! Тогда же на сцену вышел новый инструмент угонщика – кодграббер для статического кода. По современным меркам это простейшее устройство, которое может собрать любой радиолюбитель. Но, тогда эта грозная коробочка навела панику на разработчиков охранных систем. Кстати, с виду это мог быть мобильный телефон, пульт телевизора, «тетрис»… да что угодно! Причём, эти устройства были абсолютно рабочими, а в режим «кодграббер» переходили после определённой последовательности нажатий. Каков же принцип работы? А всё очень просто: кодграббер для статического кода умел принимать, запоминать и транслировать кодированный сигнал. То есть, на некоторое время он становился клоном брелока.

 



После этого производители сделали первый шаг в сторону динамических кодировок . Идея была проста:

1. От передачи к передаче код должен изменяться.
2. Код должен быть одноразовым.

   Ответом было магическое слово Keeloq -  алгоритм динамической защиты радиоканала, разработанный южноафриканской компанией «Nanoteq». Многие сочли его панацеей от всех бед. Надо сказать, небезосновательно. Такой код – сложный криптографический ребус, разгадать который можно лишь зная ключ (алгоритм кодирования). Об этом поподробнее.

Keeloq-код имеет статическую и шифрованную динамическую часть. Передаваемая в эфир кодовая комбинация выглядит так:

 



<<номер нажатой кнопки><серийный номер><шифрованная динамическая часть>>

   В шифрованной части присутствует информация, обеспечивающая распознавание брелка, и, как следствие, отключение режима охраны. Вот её «конструкция»:

<<номер нажатой кнопки><значение дискриминации><счётчик нажатий>>

   Как видите, в структуре кода Keeloq заранее известно что где находится.
Шифрование производится по зашитому в брелок алгоритму-ключу. Точно такой же заложен и в основной блок.

Давайте посмотрим на всё это изнутри. Допустим, алгоритм шифрования: F=3x?-9 (настоящий ключ в десятки и сотни раз сложней). Номер нажатой кнопки – 2, значение дискриминации -  777, серийный номер – 555, счётчик – 52. В таком случае код будет выглядеть так:

<<2><555><3(277752)?-9>>

   Принимая такую посылку, сигнализация запоминает номер нажатой кнопки и номер брелока (если не совпал – значит не «свой»), после чего начинает расшифровку. Зная алгоритм (F=3x?-7) , это несложно. После этого сравниваются одинаковые сектора данных статической и динамической части, а под финал происходит сравнение счётчиков нажатий. При этом, «действительной» посылка считается только в том случае, если значение счётчика брелока (СБ) больше чем значение счётчика сигнализации (СС) – таким способом осуществляется «одноразовость» кода. После сравнения, выполняется приравнивание значения СС к СБ.
    При следующем нажатии на кнопку брелока, код будет иметь другой вид, поскольку СБ увеличится на единицу. Ну, вроде бы с Keeloq разобрались, да?
    Одним прекрасным (а может и не очень) утром, производители пили кофе и потирали ладошки, в ожидании сводок о новой прибыли, как пришло пренеприятнейшее известие… нет, не факт приезда ревизора. Хуже. Пожалуй, приезду господина Хлестакова из гоголевской пьесы расстроились бы гораздо меньше. Их новейшие сигнализации, эталоны безопасности, были легко взломаны неизвестным устройством, которое позже получило название замещающий кодграббер или устройство 409.

 



Как оно работает, покажу на примере:


Действие первое.

   Владелец, отходя от мотоцикла, нажимает на кнопку (первые брелоки не имели раздельных кнопок постановки и снятия с охраны) чтоб включить сигнализацию. В этот момент кодграббер улавливает и начинает записывать передачу, одновременно генерируя импульсную помеху, которая портит статическую часть Keeloq-кода, в результате чего основной блок не идентифицирует команду.

Действие второе.

   Владелец, заметив несрабатывание, жмет на кнопку второй раз. Кодграббер проводит ту же операцию. Теперь, в его памяти есть два действительных кода. Он передает на основной блок первую записанную команду и сигнализация включается. Мотоциклист уходит по своим делам, а угонщик отключает охранную систему с помощью оставшегося действительного кода, записанного в памяти устройства, и...

...занавес.

   В ответ производители сигнализаций стали делать двухкнопочные брелоки, в которых постановка и снятие с режима охраны осуществлялось разными кодами.
    Но, эта система являлась полумерой, поэтому счастье разработчиков длилось очень недолго. Аккурат до появления модифицированного замещающего кодграббера, или устройства 502.

   От предшественника он отличается только существенно увеличенным объемом памяти и функцией распознавания сигнала от разных кнопок брелока. Но, основной упор делается на человеческий фактор. Сцена: владелец мотоцикла, приехав на парковку перед офисным центром, нажимает на кнопку включения сигнализации, но… ничего не происходит. Он жмет снова. И снова. В его голове рождаются мысли типа «черт, весь город в пробках, на встречу опаздываю, а тут еще и эта хрень!..». Он начинает жать на все кнопки подряд, пытаясь добиться хоть какого-то ответа, и в конечном итоге убеждается, что в брелоке отошли контакты от батарейки, после чего приступает к разборке. И вот, контакты подогнуты, зачищены, брелок собран, нажатие на кнопочку… и все работает! Довольный собой, владелец удаляется по своим делам, а по возвращению не обнаруживает мотоцикла на прежнем месте. Почему? Да потому что кодграббер «стрелялся» импульсной помехой, не давая основному блоку идентифицировать сигнал, и исправно записывал все передачи, среди которых затесался код снятия с охраны. А когда мотоциклист нажал на кнопку заново собранного брелока, кодграббер, управляемый угонщиком, организовал описанное выше замещение кодов. Как вы поняли, принцип его работы заключается в использовании человеческого фактора.
    Но, это были не все беды, потому как на чёрном рынке довольно быстро появился алгоритмический (мануфактурный) кодграббер.

   Это довольно интересное устройство, обычно выполненное в корпусе брелока автомобильной сигнализации. Прежде чем рассказать о принципе его действия, хочу задать вам вопрос. Как вы считаете, откуда берутся базы данных таможни, силовых структур и министерства юстиции, продающиеся на CD/DVD дисках буквально у каждого угла? Правильно. Их воруют. Ну, или покупают за очень большие деньги, что в принципе одно и то же. Как вы (надеюсь) прочитали, сигнализации, использующие стандартную Keeloq-кодировку, имеют недостатки, один из которых заключается в распространенности этого метода криптографии.  Естественно, он стал самым атакуемым и... покупаемым. А уж если есть спрос, то предложение всегда найдется – это неизменный закон рынка. Как правило, алгоритм шифрования сигнала един для каждой серии таких сигнализаций. Дальше все просто.  В память кодграббера заносятся все известные заводские алгоритмы, после чего он становится способен незаметно и эффективно взламывать целые семейства охранных систем. В активном состоянии, он «слушает» эфир и пытается найти «знакомые» типы кодировок. Как только таковая найдена и идентифицирована, он на некоторое время становится клоном брелока. После этого угон становится лишь вопросом времени – от дня до года.

   Только после этого производители оправились от нокаута и включили мыслительные процессы в своих наплечных насадках для заливания кофе.
    Сначала на свет появился D2, или же двойной динамический код. В этом случае брелоку и сигнализации присваивался собственный, сгенерированный случайным образом, алгоритм шифрования, который был неизвестен даже самим разработчикам. Таким образом удалось закрыть брешь со стороны алгоритмического кодграббера, но вот устройство 502 всё равно взламывало такие сигнализации!
    Вдогонку за D2 появился DID. Многие считают, что это код. На самом деле это протокол обмена между брелоком и основным блоком. Получив сигнал, система убеждается, что он послан со «своего» брелка, причем это происходит не однократно, а в диалоге. В ответ на первый сигнал система посылает на брелок запрос в виде случайного числа, которое обрабатывается брелком по особому алгоритму и отсылается обратно. Сигнализация обрабатывает свою посылку по тому же алгоритму, сравнивая полученный ответ со своими данными. Если они совпадают, команда выполняется, а на пульт отправляется подтверждение. На данный момент невозможно воспроизвести подобный диалог кодграббером, и этим снять систему с охраны.

Таким образом, сейчас лидерство на стороне производителей сигнализаций. Вот только надолго ли?

   Теперь поговорим о дополнительных бастионах электронной защиты. Как вы поняли, речь идет о иммобилайзерах всех типов, метках, а так же об охранных GSM/GPS-системах.
    Первыми в своём роде были контактные иммобилайзеры. Они вставлялись в определённое место на приборной панели или кокпите, замыкая контакты разомкнутой цепи зажигания. Разумеется, такая система обманывалась обычным куском проволоки.
    Чтобы  усложнить жизнь угонщикам, вскоре появились бесконтактные транспондеры (transmitter + responder). Это были микрочипы с постоянной (энергонезависимой) памятью без элемента питания, соединенный с небольшой проволочной катушкой. Традиционно, они находятся в корпусе ключа и являются пассивными метками. Когда мы включаем зажигание, иммобилайзер (система распознавания владельца «по ключу») генерирует магнитное поле, которое индуцирует ток в катушке. Транспондеру этого вполне хватает, чтоб отозваться «я свой». В некоторым моделях задействован протокол обмена DID. На данный момент такую систему невозможно взломать аппаратным методом. Но, где пасует электроника… там угонщики вспоминают о человеческом факторе:
    Случай 1. Знакомый восторжен вашим новым байком и просит прокатиться. Вы, зная что он хорошо умеет ездить, великодушно ему разрешаете. Через 15-20 минут он возвращает ваш мотоцикл в целости и сохранности. А еще через неделю или через месяц вашего двухколесного друга угоняют.
    Просто, за время своего отсутствия знакомый успел снять слепок с ключа, вынуть из него транспондер и закрепить его, к примеру, жвачкой на незаметном месте вблизи замка зажигания. После этого ваш байк можно завести даже скрепкой.

Случай 2. Вы забрали свой мотоцикл из СТО после проведения ТО или ремонта. Через какое-то время его угнали.

   А вот что произошло: человек, имеющий доступ к вашему мотоциклу (а это не обязательно механик) вышеописанным способом переставил транспондер, либо пользуясь сервисным код-ридером или программатором ключей иммобилайзера (например AD-900, Т-300 и т.д.) сделал еще один ключ из приобретенной заранее «болванки».
    Не могу не затронуть такую понтовую штуковину, как активная метка. Идея та же что и у транспондера, но в ее схеме присутствует собственный элемент питания, поэтому излучение такой метки постоянно. Внешне всё выглядит очень круто:  Полный пафоса владелец неспешным шагом приближается к своему мотоциклу. По мере сближения железный конь сам снимается с режима охраны, и иногда даже заводит мотор…
    Вот здесь и выходит на сцену ретранслятор. Это устройство, которое состоит из двух приемопередатчиков и выглядит как пара небольших кейсов. Применяется для взлома иммобилайзеров с постоянным излучением у метки (активная метка). Как работает? Например, вы сидите в кафе, к вам подсаживается человек с чемоданчиком или ноутбуком, в который вмонтирован чувствительный приемник, усилитель и передатчик.  Он транслирует сигнал от вашей метки в устройство № 2 человеку, находящемуся вблизи мотоцикла, а он в свою очередь блоку иммобилайзера... Дальнейшие комментарии излишни.
    Пришла очередь разобраться с GSM/GPS-сигнализациям. Сейчас они считаются эталоном электронной защиты, но так ли это?  Давайте разберёмся. Эти устройства отличается тем, что в качестве тревожного канала использует  сотовую сеть. Грубо говоря, в случае срабатывания, а так же для проверки канала связи, она пишет вам SMS-ки или делает дозвон. Если же в ней имеется блок GPS, то она может сообщать местонахождение мотоцикла.

А вот неполный перечень устройств и методов, использующихся для обмана такой сигнализации:

   Устройства подавления трансляции – традиционно, это обычные «глушилки». Различаются мощностью, размерами и радиусом действия. Кроме них существуют индикаторы поля, с помощью которых можно определить расположение антенны и отключить ее механическим способом (молотком или кусачками).

   Подмена базовой станции (ретранслятора) - Этот способ является наиболее интеллектуальным и представляет из себя подмену базовой станции или ретранслятора. Т.е. подменяются функции вышек, которые мы привыкли видеть на крышах административных зданий. Данное оборудование имеет возможность выдавать себя за такую вот станцию. Спутниковая система и блок сигнализации считают, что это и есть ретранслятор и поддерживает с ним обмен информацией. Девайсы, выступающие в качестве фейковой базовой станции, называются EMSI-catcher’ами. Они так же часто применяются для прослушивания трафика GSM. Наиболее ходовые продукты: Octopus FTMRS 60D mini, PostWin, GSM Interceptor Pro, SCL-5020 и вся производная этой базы. При возникновении различного вида тревоги, реальной передачи данных не происходит. В этом случае актуальными методами защиты является контроль канала связи, что применено в ряде изделий некоторых производителей и спутниковых операторов.

   Клонирование SIM-карты - Далеко не секрет, что существует метод клонирование SIM карты при помощи специальных карт-ридеров. Подобную манипуляцию производит оператор сотовой связи при запросе владельца номера, если есть такая необходимость. Надеюсь, у читателя не будет возникать вопросов по поводу несанкционированного изготовления симок... Итак, у одного телефонного номера могут быть несколько сим-карт. Зачем это нужно? А вот зачем: современные методики защиты предусматривают различные варианты проверки работоспособности спутниковой системы, установленной на мотоцикл, в том числе и периодический дозвон робота-оператора. При удачной попытке это расценивается как «мотоцикл под контролем» и не вызывает тревог. Что и предоставляет клон симки, в то время как основная карта подавлена обычной глушилкой, приведенной выше. Все вышеперечисленное в этом пункте может так же позитивно повлиять на попытку угона, при том условии, что спутниковая система обладает интеллектуальным методом блокировки двигателя при пропадании связи и соблюдения некоторых логических параметров состояния мотоцикла (применяется у некоторых операторов спутникового слежения)

Вы всё ещё считаете, что GSM/GPS-сигнализация – эталон защиты? Лично я – нет.

   Теперь, когда вы знаете, что и как работает, вам будет гораздо легче подойти к выбору сигнализации и понять, почему одна стоит 50 долларов, а другая – 500.

Ну и напоследок, некоторые рекомендации:

1. Соизмеряйте цену сигнализации с ценой вашего двухколёсного товарища. Охранная система за 50$ на «голде» так же нелепа, как и за 500$ на китайском скутере-полтиннике. Профессионал, оснащённый кодграббером, не позарится на изделие китайпрома – он работает на заказ и работа его стоит ооочень недёшево. А вот Gold Wing с дешевой «охранкой» - это прямо-таки щедрый подарок.

2. Не упрощайте жизнь угонщику. Если ваша сигнализация, использующая динамическую кодировку, начала вести себя неадекватно (см. абзац о замещающем кодграббере) то оглядитесь по сторонам. Нет ли рядом человека с «тетрисом»? В таком случае лучше снять её с режима охраны вручную, путём введения пин-кода. Кроме того, можно практиковать оборачивание брелока фольгой – мощность излучения снизится, и у кодграббера может не хватить чувствительности, чтоб распознать ваш сигнал. И НИ В КОЕМ СЛУЧАЕ НЕ ЖМИТЕ ПОДРЯД ВСЕ КНОПКИ – сложно придумать что-то более глупое. Хотя нет… можно просто положить ключи на сиденье с запиской: «Дарю. Я щедрый лох».

3. Не возлагайте больших надежд даже на самую крутую «электронику». Есть такая поговорка у арабов: «на Аллаха надейся, но ишака привязывай». Вот и байк было бы неплохо привязывать цепью к чему-то недвижимому и вешать замок на диск. Эти дополнительные рубежи охраны заставят угонщика задуматься: «а стоит ли трогать этот мотоцикл?». Даже если он ответит положительно, то большое количество противоугонных «приспособ» потребует много времени на нейтрализацию. Времени, которое может понадобиться вам для того чтобы предотвратить угон.


Текст: Сергей Кузнецов (www.motodrive.com.ua)  Хотите знать больше ? 

индекс для подписки  90693

При копировании активная ссылка на первоисточник и автора  www.motodrive.com.ua обязательна!