Комментарии 21
Чертовский увлекательно! Отличная статья! Спасибо автору!
Это чтоже, получается что большинство автомобилей так и используют слабый DST40, который перебирается на раз? А если подключить серверную ферму в облаке, то ключ можно найти и за пару минут?
В девките(99$ он стоит) из статьи достаточно слабая FPGA. Если взять что нить пожирнее то думаю можно и без серверных ферм в облаке уложится.
Нет, на самом деле сейчас этим никто не занимается.
В статье вскользь указано про подключение к внутренним шинам управления авто через разъем OBD.
В большинстве случаев этого достаточно, чтобы прописать свой собственный имобилайзер с известной парой ключей. Обычно на это требуется 30-90 сек при свободном доступе к колодке OBD и другим блокам управления.
В статье вскользь указано про подключение к внутренним шинам управления авто через разъем OBD.
В большинстве случаев этого достаточно, чтобы прописать свой собственный имобилайзер с известной парой ключей. Обычно на это требуется 30-90 сек при свободном доступе к колодке OBD и другим блокам управления.
Перебор силами центральных процессоров компьютеров — совершенно неэффективный метод. К примеру, скорость перебора на двухъядерном Core i5 при тщательной оптимизации программы не превышала 50000 хэшей в секунду. Даже перебор с помощью Nvidia GeForce 660 Ti дал максимум 500000 хешей в секунду. Сравните с финальной скоростью FPGA — 680 миллионов (миллионов, Карл!) в секунду и почувствуйте разницу.
Ну а на самом деле всё гораздо проще. Сейчас китайцы продают программаторы, в комплекте к которым идёт несколько дисков с радужными таблицами. Такой программатор находит секретный ключ dst40 менее чем за минуту. Поэтому я и написал в статье, что интерес к этой теме в настоящее время — чисто спортивный.
Ну а на самом деле всё гораздо проще. Сейчас китайцы продают программаторы, в комплекте к которым идёт несколько дисков с радужными таблицами. Такой программатор находит секретный ключ dst40 менее чем за минуту. Поэтому я и написал в статье, что интерес к этой теме в настоящее время — чисто спортивный.
Чуть уточню даже девкит из статьи содержит 40K LE а допустим Startix 10 SoC 500K LE — 5.5M LE то есть в принципе может получится быстрее чем за минуту(без учета частоты на которой заведется схема на Startix 10).
Только у intel stratix 10 есть два недостатка:
1) Его ещё нет в кремнии.
2) Цена будет совершенно конской (если arria 10 не самой жирной версии стоит 1000уе, то stratix будет весьма дорогим)
1) Его ещё нет в кремнии.
2) Цена будет совершенно конской (если arria 10 не самой жирной версии стоит 1000уе, то stratix будет весьма дорогим)
Брутфорс… Брутфорс… Это та техника взлома которой занимаются школьники? Любая атака основанная на переборе легко рушится ограничением попыток аутентификации.
Кто/что будет ограничивать число попыток? Запрос ключу посылается только дважды. Дальше перебор идёт на внешнем устройстве злоумышленника.
В этом случае да. Не понимаю как создатели этой машинки прохлопали эту уязвимость. Я говорю про хорошо защищенное устройство созданное компетентными людьми, предполагающими, разнообразные сценарии атаки и по умолчанию считающими любую аутентификацию попыткой взлома. Серьезно бы понизило шансы Евы на успех ограничение попыток аутентификации, одноразовые ключи и ассинхронная схема шифрования канала приемник-ключ.
Это да, автопроизводители относятся к таким вещам достаточно безалаберно, одна история со вскрытием кукурузеров через CAN-шину чего стОит. Тогда, правда, ещё придётся канал обмена между иммобилайзером и ЭБУ защищать. А как защититься от замены всего ЭБУ в сборе?
В конечном итоге дойдёт до того, что Еве проще машину целиком на эвакуатор поставить :-D
В конечном итоге дойдёт до того, что Еве проще машину целиком на эвакуатор поставить :-D
Спасибо за статью!
TimsTims: Такой вид паранои называют «Теория заговора» :) Формально это НЕ охранная система, а именно иммобилайзер. Для того, чтобы снять данные с ключа Вам надо иметь устройство тестового «запрос-ответ» на расстоянии не более 10 см от ключа. Ну, в шпионских фильмах человеку обычно становится плохо и он «падает» на шею предполагаемому владельцу ключа, четко зная что нужный ключ в таком-то кармане и проч… Но в этом случае не проще ли этот ключ просто стащить? :)
У моего знакомого угнали тоету с таким иммобилайзером.
Машина на парковке театра. Угнали за то время, что был в театре.
Никто не видел, что бы кто либо лез под капот (не заменой блока угон). Просто сели и уехали.
Сигналка была какой то из ранних StarLine. Даже не пикнула.
Он только запомнил, что пришлось несколько раз на кнопку постановки сигнализации жать. Не сразу встала на охрану.
Вполне представляю ситуацию со сканированием иммобилайзера где ни будь в толпе...
А такие "секретные" алгоритмы это зло… Вспомнить Mifare Classic… GSM А5/1
Если интересно, посмотрите "кино" о том как это было:
1. Получили доступ в машину через кодграбер (10 сек) — из-за работы кодграбера как раз «Он только запомнил, что пришлось несколько раз на кнопку постановки сигнализации жать»
2. После доступа в салон был прописан или свой имобилайзер, или использована свежая дырка Toyota и код имобилайзера был просто «считан» (10-30 сек)
Есть третья дырка — ретранслятор, который используется при Keyless доступе к авто, но судля по цитате из п.1 она тут не использовалась
1. Получили доступ в машину через кодграбер (10 сек) — из-за работы кодграбера как раз «Он только запомнил, что пришлось несколько раз на кнопку постановки сигнализации жать»
2. После доступа в салон был прописан или свой имобилайзер, или использована свежая дырка Toyota и код имобилайзера был просто «считан» (10-30 сек)
Есть третья дырка — ретранслятор, который используется при Keyless доступе к авто, но судля по цитате из п.1 она тут не использовалась
Если интересно. Ставил на такую же Тойоту сигналку, хотелось удаленный запуск от движка для прогрева. Поставили, посмотрел как. Чип из ключа выдрали и на клею подклеили под торпедой. А вы говорите — «иммобилайзер меня спасет» :) Для пользователя (меня) — функционал не изменился ни на йоту.
А вы потом говорите — «угнали, сам не заметил как» :) Очень часто проламываем дырки в защите для своего удобства, а потом обижаемся, что ими кто-то воспользовался :( Это, кстати, касается не только машин.
А вы потом говорите — «угнали, сам не заметил как» :) Очень часто проламываем дырки в защите для своего удобства, а потом обижаемся, что ими кто-то воспользовался :( Это, кстати, касается не только машин.
Почему автомобиль слышит ключ на расстоянии пары метров, а злоумышленник не может? Скорее наоборот, у злоумышленника антенна может быть намного лучше штатной. Ему же не надо умещать антенну между деталями автомобиля.
Автомобиль слышит с пары метров только активный(с батарейкой) ключ, в статье речь про капсулу длинной около 10 мм, которая не всегда работает внутри катушки антенны иммобилайзера.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Транспондер DST40: принцип работы, история появления и взлома, а также немного практики по брутфорсу