Брелок управляет сигнализацией по радиоканалу. Радиокод может быть постоянным или динамическим. И если радиокод существует, он может быть перехвачен из эфира, а это уже полшага к успеху!
Сигнализации с постоянным (статическим) кодом имеют низкую защиту от интеллектуального взлома. Степень секретности кода определяется количеством кодовых комбинаций. Там где количество комбинаций невелико, сигнализация может быть взломана с помощью сканера — устройства, излучающего в эфир кодовые комбинации, одна из которых по задумке должна совпасть с искомой комбинацией, и тогда система отключится. Сигнализации первых поколений имели длину кода 8-16 разрядов и несколько тысяч возможных комбинаций, искомая из которых могла быть найдена менее чем за одну минуту. Позже разрядность была увеличена до нескольких десятков (сотни миллионов комбинаций), и все же оставалась возможность подбора кода.
А кроме того, сигнализации со статическим кодом очень легко обезвреживаются при помощи код-граббера (устройства, перехватывающего из эфира кодовую посылку, которая впоследствии снова передается в эфир). Некоторые считают, что сигнализации со статическим радиокодом уже не выпускаются. Увы, это не так. Иногда производители скрывают, что система имеет неизменный радиокод, и это вводит потребителя в заблуждение. В качестве меры безопасности производители устанавливают лишь защиту от подбора кода (сканирования). Как только центральный блок распознает, что его пытаются обмануть, он либо отключает на время приемник сигнала, либо автоматически блокирует сигнализацию.
Сигнализации со статическим радиокодом НЕЛЬЗЯ устанавливать на атомобили, входящие в категорию массово угоняемых. Не стоит забывать, что подобные системы широко распространены. И, к примеру, машина выпуска начала 90-х, где она может стоять, все еще представляет интерес для угонщиков. А обезвредить такую сигнализацию проще простого. Сегодня большинство систем на рынке используют динамический код, примером которого может служить радиокод типа Keeloq, разработанный компанией Microchip USA в середине 90-х годов. Этот радиокод состоит из постоянной (статической) и изменяемой (динамической) составляющих.
Число возможных комбинаций кода Keeloq определяется тысячами миллиардов. С точки зрения математики и криптографии, этот код является очень надежным. Кодовая комбинация меняется при каждом нажатии кнопки при помощи сложных ключей шифрования, которые в свою очередь тоже меняются. Для того чтобы расшифровать такой код, понадобится слишком долгое время, несопоставимое со временем, которое реально отводится на угон. В одной из статей упоминалось, что компьютеру с процессором Пентиум-3 понадобится на это 37 дней. К тому же производители на всякий случай перестраховались, ибо современные сигнализации имеют защиту от сканирования.
На самом деле не существует РЕАЛЬНО ПОДТВЕРЖДЕННЫХ случаев использования сканера для взлома динамического кода Keeloq. Потому что угонщикам НЕ НУЖНО ПОДБИРАТЬ КОД — они пошли совсем другим путем, использовали уязвимое место этого радиокода — его статическую часть. Вероятно, преступники-интеллектуалы рассуждали следующим образом: если имеется неизменная статическая часть, значит можно создать устройство, которое глушило бы несколько бит информации из этой неизменной части (данные биты на сленге специалистов называются «стоповыми»), одновременно с этим записывая остальную информацию в память. Сигнализация в таком случае не опознает брелок, с которого была послана команда. А у злоумышленников теперь есть самая нужная часть кода. Остается только восстановить структуру кода — потерянные биты информации. Сделать это несложно, так как речь идет о неизменяемой информации.
И такое устройство было создано. Сигнализации с динамическим кодом преступники «обувают» при помощи так называемого «устройства 409», которое является усовершенствованным код-граббером. Вот выдержка из описания. «Устройство 409 может применяться: ДЛЯ ДЕМОНСТРАЦИИ СЛАБОСТИ ЗАЩИТЫ большинства серийных охранных систем, построенных на основе динамического кода Keeloq; СТРАХОВЫМИ КОМПАНИЯМИ для оценки РЕАЛЬНОЙ степени защищенности страхуемого автомобиля; фирмами-установщиками охранных автомобильных систем… для наглядной демонстрации человеческой беспечности…». Стоимость «изделия» порядка 700$. Существует еще «изделие 707» — предназначено для обезвреживания штатных иммобилайзеров, которыми оснащается каждый современный автомобиль. Можно допустить, что к разработке обеих систем приложили руку некие организации, желающие покончить с засильем импортного товара на рынке охранных систем. Правда это, или нет, но, во всяком случае, устройства работают, и с их помощью угнан не один автомобиль
Бочка дегтя
Как это происходит. Когда владелец машины нажимает на кнопку брелока, «устройство 409» начинает перехват кода, и в какой-то момент отправляет в эфир мощную помеху. В итоге сигнализация код не понимает. Владелец, удивленный тем, что система не сработала, снова нажимает кнопку. В этот момент подается код на снятие с охраны – он снова глушится, считывается граббером, а вместо него в эфир подается первый считанный сигнал. Система ставится на охрану, а у злоумышленников есть второй код – неиспользованный, свежий. Когда владелец уходит, угонщик выдает в эфир второй считанный код, и машина открывается. Процесс подмены занимает 0,02 секунды!
Казалось бы, защищенными от этого метода должны быть системы с раздельной постановкой/снятием с охраны (одна кнопка брелока отвечает за постановку, другая за охрану). Сколько бы ни жал владелец на первую кнопку, в эфир будет выдаваться только сигнал на активацию. На самом деле техническая мысль не стоит на месте, и придуманы устройства, способные обманывать и такие системы. У «двухкнопочных» систем после считывания первого кода попросту блокируется первая кнопка брелока. Что владелец делает в таком случае? Жмет вторую кнопку, чтобы проверить, работает ли брелок вообще. Понятно, что такая реакция человека, хотя и неразумна, но вполне ожидаема. Угонщики считывают второй код — на снятие с охраны.
А ведь динамический радиокод Keeloq используется на большинстве систем, присутствующих на рынке. Только некоторые производители честно указывают, что используют динамический код Keeloq фирмы MICROCHIP, другие «скрытничают» — называют его по-своему, хотя если вскрыть центральный блок, можно обнаружить внутри микросхемы производства MICROCHIP. Некоторые вообще не указывают в технических характеристиках тип радиокода, и эта «туманность» выглядит несколько нелогично.
В инструкциях к некоторым современным сигнализациям пишут: «усовершенствованный динамический код SuperKeeloqТМ с защитой от перехвата кода брелока-передатчика и специальный алгоритм защиты от сканирования (подбора) радиокода X2CodeТМ». Еще: «радиоканал защищен от перехвата динамическим кодом SuperKeeloq Pro II». Возможно, эти системы обладают лучшей защитой от подмены кода, но специалисты говорят, что в большинстве случаев, это не более чем уловка. Так это или нет, трудно сказать.
Со своей стороны мы можем только назвать системы, которые на сегодняшний день гарантированно защищены от код-грабберов.
В первую очередь это сигнализации семейства MS Stalker, начиная с модели MS 360 — для них разработчики еще несколько лет назад придумали так называемый двойной динамический код (D2-код). Он не имеет статической части и изменяется полностью. В более современных системах MS-503 и MS-600 использован так называемый «диалоговый код», что не совсем верно называть кодом: это двухсторонний обмен по принципу интерактивной авторизации. Перед выполнением команды брелок посылает системе случайное число, затем система преобразует его по известному только ей и брелоку закону и отсылает обратно.
Брелок проверяет, правильный ли пришел ответ, и только после этого принимается решение, что брелок и система «свои», и выполняется команда. Аналогичный принцип использует компания «Альтоника» в системах Reef Net R-500 и старше. Он назван CRRD (Challenge-Response Radio Dialogue) — радиодиалог «свой-чужой», обеспечивающий идентификацию брелока путем многоступенчатого обмена сложными динамическими кодами. Анонсировала выпуск подобной системы и компания Ultra Star. Это сигнализации StarLine моделей B6 и B9.
Защитой от электронного взлома обладают комплексы Black Bug Super BT-84/85. В иммобилайзере MS Agent используется динамический код TimeCode с синхронизацией по времени. Закодированный радиосигнал, излучаемый меткой, содержит информацию о времени. Эта информация индивидуальна для каждой метки. Основной блок принимает радиосигнал, определяет метку как «свою» или «чужую» и одновременно анализирует данные о времени. Если метка определена как «своя», но время приема не соответствует времени приема радиосигнала от этой метки, то AGENT игнорирует метку и готов выполнить процедуру противоразбоя. Принцип синхронизации по времени реализован в сигнализациях Excellent Continent.