И снова о методах взлома сигнализаций.

30.07.2011 Изучаем охранные системы  Нет комментариев Еще статьи в этом разделе

Алгоритмический код-граббер

 

Пресса по теме:
Брелок за 100 тысяч (За рулём)
Волк и девять козлят на противоугонный лад (За рулём)
Нокаут (Авторевю)

 

 

 

Список систем (далеко не весь), вскрываемых Алгоритмическим (Мануфактурным) код-граббером:

  • 1. Sherif ( весь модельный ряд)
  • 2. Alligator (все дополнительные брелки)
  • 3. A.P.S. (кроме 7000-9000)
  • 4. Jaguar
  • 5. Alligator ( пейджеры с жк дисплеем )
  • 6. Alligator (пейджер со светодиодами кроме S-275,S-250)
  • 7. Chelendger
  • 8. Pantera- (QX)
  • 9. Mongouse
  • 10. Duplex
  • 11. Pantera (SX)
  • 12. Fighter
  • 13. Cenmax (HIT-320)
  • 14. Pantera (с пейджерами обратной связи по 5ХХХ серию включительно )
  • 15. Faraon
  • 16. KGB (дополнительные брелки включая старые модели)
  • 17. Berhut (дополнительные брелки)
  • 18. Berкut (пейджеры)
  • 19. KGB (пейджеры с обратной связью, проверенно на-VS 4000)
  • 20. Tomahawk(KEELOQ-TW7000 TW9000,TW9010,TW7010,TW7020,TW7030,TW9020,TW9030,950LE) Возможен автозапуск!
  • 21. Godzila
  • 22. Pandora (RX)
  • 23. Leopard
  • 24. Red Scorpio
  • 25. Inspektor
  • 26. Cenmax-MT7,
  • 27. Cenmax (A-700 A-900 )
  • 28. Cenmax (VT-200,VT-210)
  • 29. Partisan
  • 30. StarLine-Twage А6,А8,А9,
  • 31. StarLine-Twage В6(черный брелок)
  • 32. StarLine-Twage В6(доп.брелок)
  • 33. StarLine-TwageВ6 (синий пейджер )
  • 34. StarLine-Twage В9(черный пейджер)
  • 35. StarLine-Twage В9 (доп.брелок)
  • 36. CENMAX VIGILANT ST-5, ST-7, ST-10, V-7, MT-8,
  • 37. FANTOM F-731, F-635LCD
  • 38. KGB ( FX-7)
  • 39. REEF
  • 40. Gorgon
  • 41. Blek-Bag super
  • 42. Fortress(частично)
  • 43. StarLine-Twage В9(диалоговый синий пейджер)
  • 44. Eaglemaster
  • 45. TIGER
  • 46. StarLine-Twage А2,A4
  • 47. Pantera (с пейджерами обратной связи c новой кодировкой серии SLK-350 SC-SLK-675 RS включительно )
  • 48. Alligator(с пейджерами обратной связи c новой кодировкой серии S-400 2WAY — S-875 RS 2WAY)
  • 49. Sherif (с номым динамическим кодом CFM модели с ZX-1055 RS и далее )
  • 50. Mystery (пейджер со светодиодами) Отдельные изделия: Sher-Khan 3-5-6-7-8 (у моделей 5 и 7 возможен запуск двигателя).

 

Замещающий код-граббер (устройство 409)

Пресса по теме:
Funkspiel (Авторевю)

Один из вариантов — Замещающий код-граббер вмонтирован в корпус игрушки Tetris

Общий принцип действия:

Рассматриваются только системы с динамическим кодом Keeloq. При динамическом коде каждая следующая посылка очень сильно отличается от предыдущей, даже если нажимается одна и та же кнопка. При статическом коде все посылки при нажатии на одну и ту же кнопку одинаковы. Брелок посылает сигнализации посылку, которая состоит двух частей: открытой и шифрованной. В открытой находятся уникальный номер брелка и какая кнопка нажата, в шифрованной — номер нажатия. Этот номер нажатия увеличивается при каждом нажатии на любую кнопку. Он обеспечивает «динамичнось» кода. Сигнализация принимает посылку, проверяет, что это брелок с номером,который она знает и расшифровывает вторую часть посылки — номер нажатия (некоторые неважные тебе моменты я опускаю). Дальше сигнализация смотрит — номер нажатия меньше последнего или больше: если меньше — значит это нажатие уже отрабатывалось — оно игнорируется; если немного больше — это то, что нужно, команда отрабатывается. Команда — это информация о том, какая кнопка нажата. Брелок о функциях сигнализации не знает, он только отсылает какая кнопка нажата, а дальше сигнализация разбирается как реагировать на нажатия кнопок. Поэтому один и тот же брелок можно использовать и при однокнопочной и при двухкнопочной системе постановки/снятия. Уязвимость однокнопочной системы постановки/снятия (ОКС). При ОКС нажатие одной и той же кнопки приводит к смене состояния сигнализации охрана/неохрана. Взламывается так: 1) Кодграббер (модель 409) перехватывает посылку, которую выдаёт брелок (П1) и искажает её в эфире так, что сигнализация не принимает посылку. При этом кодграббер знает, как искажена посылка и у него она сохраняется в правильном виде. 2) Кодграббер перехватывает следующую посылку (П2) и взамен отсылает перехваченную первую П1. Подмена занимает доли секунды и практически незаметна владельцу. Сигнализация ставится на охрану, довольный владелец уходит, не обратив внимание на то, что сработало только второе нажатие на кнопку. Затем кодграббер выдаёт перехваченную посылку П2 и сигнализация снимается с охраны. Метод борьбы — переход к двухкнопочной системы постановки/снятия.

 

Кодграббер для статического кода

Подобные код-грабберы применялись на заре возникновения противоугонной сферы в России ( начало и середина 90-х годов )

В основном данному устройству подвергались системы не оборудованные динамическим кодом, т.е. сигнал радиобрелка у которых был статическим.

К списку вскрываемых сигнализаций можно отнести практиически весь модельный ряд предлагаемой в то время продукции.

С появлением новинок Итальянских производителей ( таких как Clipper, Clifford, GT ) , а так же новинок Российского производства (MS-300) , ситуация резко изменилась в сторону новых разработок в сфере устройств для взлома автосигнализаций. В последствии были разработаны и применены в реальность такие устройства как кодграббер с замещением, код-граббер с ретраснляцией и алгоритмический кодграббер.

 

Кодграббер с ретраснляцией

Ретрансляция — retransmission — прием сигналов на промежуточном пункте, их усиление и передача в прежнем или в другом направлении. Ретрансляция предназначена для увеличения дальности связи.

Подобное устройство применяется для систем автосигнализаций и иммобилайзеров, оборудованных сложными системами кодирования, такими как Диалоговый код. В этой ситуации происходит передача сигнала от объекта к объекту на большом расстоянии через вспомагательные электронные устройства.

Следует отметить, что однозначно защищёнными можно считать те устройства , которые не имеют пассивного принципа работы радиоключа (метки,брелка). Таким образом радиосигнал посылается владельцем охранной системы только в нужное время и в нужном для него месте, в основном это происходит только с системами автосигнализаций обладающими брелком с кнопками управления постановкой-снятия с охраны. Обратите внимание, что подобному взлому подвергаются сигнализации с диалоговым кодом, работающие в режиме «Свободные руки на снятие с охраны». Что же касается иммобилайзеров, то нужно обратить внимание на то, чтобы девайс, обладающий диалоговой кодировкой, не работал в режиме «фона» : т.е. сигнал имел посылку только в нужный момент времени ! Зачастую производители не обращают внимания на столь мелкий факт, но обладателю противоугонного устройства следует принять во внимание наличие подобной функции в устройстве.

 

 

 

Кодграббер № 502 ( изделие 502 )

Психологической основой работы изделия 502 является святая вера клиента в то, что ЭТО может случиться с кем угодно, но не с ним. Перед созданием устройства было проведено большое число опытов по изучению поведения рядового пользователя килоковских систем. Результаты превзошли самые пессимистические прогнозы. Подопытные демонстрировали фантастическую беспечность, полное незнание принципов работы радиобрелоков, при этом ни один не проявил чувства тревоги, не говоря уж об информированности о происходящем. Суть опытов проста: как поведёт себя клиент, стоя перед запертой (реже – незапертой) машиной, если его брелок подавлен помехой? Состав оборудования: Изделие 502 (либо 409), позволяющее, кроме всего прочего, ставить помехи различных типов. Антенна, петлевой вибратор, размещенная на подоконнике четвертого этажа. Под окном – стоянка торгового центра. Зона гарантированного “обслуживания” 70-100м Результаты, приводимые ниже – это не шутка, не собрание курьёзов, а суровая действительность, которая, как известно, гораздо хуже самых мрачных предсказаний. Итак, в девяноста случаев из ста происходит следующее:

  1. Ставится помеха без выдачи ответа. Посылки фиксируются. 
  2. Клиент давит на открывающую кнопку 5-10 секунд, тут же пробует другую (номер кнопки фиксируется изделием). 
  3. Внимательно смотрит на брелок. 
  4. Подходит ближе к машине, давит секунд 30. 
  5. Далее происходит самое неожиданное: клиент начинает метаться между левой и правой дверью, пытаясь “светить” брелоком прямо в замочную скважину замка (!). Возможно, обыватель и слышал слово “антенна”, но с автосигнализацией его не связывает. Бытовое сознание подсказывает: чтобы открыть замок, надо “светить” в замочную скважину. Логично. 
  6. Далее, в разных пропорциях (в зависимости от темперамента) следуют решительные и продолжительные давления всех мыслимых кнопок, перемежаемые рассматриванием брелока. Выражение лица при этом свидетельствует о произнесении неких заклинаний и о потере душевного равновесия: “погода – мерзкая, жена – зануда, дела не ждут, а тут ещё это…”. Ни о какой бдительности речи не идёт. 
  7. Очень интересный пункт. На 3 – 5 минуте наступает фаза развинчивания брелока, рассматривания и зачистки батарейки. Психологически, очень удобный момент для прекращения опыта, а главное (как будет видно из технического описания) удобный момент для переключения режимов работы изделия 502 из “Накопления” в “Выдачу”. 

Система начинает работать, как часы, клиент уважает сам себя за ремонт брелока и с чувством глубокого удовлетворения убывает наверстывать отставание от графика.

ТЕХНИЧЕСКИЕ ВОЗМОЖНОСТИ ИЗДЕЛИЯ 502

Технической основой работы изделия 502 является особенность килоковского формата состоящая в том, что номер нажатой кнопки передается не только в закрытой, но и в ОТКРЫТОЙ части кода. Это позволяет в реальном масштабе времени автоматически сортировать записанные посылки по их принадлежности к конкретным кнопкам. Ставиться помеха, проводится запись и опознавание, если не требуется блокирования данной посылки, через 30 мс “эхом” посылка возвращается. Аппаратно 502-е почти полностью повторяет 409-е, за исключением гораздо большего числа органов управления, но, самое главное, обладает существенно более развитым программным обеспечением, позволяющим обрабатывать многокнопочные брелоки с раздельной постановкой – снятием на охрану. Кроме того:
Благодаря радикальному увеличению памяти, 502-е может запоминать практически неограниченное число посылок. Добавлен режим “Накопление” – запись посылок с постановкой помехи, без выдачи ранее записанных посылок. Добавлен режим “Выдача” – запись посылок при помехе, с автоматической выдачей через 30 мс одной из ранее записанных посылок, с, тем же номером кнопки.
Добавлен режим “Эхо” –запись посылки при помехе и выдача через 30 мс, если по открытой части кода устанавливается, что это “чужой” брелок. Обычно используется совместно с другими режимами.
Алгоритм работы изделия проще всего показать на конкретном примере.
Из предварительного наблюдения в режиме пассивного приёма (запись без помехи) устанавливается, какие номера кнопок для чего предназначены (постановка, снятие, дополнительные функции). Пункт желательный, но не обязательный.
Утром клиент отъезжает от дома с охраняемой стоянки. Холодно, сыро, погода явно не для тайваньской электроники. Брелок не работает, так как включен режим “Накопление”. Всё это время на дисплее изделия 502 отображается статистика накопленных посылок. Клиент всё давит и давит на кнопки. Сначала на одну, потом на все, так как ехать очень надо. Через некоторое время, 502-е накопит что-то вроде приведенной последовательности, состоящей из десятков посылок:
1-1-1-1-1-1-1-1-2-1-2-2-1-1-1-1-3-4-1-1-3-3-1-1-1-1-1-2-2-2-1-2-1-2-1-2-3-3-4-4-1…..,
где: 1 — открыть, 2 — закрыть, 3,4 – дополнительные.
Посчитав, что накоплено достаточно посылок, переключаемся в режим “Выдача” – брелок начинает исправно работать. В этом режиме, на каждое нажатие кнопки 502-е отзывается с 30 мс задержкой самой ранней (но еще годной на данное мгновение!) записанной посылкой этой же кнопки (не забывая записать новую посылку). Понятно, что весьма критичны ответы на редко нажатые ранее кнопки, так как сразу становятся негодными большое число записей (3 и 4 для приведенной последовательности). Отсюда три выхода: либо накапливать гарантированно большое число посылок, либо добавочно подключать режим игнорирования дополнительных кнопок (вот для этого и надо предварительно знать, что какая кнопка значит) – “Забой кнопки”, то есть идет подавление всех посылок, и выдача эхом всех, кроме запрещенных оператором, либо при критическом опустошении буфера посылок автоматически переходим в режим “Накопление”. Первый выход самый предпочтительный. Клиент, еще немного понажимав на кнопки, торопливо уезжает на работу, хоть в переулок Гривцова, хоть к ГЗ (ДСВ, ДАС) МГУ. Отправляясь следом, везем весь запас накопленных посылок, которые в режиме “Выдача” позволят с задержкой всего лишь 30 мс на посылку клиента “закрыть”, выдать накопленную ранее посылку “закрыть”. А после, при необходимости, “открыть”, но уже без помощи брелока клиента.

 

Мануфактурный код-граббер для серии систем в FM диапазоне

Пускай не возникает вопросов : сразу скажу, что уже давно кодграбберы делаются в корпусах брелков сигнализаций. Ранее он был отдельный по 1-й причине: у «Шерханов» модуляция в радиоканале частотная (FM), у прочих сигналок — амплитудная (AM). Это значит что применяется различный принцип преобразования цифрового сигнала для передачи на несущей частоте (433,92 МГц). Т.е. это не имеет никакого отношения к шифрованию, т.к. оно делается именно в цифровом сигнале. Получается: берем зашифрованный цифровой сигнал, модулируем его (либо с помощью амплитудной модуляции либо частотной), получаем аналоговый сигнал, передаем его на 433,92 МГц, принимаем, демодулируем (преобразуем обратно в цифру) либо по частоте либо по амплитуде, получаем зашифрованный цифровой сигнал. Т.е. отличие именно в физическом способе модуляции/демодуляции цифрового сигнала.

Отдельный граб для Шерика потому, что ранее не успели 2 разных по физике передачи радиоканала запихнуть в один корпус брелка. Но теперь это вполне реально, на 1-й антенне могут работать 2 радиоканала и в универсальном код-граббере теперь их запихнули в один корпус и там FM и AM просто переключаются.

Что касается кодировки — грабберу по барабану AM-передача или FM. Главное тот самый алгоритм шифрования в демодулированном цифровом сигнале.

 

Методика получения мануфактурных кодов

Способ получения мануфактурного кода для алгоритмических код-грабберов — декапсуляция микросхемы.

Информация взята с сайта ugona.net

Поделитесь ссылкой с друзьями

 

А еще Вы можете помочь работе сайта или отблагодарить нас за полезную информацию

Панель отправки комментариев


Авторизоваться через социальные сети - это способ быстро оставить комментарий. Выберите вариант...