Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > Фрикинг > Охранные системы

Охранные системы Изучение протоколов кодирования охранных систем. (кодграббер, сканер, анализатор кодов.)

Ответ
 
Опции темы
Старый 27.09.2008, 23:18   #1
tako
гость
 
Аватар для tako
 
Регистрация: 06.07.2006
Сообщений: 150
Поблагодарил: 2
Поблагодарили 28 раз в 26 сообщениях
tako стоит на развилке
По умолчанию Дифференционная атака по питанию на HSC и PIC

В аттаче статья на вышеозначенную тему на английском.
Кратко говоря-пацаны прикручивают шунтирующий резистор к ноге микроконтроллера производять замеры тока потребления по времени осциллографом. На основании некоторого числа измерений делают выводы о коде брелка. с кодом брелка производят анализ приемного блока и вычисляют код производителя.


Интересны мнения-тема конечно не разжевана до азов, но тем не менее это лучше чем брут на мой взгляд.
Вложения
Тип файла: pdf 058.pdf (909.5 Кб, 38 просмотров)
tako вне форума   Ответить с цитированием
Старый 28.09.2008, 09:00   #2
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Цитата:
Сообщение от tako Посмотреть сообщение
В аттаче статья на вышеозначенную тему на английском.
Кратко говоря-пацаны прикручивают шунтирующий резистор к ноге микроконтроллера производять замеры тока потребления по времени осциллографом. На основании некоторого числа измерений делают выводы о коде брелка. с кодом брелка производят анализ приемного блока и вычисляют код производителя.


Интересны мнения-тема конечно не разжевана до азов, но тем не менее это лучше чем брут на мой взгляд.

Это мы уже обсуждали в закрытом разделе! Подводных камней такого способа хоть отбавляй, шунтирующее сопротивление как ты говоришь, это сопротивление в цепи питания контроллера, с него я снимал осциллограмму. Проблема номер один, это правильная интерпретация этой осциллограммы. По пульсации тока, можно предположить, сколько защелок отработало в регистре, но дело в том, что изначальное состояние регистра не известно! Ни один программист не делает инициализацию регистра (clrf bank2), перед тем как поместить константу туда (movlw d'255) (movwf bank2 ), это глупо! Дальше допустим если мы и узнали, что в регистре у нас 6 лог1 и 2 лог0 и того 8 бит, но как нам узнать на каких адресах они сидят? Какие могут быть комбинации 11111100, 11111001, 11110011 и так далее, конечно не больше 255))). На самом деле если для примера взять любой байт из настоящего ключа производителя (я про мануфактурный код), то количество нулей и единиц будет примерно пополам, от этого комбинаций нулей и единиц в одном байте ключа (он же регистр) будет 10-20 примерно. Таким образом, перебор можно сделать умным! Составить 8 таблиц из тех комбинаций, которые мы вычислили по пульсации тока. При прямом переборе ключа, уйдут годы, а при умном переборе очень даже короткое время, пару дней например))). Проблема номер два, это при запуске контроллера от сигнализации, нужно знать точно, через какое время в программе начнется выгрузка монуфактурника, лучше всего весь процесс записывать на сверх скоростной осциллограф – самописец, с такими тоже напряг в реальности). Ну это я так на вскидку все рассказал, может там парни и некий другой способ придумали, а это все я себе представляю так. Кому интересно, заходите в закрытый раздел, я там выкладывал фотографии с осциллографа, может кто сможет интерпретировать все, может оптимизировать или подсказать более земной способ взлома KEELOQ! Вообще если уж выкладываете какую информацию, то делайте перевод что ли (я английский из принципа не хочу знать). Вникайте в суть излагаемого материала, что бы можно было обсуждать, что понту ходить по всяким ссылкам, которые любят выкладывать юзеры, да пялится в иностранные документы, написанные техническим языком!


уехал в клуб
oleg вне форума   Ответить с цитированием
Старый 28.09.2008, 11:40   #3
tako
гость
 
Аватар для tako
 
Регистрация: 06.07.2006
Сообщений: 150
Поблагодарил: 2
Поблагодарили 28 раз в 26 сообщениях
tako стоит на развилке
По умолчанию

ну мне еще до закрытого раздела постов 28 надо написать по теме

Теперь по поводу камней. Да действительно они используют высокоскоростной осцилограф до 1ггц. Максимальная скорость снятия замеров у них фигурировала 200 Мобразцов/сек.

Да если интересно -они делают предположения по измерениям о работе чипа HCS на частоте 1.25мгц.
по вариантам расположения в регистре. Они предполагают наличие двух регистров в HCS. Регистр ключа и регистр состояния (т.е. регистр куда в начале помещается не шифрованный текст и в котором происходит само шифрование). Так вот регистр ключа не подходит для атаки так как он фактически сдвигается, но не меняется по нелинейному закону. Атака идет на регистр состояния.

атака на блок сиги идет уже с использованном полученного ранее кода брелка в режиме ОБУЧЕНИЯ. В другом режиме контроллер в сиге даже не приступает к обработке мануфактурника.

Перевод это конечно хорошо. Но проблема в том что по русски мало чего кто будет писать, это не в газетках статьи тискать про нанорога и нанокопыта. Я конечно понимаю что тут много ссылок и доменя выкладывали и не претендую на уникальность материала. Честно признаюсь что пробовал делать перевод отдельных кусков, однако специфичность терминов не позволяла получить удобоваримый текст в полностью русском варианте.

например оперируются такими понятиями как условно говоря "дистанция Хемминга" и "вес процедуры Хемминга"....
tako вне форума   Ответить с цитированием
Старый 28.09.2008, 13:58   #4
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Твои интересы в этой теме очевидны, по этому, я тебе дам ключ на более лояльных условиях, уже скоро! Тем более, я там выложил новую прошивку к кодграбберу, да и фотографии про которые шла речь выше, не мешало бы тебе посмотреть!


уехал в клуб
oleg вне форума   Ответить с цитированием
Старый 28.09.2008, 22:26   #5
tako
гость
 
Аватар для tako
 
Регистрация: 06.07.2006
Сообщений: 150
Поблагодарил: 2
Поблагодарили 28 раз в 26 сообщениях
tako стоит на развилке
По умолчанию

короче тут черновик перевода той статьи. переведен частично кусок касающийся анализа контроллера брелка.мне трудно судить-но на вскидку надо еще искать материал по CPA и DPA атакам как дополнительный материал.
Вложения
Тип файла: doc hello hello.doc (186.5 Кб, 34 просмотров)
tako вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
вопрос по питанию потапыч Флейм 0 16.04.2011 22:38
Атака компютерного зала slava-dk Новички 8 07.04.2011 19:37
Фармацевтическая атака danaec Безопасность 4 31.03.2010 16:15
Атака через Bluetooch! madrih133 Сотовые системы 23 30.06.2009 15:59
Атака по bluetooth ASD Сотовые системы 14 28.11.2006 13:42


Текущее время: 22:09. Часовой пояс GMT +4.


Перевод: zCarot