В распоряжение наших коллеги из "Авто-Ревю" попала одна "штуковина", с помощью которой за секунды можно вскрыть большинство автомобильных сигнализаций! Приводим текст статьи Константина Сорокина, в которой он попытался предупредить весь автомобильный мир, что отныне Ваш автомобиль - легкая добыча.
О хитрых приборах, перехватывающих коды автомобильных сигнализаций, слышали все. О современных системах кодирования, делающих такой перехват бесполезным, тоже. Поединок между промышленными и криминальными технологиями длится уже не один десяток лет, однако такого серьезного удара по репутации производителей охранных систем противник еще не наносил. Высокоточное оружие, которое получили в свои руки угонщики автомобилей, называется адаптирующийся код-граббер — прибор, «раскалывающий» динамические системы защиты радиоканала. Кто именно занимался его производством и «адаптацией» для России, нам неизвестно. Можем лишь констатировать, что с помощью этой штуковины мы отправили в глубокий нокаут сразу шесть типов современных автомобильных сигнализаций

Первую пощечину производители автомобильных сигнализаций получили пятнадцать лет назад, когда на одной из профильных выставок в Тайване местные умельцы показали примитивный перехватчик кодов, легко расправлявшийся с простенькими охранными системами. Ответом стало магическое слово KeeLog — алгоритм динамической защиты радиоканала, разработанный южноафриканской фирмой Nanoteq. Многие сочли KeeLog панацеей от всех способов хакерского взлома автосигнализаций, и сочли, надо сказать, небезосновательно: его сигнал — это очень сложный криптографический ребус, разгадать который можно, лишь зная секретный ключ.
Этот «телевизионный пульт» за секунду расправляется с шестью типами автомобильных сигнализаций

Зашифрованная южноафриканским алгоритмом посылка состоит из двух частей — постоянной и изменяемой. По первой автосигнализация распознает сигнал своего формата, а принимая и расшифровывая динамическую часть, убеждается, что команда послана «родным» брелоком. Записывать и воспроизводить такой код с помощью приемников-регистраторов бесполезно: «валидная», то есть воспринимаемая сигнализацией посылка брелока, устаревает сразу после передачи в эфир и никогда не используется дважды. Такой алгоритм шифрования до сих пор является своеобразной крипто- графической иконой, поскольку математических способов подбора его ключевой комбинации не существует.
Нынешний владелец прав на технологию KeeLog, американская компания Microchip, предлагает разработчикам охранных систем ее готовую аппаратную реализацию — это еще одна причина широкого распространения алгоритма. Но в прошлом году мы провели тест «замещающего» код-граббера, с помощью которого угонщики научились обманывать ничего не подозревающих автовладельцев (см. АР №18, 2005), — это уже был легкий нокдаун. В момент передачи сигнала такой прибор излучает помеху, не давая охранной системе среагировать на посылку, и одновременно перехватывает код. Владелец автомобиля, естественно, нажимает кнопку брелока второй раз. В эфире вновь возникает помеха, и системе посылается первая перехваченная команда. Автомобиль послушно встает на охрану, а в памяти граббера остается вторая, пригодная для отключения сигнализации кодовая посылка. Если постановка и снятие с охраны производятся разными кнопками брелока, граббер будет ждать момента, когда владелец машины в панике начнет нажимать все кнопки подряд, — и улучит-таки момент для рокировки кодов.

Идея электронного мошенничества с замещением посылок брелока гениальна. Но сама технология небезупречна, поскольку в процессе «радиоигры» внимательный автовладелец может обратить внимание на неадекватную реакцию охранной системы. Обычно это выглядит так: отсутствие срабатывания после первого нажатия кнопки брелока и запоздалая (около секунды) реакция на повторную команду. А вот атаку адаптивного код-граббера не заметит никто. Более того, даже схватив злоумышленника за руку и завладев прибором, распознать это оружие сможет далеко не каждый сотрудник милиции: камуфляж «золотого ключика» разрабатывали профессионалы.

Что изображено на фотографиях? Правильно, универсальный ИК-пульт для телевизора. Такую вещицу можно смело брать на самые рискованные криминальные вылазки: телевизионный пульт не улика. А тот, кто заподозрит в нем устройство двойного назначения, пусть разглядывает, нажимает кнопки, меняет батарейки… Изделие будет оставаться «мертвым» до тех пор, пока опытная рука не пробежится по его клавишам в строго определенной последовательности. Загорелся индикаторный светодиод? Значит, «пин-код» правильный. Теперь караулим на парковке ничего не подозревающего «лоха» и записываем образец «почерка» охранной системы. В момент радиоперехвата адаптивный граббер никак не обнаруживает своего присутствия в эфире (сигнализация встает на охрану без осечек) и «хватает» только радиопосылки нужного формата. Можно даже дать владельцу недельку покататься — прибор все равно вскроет систему защиты. Не верите?

Мы тоже сомневались. Вот только четыре редакционных автомобиля, брелоки которых «клонированы» полгода назад, открываются «телевизионным пультом» до сих пор. И закрываются, кстати, тоже…

Как такое возможно? Секрет прост. Приборчик располагает данными, с помощью которых зашифровываются команды управления автомобильными сигнализациями. Проще говоря, он знает ключи к системам кодирования. И как только в эфире появляется сигнал знакомого формата, «пульт» расшифровывает его подходящей «отмычкой», а потом генерирует хакерскую посылку. Это нокаут! В памяти граббера лежат шесть ключей — по одному на каждый из шести известных брендов сигнализаций. Однако в инструкции по эксплуатации есть прозрачный намек на возможность обновления («апдейта») программного обеспечения, так что есть все основания полагать, что завтра на пол ринга позорно рухнут еще с десяток охранных систем.

Об этом приборчике мы уже рассказывали: замещающий код-граббер, замаскированный под брелок от сигнализации с двусторонней связью, стал героем материала Funkspiel (см. АР №18, 2005)

Каким образом угонщики получили доступ к секретным ключам, которые «зашиваются» в брелоки сигнализаций на заводе? А вы задумывались над тем, откуда берутся компакт-диски с базами данных ГИБДД, Минюста и налоговых органов, которые по сей день продаются чуть ли не у каждой станции метро? Правильно, ключи к системам кодирования KeeLog украдены. Или, что в конечном итоге то же самое, куплены за большие деньги. У самих производителей охранных систем или у «оборотней в погонах» из какой-нибудь спецслужбы — искать канал утечки должны специалисты по борьбе с преступлениями в сфере высоких технологий. Но даже если продавцов «золотых ключиков» схватят за руку, кривая «высокотехнологичных» угонов вниз не пойдет — информация уже скопирована и растиражирована.
Перехватчик кодов автосигнализаций, собранный в корпусе радиостанции CB-диапазона

А это значит, что адаптирующиеся код-грабберы, закамуфлированные под пульты ДУ, CD-плееры и электронные игрушки, будут продолжать поступать на криминальный рынок. По крайней мере до тех пор, пока производители сигнализаций не придумают, как уберечь автовладельцев. Сделать это можно, например, переходом на модифицированные системы кодирования, в которых каждый брелок «прошивается» своим ключом, знание которого не приводит к вскрытию всех однотипных сигнализаций. Что, впрочем, не избавляет от необходимости следить за внутренней безопасностью на своих предприятиях.
Этот дисковый mp3-плеер — еще один пример грамотного камуфляжа. Он полностью работоспособен, но внутри корпуса установлена «опция» в виде замещающего код-граббера (коричневая плата)

А что делать владельцам машин? Менять конфигурацию противоугонного комплекса! Отключение режима охраны брелоком ни в коем случае не должно приводить к снятию всех противоугонных барьеров: пусть открываются двери, замок капота, но на пути к цепям зажигания и запуска двигателя должен оставаться как минимум еще один заслон в виде электронного иммобилайзера с контактным или транспондерным управлением. И вносить такие изменения надо как можно быстрее. Пока не прозвучал финальный гонг.

ШТАТНАЯ ЗАЩИТА?

Специализированных код-грабберов для вскрытия штатных сигнализаций иномарок нам видеть не приходилось. Возможно, потому, что угонщики не расценивают такие охранные системы как серьезную преграду и предпочитают расправляться с машиной хорошо отработанными аппаратными методами — например, заменой блоков управления двигателем. Но судя по участившимся случаям угонов дорогих автомобилей «в одно касание», подобная аппаратура на криминальном рынке есть.