Comments 64
Около 10 секунд на пароль, 1.000.000 вариантов, т.е. 10.000.000 секунд на проверку всех вариантов. Получается, что-то около 116 дней.
Надеюсь, вы терпеливый человек :)
115,74 дней — это в худшем случае.
Матожидание в два раз меньше — 57.87 дня.
Но в целом согласен — нужно терпение. :))

Можно конечно взять прошивку, дизассемблировать, сделать виртуальный вариант устройства и распараллелить…
Думаю, если «заNOPать» анти-дребезг (по крайней мере, программную его часть) и искусственные задержки в прошивке — уже можно сократить матожидание до пары недель, а то и еще больше.
Я в цифровой технике любитель, а не профи.
WingedFlame, насколько трудоемкая задача?

Ведь нужно еще найти где этот анти-дребезг…
Ну тут, собственно, вопрос сложности прошивки и ее реверс-инжиниринга. Да и, насколько я знаю, программное подавление дребезга может быть реализовано как простой паузой после прерывания, так и более сложными эмпирическими алгоритмами.
Так что трудоемкость оценить очень сложно — зависит от везения — насколько быстро удастся найти необходимую часть кода и насколько просто ее изменить (не всегда, видимо, получится просто заменить NOP-ами).
«Анти-дребезг» находится в радиостанции. Его функция «переждать» неустойчивое, пограничное состояние при нажатии любой кнопки, для обработки ее дальнейшего состояния. Скажем так: При нажатии кнопки, контакты в ней не сразу замыкаются, а некоторое время то замыкаются, то размыкаются. Вот на этот переходный момент и делается «анти-дребезг». В простейшем случае он выглядит как задержка по времени после первого нажатия кнопки, и дальнейшей обработки ее состояния.
В простейшем случае антидребезг выглядит как фиксация состояний кнопок(защелкивание в регистре) с минимальным интервалом времени в 10мс(хотя в случае мембранных кнопок этот интервал может быть увеличен) и фиксацией состояния кнопки по 2-3 последним значениям. Но вот софт станции может не успевать отрабатывать все нажатия кнопок, может это специально сделано для усложнения аппаратного брутфорса.
если снять прошивку — проще просто оттуда пароль достать.
дамп прошивки есть?
Объясните пожалуйста как? Дело в том что обратно посчитать 16 битный хеш, для 4 байт у меня не получилось, не зная алгоритм это просто невозможно.
Так и есть, раз записываем все что выводится на экран, то мы знаем какие числа не провелись корректно, поэтому потом можем пройтись по ним еще раз.

Иногда лучше сделать много и быстро, но не очень качественно, и потом переделать, то что получилось не очень качественно, все равно это будет быстрее, чем делать все качественно и медленно.
По всей видимости пароль там не один, раз один уже известен и известно что есть еще… по любому перебирать надо все комбинации. А может, другие пароли-функции зависят от предыдущего состояния станции, и введя какой-то пароль мы переключим режим и сделаем невидимыми остальные пароли.
Это по секунде на клавишу? какая-то тормознутая станция…
Надо бы наверно подобрать скорость «нажатия» при которой станция нажатия еще не пропускает.
А спросить про пароль у техподдержки, которая вам ПО прислала, не пробовали?
Можно техподдержке отправить ссылку на эту статью и процитировать известный анекдот про «легче отдаться, чем объяснить, что не хочется»
Пробовал конечно. Они сделали вид что не понимают, о чем я спрашиваю.
Если на всех девайсах инженерный пароль одинаковый, то брут на еще одном устройстве увеличит скорость подбора вдвое :)
Заинтересовали… вот мне совсем не нужно знать этот пароль… но теперь, я просто обязан дождаться вашего успеха, и узнать пароль :)
Захватывающее приключение на 166 дней, жду результатов))
Вообще за это время можно снять сериал))
Сериал скучный получится, если про эту рацию снимать) А так-то подписался, пароль интересно узнать)
Почему?
Для красочности можно добавить отдельную сюжетную линию, а потом связать ее с этой рацией )
У меня, видимо не настолько богатое воображение) Не представляю, какой сюжет можно привязать к брутящейся рации)
Большой армаггедец, реки поворачиваются вспять, горы сравниваются с землей, города погружаются в моря, ядерная зима, все живое умирает, а в подземном полуразрушенном и всеми забытом бункере все брутится и брутится пароль от почти севшего аккумулятора. Питание изредка порпадает, экран гаснет, но искорки жизни все же начинают опять бежать по проводам, и вот, когда течение электронов почти закончилось, на экране зажигается надпись «бинго!». Занавес.
Уже.

Шло время. Ржавело золото, истлевала сталь, крошился мрамор, к смерти всё готовилось и всегда оказывалось неготовым. Она всё же являлась — вовремя и невовремя, к правым и виноватым. Умер в кремлёвской больнице от острой почечной недостаточноти генерал Давлетбаев. Умер живучий Владимир Вольфович, в декорациях менее праздничных, хотя и в чём-то более комфортных. Поумирали — все по-разному — иркутские полицейские, не любившие москвичей. Благообразный седой дедушка прожил ещё тридцать шесть лет и умер, не приходя в сознание, в филадельфийском госпитале для сотрудников АНБ.

Умер, в числе прочих — очень того не желая — и автор этих строк. Последняя мысль его была о числе «шесть».

Скончавшие свой век удостоились, как обычно, недолгой и не особенно искренней скорби, потом были забыты, потом забыли тех, кто забыл. А жизнь, как обычно, продолжала себя, как могла и как умела.

Время просачивалось и в зал под плитой, лениво теребя молекулы. Добралось оно и до чёрного чемоданчика. Каменела резина, поверхность экрана медленно расстекловывалась и мутнела. Металл микросхем диффундировал в подложку. Размагничивались кластеры дополнительного жёсткого диска.

Однако комп так и остался подключённым к щитку, запитаному от атомных батарей, рассчитанных на столетия бесперебойной работы. Раз в десять дней ноут просыпался и ревизовал ресурсы, в частности — проверял целостность файлов на восьмитерабайтном SSD-накопителе. По мере накопления сбоев и выхода из строя сегментов памяти файлы переписывались на оставшиеся. Упрямая машина тоже продолжала себя, как умела и как могла.

Когда от восьми терабайтов осталось около четырёхсот гигов, вышла из строя простейшая деталь — вилка в щитке. Время прогрызло-таки изоляцию и проводки закоротило. Защищённый ноут не пострадал, но аккумуляторы, естественно, сели. Последней умерла батарейка таймера, и обклеенный затвердевшей резиной ящик погрузился в оцепенение, заменяющее электронным устройством клиническую смерть.
А перед всем этим атака по словарю (стандартные пины) опробована? )
UFO landed and left these words here
UFO landed and left these words here
EEPROM может быть еще встроенная в контроллер, для системных настроек вроде допустимого диапазона частот, калибровки мощности по поддиапазонам и т.п. а внешняя EEPROM-ка для пользовательских настроек, чтобы можно было штамповать разные станции серийно под заказчика с его настройками.
Некоторые соображения и факты подсказывают мне, что даже если вы подберете код для инженерного меню, у вас ничего полезного из этого не получится, и вот почему:
Китайцы — не Nvidia, Motorola или еще кто. Потому они весьма редко занимаются программными ограничениями, зато вот использовать одну плату, которая при изменении набора деталей работает по-разному — это сколько угодно. Возможности радиостанции определяются возможностями ГУН и прочего железа РЧ-тракта (я думаю, вы более-менее в курсе этого) и как раз дешевый вариант — это сделать очень похожие (как вы выразились — «на 70%») схемы и заставить дядюшку Ляо припаивать один набор деталей, а дядюшку Сяо — другой. Вот есть схема «двухдиапазонки» — и будет она работать в этих двух диапазонах. Вероятно, они могут быть программно ограничены в пределах относительно приличных характеристик (условно, там, где станция выдает не менее 75% заявленной мощности), но плюс-минус 15% диапазона в сторону — и все, один шум и хрип. Чтобы добиться иного, придется ковыряться в РЧ-тракте, а не в прошивке. Может быть получится что-нибудь совершенно бесполезное, типа закрыть дыру между LPD и PMR. Но добавить станции на 300 МГц передачу на 200 — это из области фантастики, скорее.
Это предположение, а не утверждение, но предположение, которое основано на фактах.
Да, вот эту рацию можно было «раскрыть», но это добавляло только возможность приема на 144мгц, передавать она не умела на этой частоте — радиотракт не был предназначен.
С приемниками, традиционно, чуть проще (там где нет ядреного преселектора, что в китайских погремушках не встречается). С передачей — на порядок (порядки) хуже.
Согласен с вами. Данная задумка с перебором, это сместить только прием.
На прием там нет особо пассивных фильтров по ВЧ — они переносятся на ПЧ, как правило такие станции вполне могут работать от 100кГц и до 500Мгц на приём, а вот на передачу пассивные фильтры стоят из-за сильно упрощенного выходного тракта искажающего усиливаемый сигнал. Поэтому на передачу они могут работать в довольно узких рамках. Но чисто технически ГУН станции может выдать частоту от 100кГц до 500Мгц.
И да, китайские станции имеют один прикол — не работают на прием когда отключено озвучивание нажатий кнопок.
Коллеги, я не засек, остановится ли перебор после того, как надпись на экране станет отличной от SET. Если настройка происходит теми же клавишами, то продолжение брутфорса после входа в инженерное меню может привести к непредсказуемым результатам.
Не остановится, зато реже бегать к радиостанции в случае ложных срабатываний.
Если светится «SET» топаем в начало проведя итерацию пароля, если другое, передаем пароль по UART для анализа.
У меня нет этой радиостанции и никогда не будет, но, черт, я теперь не успокоюсь, пока не узнаю этот пароль, который мне и не нужен, тащемта. Поставил топик в избранное. Вообще, да, как упомянул кто-то выше, надо было вешать вебку и настраивать стриминг в инет. Ну, типа приходишь после работы и сразу смотришь — как там дела, не сбрутился ли? Как тамогочи, короче. Реалити-шоу. С миллионной аудиторией. С прибылью от показа рекламы. Купить на вырученные деньги много таких станций и брутить одновременно. Объявить конкурс на первый удачный брут. Весь мир будет брутить!!!
или кто-то прийдет и обломает всё сказав пароль, который уже давно известен в узких и не очень кругах…
Попробуйте 585399, на следующем экране введённые 400479 будут означать рабочий диапазон 400-479.9875 МГц.
Ну зачем так сразу, для этого есть тэг spoiler. Взяли и испортили интригу.
Да, оно! Проверил сейчас, это тот пароль, что я хотел сбрутить! На первый взгляд все получилось, осталось проверить прием на требуемом диапазоне. Спасибо за подсказку, хабр не без добрых людей!
Only those users with full accounts are able to leave comments. Log in, please.