Перенесемося в недалеке минуле. Років так на двадцять тому. У той історичний період почали зароджуватись перші електронні авто-мото сигналізації. Принцип їх роботи був простий: при натисканні на кнопку брелока в ефір передавався найпростіший статичний код (наприклад, «123»). Сигналізація приймала код та інвертувала свій стан. Тобто або ставилася, або знімалася з охорони. Число можливих комбінацій коду дорівнювало 512 - на ті часи дуже круто.
Ця система відхопила свою частку овацій, поки хтось не зібрав найпростіший сканер . То був примітивний пристрій, який методом автоматичного перебору шукав одну з цих 512 комбінацій, що знімала сигналізацію з охорони. Такий метод злому займав трохи більше 10 секунд.
Тоді виробники вивели на ринок систему із захистом від сканування. Це був алгоритм, "зашитий" у процесор основного блоку. Полягав він у наступному: у разі прийняття невірного коду сигналізація на деякий час блокувалася, і вивести її з цього стану можна було тільки методом багаторазової трансляції правильного коду.
Розробники зітхнули з полегшенням – загроза сканера, що висить дамокловим мечем, зійшла нанівець. Але рано раділи… Під час токійського автосалону в середині 90-х, новітня сигналізація була зламана… за 2 секунди! Тоді ж на сцену вийшов новий інструмент викрадача – кодграбер для статичного коду . За сучасними мірками це найпростіший пристрій, який може зібрати будь-який радіоаматор. Але тоді ця грізна коробочка навела паніку на розробників охоронних систем. До речі, на вигляд це міг бути мобільний телефон, пульт телевізора, «тетріс»… та що завгодно! Причому ці пристрої були абсолютно робочими, а в режим «кодграбер» переходили після певної послідовності натискань. Який принцип роботи? А все дуже просто: кодграбер для статичного коду вмів приймати, запам'ятовувати та транслювати кодований сигнал. Тобто на деякий час він ставав клоном брелока.
Після цього виробники зробили перший крок у бік динамічних кодувань. Ідея була проста:
1. Від передачі до передачі код має змінюватися.
2. Код має бути одноразовим.
Відповіддю було магічне слово Keeloq – алгоритм динамічного захисту радіоканалу, розроблений південноафриканською компанією «Nanoteq». Багато хто вважав його панацеєю від усіх бід. Треба сказати, небезпідставно. Такий код – складний криптографічний ребус, розгадати який можна лише знаючи ключ (алгоритм кодування). Про це детальніше.
Keeloq-код має статичну та шифровану динамічну частину. Кодова комбінація, що передається в ефір, виглядає так:
<<номер натиснутої кнопки><серійний номер><шифрована динамічна частина>>
У шифрованій частині є інформація, що забезпечує розпізнавання брелока, і, як наслідок, відключення режиму охорони. Ось її «конструкція»:
<<номер натиснутої кнопки><значення дискримінації><лічильник натискань>>
Як бачите, у структурі коду Keeloq заздалегідь відомо, що де знаходиться.
Шифрування проводиться за зашитому в брелок алгоритм-ключ. Такий самий закладений і в основний блок.
Погляньмо на все це зсередини. Припустимо, алгоритм шифрування: F = 3x?-9 (справжній ключ у десятки та сотні разів складніший). Номер натиснутої кнопки – 2, значення дискримінації – 777, серійний номер – 555, лічильник – 52. У такому разі код виглядатиме так:
<<2><555><3(277752)?-9>>
Приймаючи таку посилку, сигналізація запам'ятовує номер натиснутої кнопки та номер брелока (якщо не збігся – значить не «свій»), після чого починає розшифровку. Знаючи алгоритм (F=3x?-7) це нескладно. Після цього порівнюються однакові сектори даних статичної та динамічної частини, а під фінал відбувається порівняння лічильників натискань. При цьому «дійсною» посилка вважається тільки в тому випадку, якщо значення лічильника брелока (СБ) більше ніж значення лічильника сигналізації (СС) – таким способом здійснюється «одноразовість» коду. Після порівняння виконується прирівнювання значення СС до СБ.
При наступному натисканні на кнопку брелока код буде мати інший вигляд, оскільки СБ збільшиться на одиницю. Ну, як би з Keeloq розібралися, так?
Одним прекрасним (а може й не дуже) вранці, виробники пили каву і потирали долоні, чекаючи зведень про новий прибуток, як прийшла найнеприємніша звістка… ні, не факт приїзду ревізора. Гірше. Мабуть, приїзду пана Хлестакова з гоголівської п'єси засмутилися набагато менше. Їх нові сигналізації, еталони безпеки, були легко зламані невідомим пристроєм, який пізніше отримав назву заміщаючий кодграбер або пристрій 409 .
Як воно працює, покажу на прикладі:
Дія перша.
Власник, відходячи від мотоцикла, натискає на кнопку (перші брелоки не мали окремих кнопок постановки та зняття з охорони) щоб увімкнути сигналізацію. У цей момент кодграбер уловлює і починає записувати передачу, одночасно генеруючи імпульсну перешкоду, яка псує статичну частину Keeloq-коду, внаслідок чого основний блок не ідентифікує команду.
Дія друга.
Власник, помітивши неспрацьовування, тисне на кнопку вдруге. Кодграббер проводить ту саму операцію. Тепер, у його пам'яті є два дійсні коди. Він передає на основний блок першу записану команду та сигналізація вмикається. Мотоцикліст йде у своїх справах, а викрадач відключає охоронну систему за допомогою дійсного коду, що залишився, записаного в пам'яті пристрою, і...
...завісу.
У відповідь виробники сигналізацій стали робити двокнопкові брелоки, в яких постановка та зняття з режиму охорони здійснювалося різними кодами.
Але ця система була напівзаходом, тому щастя розробників тривало дуже недовго. Якраз до появи модифікованого заміщуючого кодграбера, або пристрою 502 .
Від попередника він відрізняється лише суттєво збільшеним обсягом пам'яті та функцією розпізнавання сигналу від різних кнопок брелока. Проте, основний акцент робиться на людський чинник. Сцена: власник мотоцикла, приїхавши на паркування перед офісним центром, натискає на кнопку включення сигналізації, але нічого не відбувається. Він тисне знову. І знову. У його голові народжуються думки на кшталт «чорт, все місто в пробках, на зустріч спізнююся, а тут ще й ця хрень!..». Він починає натискати на всі кнопки поспіль, намагаючись домогтися хоч якоїсь відповіді, і зрештою переконується, що в брелоку відійшли контакти від батарейки, після чого приступає до розбирання. І ось, контакти підігнуті, зачищені, брелок зібраний, натискання на кнопку… і все працює! Задоволений собою, власник видаляється у своїх справах, а після повернення не виявляє мотоцикла на колишньому місці. Чому? Та тому що кодграббер «стрілявся» імпульсною перешкодою, не даючи основному блоку ідентифікувати сигнал, і справно записував усі передачі, серед яких затесався код зняття з охорони. А коли мотоцикліст натиснув на кнопку заново зібраного брелока, кодграбер, керований викрадачом, організував описане вище заміщення кодів. Як ви зрозуміли, принцип його роботи полягає у використанні людського чинника.
Але це були не всі біди, тому що на чорному ринку досить швидко з'явився алгоритмічний (мануфактурний) кодграббер .
Це досить цікавий пристрій, зазвичай виконаний у корпусі брелока автомобільної сигналізації. Перш ніж розповісти про принцип його дії, хочу поставити вам запитання. Як ви вважаєте, звідки беруться бази даних митниці, силових структур та міністерства юстиції, які продаються на CD/DVD дисках буквально біля кожного кута? Правильно. Їх крадуть. Ну, або купують за дуже великі гроші, що в принципі одне й те саме. Як ви (сподіваюся) прочитали, сигналізації, які використовують стандартне Keeloq-кодування, мають недоліки, один з яких полягає у поширеності цього методу криптографії. Природно, він став атакованим і... купованим. А якщо є попит, то пропозиція завжди знайдеться – це незмінний закон ринку. Як правило, алгоритм шифрування сигналу є єдиним для кожної серії таких сигналізацій. Далі все просто. У пам'ять кодграбера заносяться всі відомі заводські алгоритми, після чого він стає здатним непомітно та ефективно зламувати цілі сімейства охоронних систем. В активному стані він «слухає» ефір і намагається знайти «знайомі» типи кодувань. Як тільки така знайдена та ідентифікована, він на деякий час стає клоном брелока. Після цього викрадення стає лише питанням часу – від дня до року.
Тільки після цього виробники оговталися від нокауту та включили розумові процеси у своїх наплічних насадках для заливання кави.
Спочатку на світ з'явився D2, або подвійний динамічний код. У цьому випадку брелоку та сигналізації присвоювався власний, згенерований випадковим чином алгоритм шифрування, який був невідомий навіть самим розробникам. Таким чином вдалося закрити пролом з боку алгоритмічного кодграбера, але пристрій 502 все одно зламував такі сигналізації!
Наздогін за D2 з'явився DID. Багато хто вважає, що це код. Насправді це протокол обміну між брелоком та основним блоком. Отримавши сигнал, система переконується, що він надісланий зі «свого» брелка, причому це відбувається не одноразово, а в діалозі. У відповідь перший сигнал система посилає на брелок запит у вигляді випадкового числа, яке обробляється брелоком за особливим алгоритмом і відсилається назад. Сигналізація обробляє свою посилку за тим самим алгоритмом, порівнюючи отриману відповідь зі своїми даними. Якщо вони збігаються, команда виконується, а на пульт надсилається підтвердження. На даний момент неможливо відтворити подібний діалог кодграбером, і цим зняти систему з охорони.
Таким чином зараз лідерство на боці виробників сигналізацій. Ось чи надовго?
Тепер поговоримо про додаткові бастіони електронного захисту. Як ви зрозуміли, йдеться про іммобілайзери всіх типів, мітки, а також про охоронні GSM/GPS-системи.
Першими у своєму роді були контактні іммобілайзери. Вони вставлялися в певне місце на панелі приладів або кокпіті, замикаючи контакти розімкнутого ланцюга запалювання. Зрозуміло, така система обманювалася звичайним шматком дроту.
Щоб ускладнити життя викрадачам, невдовзі з'явилися безконтактні транспондери (transmitter+responder). Це були мікрочіпи з постійною (енергонезалежною) пам'яттю без елемента живлення, з'єднаний з невеликою дротяною котушкою. Традиційно вони знаходяться в корпусі ключа і є пасивними мітками. Коли ми вмикаємо запалювання, іммобілайзер (система розпізнавання власника «по ключу») генерує магнітне поле, яке індукує струм у котушці. Транспондер цього цілком вистачає, щоб відгукнутися «я свій». У деяких моделях задіяно протокол обміну DID. На даний момент таку систему неможливо зламати апаратним методом. Але, де пасує електроніка… там викрадачі згадують про людський чинник:
Випадок 1. Знайомий захоплений вашим новим мотоциклом і просить покататися. Ви, знаючи, що він добре вміє їздити, великодушно йому дозволяєте. Через 15-20 хвилин він повертає ваш мотоцикл у цілості та безпеці. А ще через тиждень чи через місяць вашого двоколісного друга викрадають.
Просто, за час своєї відсутності, знайомий встиг зняти зліпок з ключа, вийняти з нього транспондер і закріпити його, наприклад, жуйкою на непомітному місці поблизу замку запалювання. Після цього ваш байк можна завести навіть скріпкою.
Випадок 2. Ви забрали свій мотоцикл із СТО після проведення ТО чи ремонту. Через якийсь час його викрали.
А ось що сталося: людина, яка має доступ до вашого мотоцикла (а це не обов'язково механік), вищеописаним способом переставила транспондер, або користуючись сервісним код-рідером або програматором ключів іммобілайзера (наприклад AD-900, Т-300 і т.д.) зробив ще один ключ із придбаної заздалегідь «болванки».
Не можу не торкнутися такої понтової штуковини, як активна мітка. Ідея та ж, що й у транспондера, але в її схемі є власний елемент живлення, тому випромінювання такої мітки постійно. Зовні все виглядає дуже круто: Повний пафосу власник неспішним кроком наближається до свого мотоцикла. У міру зближення залізний кінь сам знімається з режиму охорони і іноді навіть заводить мотор.
Ось тут і виходить на сцену ретранслятор . Це пристрій, який складається з двох приймачів і виглядає як пара невеликих кейсів. Застосовується для злому іммобілайзерів із постійним випромінюванням у мітки (активна мітка). Як працює? Наприклад, ви сидите в кафе, до вас підсідає людина з валізкою або ноутбуком, в який вмонтований чутливий приймач, підсилювач та передавач. Він транслює сигнал від вашої мітки до пристрою № 2 людині, яка знаходиться поблизу мотоцикла, а він, у свою чергу, блоку іммобілайзера... Подальші коментарі зайві.
Настала черга розібратися з GSM/GPS-сигналізаціям. Нині вони вважаються еталоном електронного захисту, але чи це так? Давайте розберемося. Ці пристрої відрізняється тим, що як тривожний канал використовує стільникову мережу. Грубо кажучи, у разі спрацьовування, а також для перевірки каналу зв'язку, вона пише вам SMS або робить додзвон. Якщо ж у ній є блок GPS, вона може повідомляти місцезнаходження мотоцикла.
А ось неповний перелік пристроїв та методів, що використовуються для обману такої сигналізації:
Пристрої придушення трансляції – зазвичай, це звичайні «глушилки». Розрізняються потужністю, розмірами та радіусом дії. Крім них існують індикатори поля , за допомогою яких можна визначити розташування антени і відключити її механічним способом (молотком або кусачками).
Підміна базової станції (ретранслятора) - Цей спосіб є найбільш інтелектуальним і є підміною базової станції або ретранслятора. Тобто. підмінюються функції вишок, які ми звикли бачити на дахах адміністративних будівель. Це обладнання може видавати себе за таку ось станцію. Супутникова система та блок сигналізації вважають, що це є ретранслятор і підтримує з ним обмін інформацією. Девайси, що виступають як фейкова базова станція, називаються EMSI-catcher'ами. Вони також часто застосовуються для прослуховування трафіку GSM. Найбільш ходові продукти: Octopus FTMRS 60D mini, PostWin, GSM Interceptor Pro, SCL-5020 та вся похідна цієї бази. У разі різного виду тривоги, реальної передачі не відбувається. У цьому випадку актуальними методами захисту є контроль каналу зв'язку, що застосовано у ряді виробів деяких виробників та супутникових операторів.
Клонування SIM-карти - Далеко не секрет, що існує метод клонування SIM-картки за допомогою спеціальних карт-рідерів. Подібну маніпуляцію проводить оператор стільникового зв'язку за запитом власника номера, якщо є така необхідність. Сподіваюся, у читача не виникатиме питання з приводу несанкціонованого виготовлення сімок... Отже, один телефонний номер може мати кілька сім-карток. Навіщо це потрібно? А ось навіщо: сучасні методики захисту передбачають різні варіанти перевірки працездатності супутникової системи, встановленої на мотоцикл, у тому числі періодичний додзвон робота-оператора. При вдалій спробі це розцінюється як мотоцикл під контролем і не викликає тривог. Що й надає клон сімки, тоді як основна карта пригнічена звичайною глушилкою, наведеною вище. Все вищеперелічене в цьому пункті може так само позитивно вплинути на спробу викрадення, за умови, що супутникова система має інтелектуальний метод блокування двигуна при зникненні зв'язку та дотримання деяких логічних параметрів стану мотоцикла (застосовується у деяких операторів супутникового стеження)
Ви все ще вважаєте, що GSM/GPS-сигналізація – стандарт захисту? Особисто я – ні.
Тепер, коли ви знаєте, що і як працює, вам буде набагато легше підійти до вибору сигналізації та зрозуміти, чому одна коштує 50 доларів, а інша – 500.
Ну і насамкінець, деякі рекомендації:
1. Порівнюйте ціну сигналізації з ціною вашого двоколісного товариша. Охоронна система за 50 $ на «голді» така ж безглузда, як і за 500 $ на китайському скутері-полтиннику. Професіонал, оснащений кодграбером, не позіхає на виріб китайпрому - він працює на замовлення і робота його коштує дуже недешево. А ось Gold Wing з дешевою «охоронкою» - це щедрий подарунок.
2. Не спрощуйте життя викрадачеві. Якщо ваша сигналізація, що використовує динамічне кодування, почала поводитися неадекватно (див. абзац про кодграббер, що заміщає), то огляньтеся по сторонах. Чи немає поряд людини з «тетрісом»? У такому разі краще зняти її з режиму охорони вручну шляхом введення пін-коду. Крім того, можна практикувати обертання брелока фольгою - потужність випромінювання знизиться, і у кодграбера може не вистачити чутливості, щоб розпізнати ваш сигнал. І НІ В ЯКОМУ РАЗІ НЕ ТИСНІТЬ ПІДРЯД ВСІ КНОПКИ - складно придумати щось дурніше. Хоча ні… можна просто покласти ключі на сидіння із запискою: «Дарю. Я щедрий лох».
3. Не покладайте великих надій навіть на найкрутішу «електроніку». Є така приказка у арабів: «на Аллаха сподівайся, але ішака прив'язуй». От і байк було б непогано прив'язувати ланцюгом до чогось нерухомого та вішати замок на диск. Ці додаткові рубежі охорони змусять викрадача задуматися: «Чи варто чіпати цей мотоцикл?». Навіть якщо він відповість позитивно, то велика кількість протиугінних «пристосування» вимагатиме багато часу на нейтралізацію. Часу, який може знадобитися вам для того, щоб запобігти угону.
Текст: Сергій Кузнєцов (www.motodrive.com.ua) Бажаєте знати більше?
індекс для підписки 90693
При копіюванні активне посилання на першоджерело та автора www.motodrive.com.ua є обов'язковим!