Модули бесключевого обхода

Часть вторая

Начнем с актуальных вопросов:

Топик стартером были сформулированы следующие недостатки Р4 (стр.1):
1. Статический код управления, позволяющий осуществить перехват кодовой посылки,
2. Возможность дезактивации при снятии с охраны путем разрезания кодового канала,
3. Возможность создания т.н. калькулятора мануфактурника – то есть системы, способной по серийному номеру приклеенному к системе определить уникальный код устройства и осуществить быстрый подбор кода на устройстве, находящемся в автомобиле.

Кроме того, форумчанин Мегавольт71 (стр.6) интересуется:


Ну что же, начнем с самого банального - перерезания кодового канала (изъятия предохранителя) попутно объяснив «Внимательному Подписчику»- Игорю, почему у них с К.Скотцем «оно оказывается сработало» (с):

Где логика:
Исходя из заложенных в сигнализацию старлайн а93 алгоритмов, находясь в режиме «охрана»* сигнализация периодически передает, а реле периодически принимает специальный сигнал контроля целостности канала (т.н. пинг), обнаружив пропажу которого, (то есть перерезании кодового канала в режиме охрана) модуль Р4 осуществляет блокировку двигателя.
Недостатком данного решения, является то, что при использовании в тупом слейв режиме (без дополнительной авторизации кнопками) система переходит в режим СНЯТО С ОХРАНЫ в течении магических 15 секунд ищет брелок-метку (как средство подтверждения валидности владельца) и только после этого передает сигнал «включить блокировку» на Р4.
Именно поэтому, то есть по причине отсутствия логического состояния «ЗАПРЕТ ПОЕЗДКИ», и существую отмеченные 15 секунд, а также, эффектная возможность «угнать авто за 15 секунд» …
Так вот, весь ньюанс заключается в следующем:
1. Если, в оборудовании есть не только режимы охрана/снято с охраны, но и режим «запрет поездки» ни о каком наличие 15 секунд речь не идет вообще, так как подкапотная блокировка не получает команды на дезактивацию и постоянно находится в режиме – пинг контроля.
СЛЕДОВАТЕЛЬНО:
1.1. Ввиду того, что в системах СтартФон, при установке блокировки, управление ей осуществляется по набору кодовой комбинации, мы просто не даем никакого времени на возможность получив доступ к салону РАЗРЕЗАТЬ КОДОВЫЙ ПРОВОД. По пропаже пинга блокировка сработает в соответствии с заложенным в нее алгоритмом.
Следовательно – такая уязвимость кодового канала как разрезание провода, является в нашем случае не более чем креативным высосом из пальца,
1.2. Учитывая возможность использования Р4 совместно с системами 6-го поколения, где идентификация пользователя обеспечивается путем опроса метки, отмеченная уязвимость парируется таким фактором как опрос метки – без которой система не перейдет в режим «снято с охраны» и не даст таймаута заложенного на поиск сигнала от брелка, так как она сразу перейдет в режим «тревога»
1.3. Самое интересное, что и в системах А93, существует роскошная возможность полностью исключить отмеченную уязвимость … Нужно просто отключить РЕЖИМ ТУПОГО СЛЕЙВА … и именно тогда, снимая авто с охраны через штатный брелок (то есть по факту нажимая на его кнопку а не проворачивая личинку) ни один блоггер не даст вашему авто возможность в течение 15 секунд ждать пока из него вытащат предохранитель питания системы.
1.4. Ну и, разумеется, при срабатывании тревоги – кодовое реле мнгновенно получает посылку о блокировке и



Таким образом, очевидно, что разрезание кодового канала является уязвимостью в следующих случаях:
1. Тупое подключение и программирование системы при установке,
2. Отсутствие в системе безопасности режима «ЗАПРЕТ ПОЕЗДКИ»
3. Типовое использование НЗ блокировки в НЗ логике,
4. Наличие доступа жуликов к автомобилю в режиме снято с охраны, достаточное для того, чтобы устранить связь реле с базовым блоком.

продолжение:

Итак, изучив логику взаимодействия системы и удаленного реле, можно придти к весьма удивительным выводам

ОТВЕЧАЕМ НА ПЕРВЫЙ ИЗВЕЧНЫЙ ВОПРОС - КТО ВИНОВАТ:

1. Причиной уязвимости канала удаленного реле,в отдельных режимах работы охранных комплексов старлайн, является логика работы канала между базовым блоком и Р4,
2. Виновник ситуации находится не в реле, а в командах, приходящих к нему, от базового блока
3. Дело в том, что при использовании определенной комбинации настроек слейва, система переходит из режима "ОХРАНА" в один из двух режимов (зависит от настройки) - либо "СНЯТО С ОХРАНЫ" (то есть блокировка отключено), либо "ОЖИДАНИЕ АВТОРИЗАЦИИ" (т.е. ждет 15 сек),
4. При этом, ни в одном из отмеченных режимов, заложенная возможность контроль канала реле не реализована внутри базового блока.
5. *Более того, даже в режиме "просто охрана"*, прошедшая в течение последних 5 лет, полумаркетинговая борьба с энергопотреблением, кастрировала работу заложенного протоколом механизма защиты от разрезания кодового канала исключительно до режима именуемого "ОХРАНА + АВТОЗАПУСК"
6. Если сделать еще один шаг вперед, то станет ясно, что основным фактором, определяющим возможность грубой атаки на канал передачи данных, является спорная логика работы некоторых режимов ПО основного блока систем старлайн, а именно: отсутствие четко структурированного состояния "ЗАПРЕТ ПОЕЗДКИ", как единственного и универсального механизма вокруг которого строится архитектура алгоритмики управления внешними устройствами,

ВВИДУ ТОГО, ЧТО ВНУТРЕННЯЯ ЛОГИКА (РЕЖИМЫ РАБОТЫ) РЕЛЕ Р4, ОПРЕДЕЛЯЕТСЯ НАБОРОМ ЛОГИЧЕСКИХ СТАТУСОВ (ВНЕШНИХ КОМАНД) ПЕРЕДАВАЕМЫХ В Р4 ПО КОДОВОМУ ПРОВОДУ, УЯЗВИМОСТЬ РАЗРЕЗАНИЯ КОДОВОГО ПРОВОДА В РЕЛЕ ОТСУТСТВУЕТ КАК ТАКОВАЯ.
СЛЕДОВАТЕЛЬНО - ОСНОВНОЙ ПРИЧИНОЙ ПРИПИСЫВАЕМЫХ Р4 ПРОБЛЕМ ЯВЛЯЕТСЯ АЛГОРИТМ УПРАВЛЕНИЯ КОДОВЫМИ УСТРОЙСТВАМИ РЕАЛИЗОВАННЫЙ В БАЗОВЫХ БЛОКАХ.



ОТВЕЧАЕМ НА ВТОРОЙ ИЗВЕЧНЫЙ ВОПРОС - ЧТО ДЕЛАТЬ:

Как ни странно, но для ликвидации уязвимости разрезания кодового канала, с Р4 делать ничего не нужно. От слова совсем.
Проблему нужно решать борьбой с причиной а не с ее следствиями. А решением отмеченной проблемы является не, что иное как смена местами команд определяющих внутренний режим работы р4
Следовательно, угроза того, что несметные полчища вооруженных ножами мойщиков смогут угнать миллионы оснащенных Р4 автомобилей, может быть парирована простым обновлением ПО базовых блоков.
Это хорошая новость так как, у производителя в этом случае будет шанс, "условно нахаляву", не отзывая реле, не создавая проблему совместимости устройств, не занимаясь прочей шляпой, решить раздуваемую проблему физической уязвимости КК

п.с.: правда во всей это истории, есть вещь, которая меня лично удивляет, а именно - почему до сих пор никто не предложил рынку столь актуальный и востребованный товар как - "бронерукав кодового канала"???

собственно говоря, на данном месте, считаю ситуацию с анализом физической уязвимости кодового канала полностью проясненной. сейчас отвечу на вопросы, а далее перейдем к продолжению.

_________________
Богат не тот кто имеет, а тот кто умеет.....

Интересно и познавательно, жду продолжения.

Я удовольствием ознакомился бы с официальным ответом ООО "НПО СтарЛайн" на тему возможности калькуляции и генерации нужной кодовой посылки по серийнику, но там пока хранят молчание. Буду очень рад, если ОНИ меня конструктивно опровергнут.

Вы сейчас очень громко в лужу пукнули, Александр. Или СтарЛайну на слово поверили? ПРОВЕРЯТЬ нужно информацию, прежде чем утверждать такое.
Ни в процессе съёмок видео "Взлом R4", ни сейчас (я не поленился только что перепроверить) я НИ РАЗУ не увидел НИКАКИХ упомянутых Вами сигналов контроля целостности канала в StarLine A63|93 с актуальным доступным на сегодняшний день в SL-мастере ПО "S2".

После того, как R4 получило кодовую посылку при постановке на охрану, оно запирает капот и больше не получает НИКАКИХ сигналов от блока A63|93, до момента снятия с охраны, даже в тревоге. При этом включает свою блокировку при появлении "плюса" на своём входе зажигания, и выключает при пропадании этого "плюса", сколько угодно раз до тех пор, пока не получит посылку снятия с охраны.

Равно как и при снятии с охраны, R4 получает соответствующую посылку, разблокирует замок капота и больше НИКОГДА не включает свою блокировку при включениях зажигания, пока не получит какую-либо другую команду, связанную с блокировкой. А это позволяет проделать то, что показано Костей - в течении 15с после слэйв-снятия обесточить блок А93 или рубануть канал управления, R4 больше никогда не закроет капот и не заблокирует двигатель. Мной так же упоминалось, что это обстоятельство можно использовать, оборвав незамаскированный должным образом кодовый канал управления на сервисе или мойке в режимах "снято с охраны" или "автосервис". Владелец-гуманитарий или блондинко далеко не сразу заметят или не заметят вообще, что у них не управляется замок капота и тем более не блокируется двигатель силами R4.

В связи с этим я упоминал в процессе обсуждений о необходимости хотя бы программных изменений в ПО R4 и управляющего им оборудования - чтобы при каждом включении зажигания модуль R4 ждал на протяжении заданного таймаута (к примеру, 1сек.) кодовую посылку, подтверждающую текущее состояние управляющего блока, и в случае её отсутствия переходил в режим блокировки. Думаю, что это полностью закроет дыру в виде обрыва кодового канала в сервисе или мойке при подготовке к угону, без всяких пингов. Но молчаливая позиция ООО "НПО СтарЛайн" так и подмывает снять на эту тему дополнительное видео. Помимо этого были обнаружены дополнительные косяки и дыра в ПО Ax3, но это тема для совсем другого, как Вы любите выражаться, хайпа, причем для их демонстрации не потребуется никаких спецприблуд вроде "глаза" и прочих гаджетов.

Тут не смею спорить, СтартФонов в руках не держал, надеюсь, что Вы нигде не слукавили.

1. любезный сударь, а вы не о.шиблись адресом? мне кажется, что вы лично, просили прокомментировать содержимое ролика "так как указанное в нем оборудование используется нами в качестве рекомендуемого".
2. если вас интересует мнение старлайн - задавайте вопросы на том-же форуме, где общаетесь с их рп-шниками
3. если вас интересует мнение тех, кто основываясь на существующих протоколах управления и понимании построения внутренней логики работы сабжа, использует его в своих изделиях, оно уже изложено выше
4. если какие-то, более актуальные, нежели разъяснения чужих изысканий, дела временно отвлекают меня от обсуждения - не спешите, я привык доделывать начатое.


смотрим выше, дышим глубже, читаем внимательнее,

воистину, временно остановить изложение материала, стало чудесным способом, вернуть как оборудование, так и остальные ресурсы
давайте попробуем взять ваш девайс и тихо, не торопясь изобразить на системе состояние: сначала "охрана", а затем перевести ее в "автозапуск".
далее не торопясь, подключаетесь к кодовому каналу и рассказав нам, что именно вы смогли увидеть, определенно сделаете шаг вперед к успешным тестам другого оборудования.



Думаю, что видео с режимами работы стандартного (то есть изъятого из упакованной коробки) реле р4, которое управляется с нашего модуля будет достаточно для того, чтобы снять вопросы из серии - насколько Р4 криво или косо защищено от физической атаки на кодовый канал ?
Я это к чему - не смотря на свой возраст (около 7 лет с момента разработки) Р4 представляет из себя достаточно надежную и в определенных границах гибкую программную платформу, режимы работы которой, в значительной мере определяются снаружи.
Наша работа с данным изделием, осуществляется на основании исходного протокола управления, созданного в момент разработки данного девайса. И именно поэтому, пока я вижу бодрые лозунги, лишенные практической значимости - я, по мере возможностей, буду стараться помогать авторам осознать степень и глубину их ошибок. Ну, что видео?

_________________
Богат не тот кто имеет, а тот кто умеет.....

Ещё раз:
При начале ДЗ в R4 отправляется такая же посылка, как и при постановке в охрану, т.к. в А93 по умолчанию включена функция SF-05-v1, далее следом отправляется посылка, отключающая блокировку двигателя (замок капота остаётся закрытым, R4 при включении зажигания в ДЗ не блокирует двигатель), далее по окончании ДЗ отправляется посылка включения блокировки (R4 при включении зажигания в охране или тревоге заблокирует двигатель).

Никакого мифического пинга в упомянутой Вами связке R4 - А93 с актуальным на сегодня ПО "S2" НЕТ ни в охране, ни в "снято с охраны", ни в "автосервисе", ни в тревоге, ни в ДЗ.

нет в р4 никакого пинга.Есть только защита от подмены блока сигнализации. ....и всё.

_________________
Алексей 89107775655

...которая обходится посторонними устройствами путём перехвата и воспроизведения в нужное время посылки снятия с охраны.

смотрим по порядку: 1,2,3.
1.
2.
3.

когда вы посмотрите на кодовый канал сигнализации Ах3, запущенной в режиме "охрана", расскажите пожалуйста:
1. есть ли там сигнал пинга?
2. контролируется ли он реле р4 (для этого достаточно разомкнуть кк и подождать, в зависимости от версии р4, до 15 секунд)?
3. менялось ли при этом ПО Р4? (да и вообще - можно ли это сделать на уже выпущенном изделии)
4. есть ли в ПО Р4 режим контроля целостности канала (даже при работе с Ах3),
5. где нужно поменять ПО, чтобы использовать "несуществующие доселе пинги"

спасибо!

_________________
Богат не тот кто имеет, а тот кто умеет.....

Ухты, опять посты редактируем...

нет
Нет, не контролируется. R4 из свежайшей партии, как меня заверил поставщик. После начала ДЗ и размыкания канала R4 так и остаётся с закрытым замком и деактивированной блокировкой на неограниченное время.
Сомневаюсь, что это можно сделать вне завода-изготовителя
При работе с Ax3 с актуальным на сегодня ПО признаков такого режима не обнаружено.
Думаю что в обоих устройствах, а точнее думаю может ответить только изготовитель.

Для ликвидации возможности перехвата тоже с R4 ничего делать не нужно?
Отправьте ТЗ вот сюда, и усё будет))