Гаражную дверь открыли за 10 секунд с помощью игрушки

Атака OpenSesameВозможно, самое время заменить контроллер привода двери вашего гаража. Исследователь-безопасник Сами Камкар (Samy Kamkar) разработал новую технику, позволяющую ему открывать почти любую гаражную дверь, которая использует фиксированный код, и он исполнил это на детской игрушке стоимостью $12.

Атака OpenSesame, разработанная Камкаром, уменьшает время, необходимое для подбора фиксированного кода гаражной двери, с нескольких минут до менее чем 10 секунд. Большинство имеющихся в продаже контроллеров приводов гаражных дверей оснащены 12 dip-переключателями, которые позволяют установить 4096 возможных двоичных комбинаций кода. Это весьма ограниченное ключевое пространство, и оно оставляет возможность для брутфорс-атак. Но даже в таком малом пространстве эти атаки требуют определенного времени.

«В случае обычного контроллера и пульта мы используем код от 8 до 12 бит, один клик отправляет один и тот же код пять раз, отправка каждого бита занимает 2 мс, с 2-миллисекундным периодом ожидания на каждый бит после того, как весь код отправлен. Так что одна 12-битная комбинация занимает 12 бит * 2 мс передачи * 2 мс ожидания * 5 раз = 240 мс», — написал Камкар в сообщении, объясняющем суть его новой атаки.



С помощью простой брутфорс-атаки это заняло бы 29 минут, по словам Камкара. Чтобы уменьшить время, он убрал повторные передачи каждого кода, добившись времени в шесть минут. Дальше он убрал период ожидания после каждой отправки кода, что еще больше уменьшило время, примерно до трех минут. Пытаясь уменьшить время еще больше, Камкар обнаружил, что многие контроллеры используют технику, известную как регистр битового сдвига. Это означает, что, когда контроллер получает 12-битный код, он его тестирует, и, если он неверный, он сдвигает его на один бит и добавляет один бит из следующего полученного кода.

«Вот что контроллер на самом деле проверяет: 011111100000 (неверно) (отрезает первый бит, добавляет следующий бит) 111111000000 (верно!). Это значит, что мы отправляем 13 бит, чтобы проверить сразу два 12-битных кода, вместо того чтобы отправлять все 24 бита. Невероятно! — сказал Камкар. — Еще более красиво то, что, так как гараж не очищает регистр после проверки, 12-битный код также тестирует пять 8-битных кодов, четыре 9-битных, три 10-битных, четыре 11-битных и, конечно, один 12-битный! Когда мы отправляем каждый 12-битный код, 8–11-битные коды будут проверяться одновременно».

Камкар применил алгоритм, известный как последовательность де Брейна, чтобы автоматизировать процесс, и загрузил этот код в уже снятую с производства игрушку Mattel IM-ME. Игрушка разработана как передатчик текстовых сообщений ближнего действия, но Камкар перепрограммировал ее, используя адаптер GoodFET, созданный Тревисом Гудспидом (Travis Goodspeed). Как только это было сделано, Камкар протестировал устройство с различными контроллерами приводов гаражных дверей и обнаружил, что эта техника работает на системах производства разных компаний, включая Nortek и NSCD. Это также работает на старых системах, сделанных в Chamberlain, Liftmaster, Stanley, Delta-3 и Moore-O-Matic.

«Я не думаю, что есть какое-либо решение проблемы с таким маленьким ключевым пространством. Апгрейд — единственное решение. К несчастью, апгрейд тянет за собой собственный груз проблем, зато уже не таких серьезных», — написал Камкар по электронной почте.

Камкар опубликовал исходный код для атаки OpenSesame, но он слегка его модифицировал так, чтобы он не работал, чтобы не дать преступникам его использовать.

Камкар давно известен своими креативными проектами вроде OpenSesame. Ранее в этом году он выпустил инструмент, названный KeySweeper, представляющий собой 10-долларовый USB стенной зарядник, который мог записывать нажатия клавиш на беспроводных клавиатурах. И в прошлом году он завершил проект SkyJack (устройство, которое может насильственно отключать дронов от их контроллеров и заставлять переподключаться к его дрону).

Камкар сказал, что ему потребовалось совсем немного времени, чтобы разработать эту атаку, но, по его словам, он не занимался ею все время.

«Я закончил все в конце прошлого (2014) года. Я просто продолжил улучшать атаку, и… честно говоря, больше всего времени ушло на то, чтобы заставить работать розовую игрушку. Можно использовать радиочастотное оборудование для атаки, это займет от нескольких секунд или минут, если знаете, что делать, но, чтобы сделать мобильное устройство на очень ограниченных аппаратных ресурсах (очень мало памяти, очень много данных), нужно много ночей», — сказал Камкар.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Гаражную дверь открыли за 10 секунд с помощью игрушки