Не ошибся с профессией
Telegram - Mem's_Bakery
Telegram - Mem's_Bakery
Исследователи обнаружили в продаже хакерский девайс, который позволяет угонять различные модели автомобилей, используя новый тип атак — CAN-инъекции. Для реализации такой атаки угонщики получают доступ к CAN-шине авто через проводку в фарах, а устройства для взлома маскируют под Bluetooth-колонки JBL (на случай, если у полиции или прохожих возникнут какие‑то подозрения).
Внутри корпуса скрывались компоненты стоимостью около 10 долларов США, включая чип PIC18F, содержащий аппаратное обеспечение CAN с прошивкой, CAN-трансивер (стандартный CAN-чип, который превращает цифровые сигналы от CAN-железа на PIC18F в аналоговое напряжение, передающееся CAN через проводку), а также дополнительную микросхему, подключенную к CAN-трансиверу.
«Устройство получает питание от аккумулятора колонки и подключается к шине CAN. CAN-шина — это несколько проводов, скрученных вместе, и в автомобиле есть несколько таких шин, либо соединенных напрямую с помощью разъемов, либо подключенных через компьютер‑шлюз, копирующий часть сообщений CAN туда и обратно между шинами, к которым подключен, — объясняют специалисты. — Устройство угонщиков предназначено для подключения к управляющей CAN-шине (красный цвет на схеме) для имитации ЭБУ смарт‑ключа.
Существует несколько способов добраться до проводки этой CAN-шины, и единственное условие, которое нужно соблюсти: провода должны подходить близко к корпусу автомобиля, чтобы их можно было достать (провода, закопанные глубоко в автомобиле, непрактичны для воров, пытающихся угнать припаркованный на улице автомобиль). Безусловно, самый простой путь к этой CAN-шине на RAV4 лежит через фары. Нужно отодвинуть бампер и получить доступ к CAN-шине через разъем фары.
Возможен и другой способ доступа: проделать отверстие в панели, за которой проходят провода CAN, перерезать их и подключить CAN-инжектор. Но так как стоимость автомобиля с дыркой падает, воры обычно выбирают более простой путь».
При первом включении CAN-инжектор не делает ничего: чтобы узнать о готовности автомобиля, он ждет определенного сообщения от CAN. Получив его, он отправляет серию сообщений (примерно 20 раз в секунду) и активирует дополнительную цепь, подключенную к CAN-трансиверу. Такие серии сообщений содержат сигнал о валидности смарт‑ключа, и шлюз передает этот сигнал ЭБУ управления двигателем.
Исследователи отмечают, что обычно это провоцирует путаницу, так как CAN-сообщения от настоящего контроллера смарт‑ключа будут конфликтовать с сообщениями CAN-инжектора, а это может помешать шлюзу передать сообщение‑инжект. Здесь на помощь угонщикам приходит дополнительная цепь, которая изменяет работу CAN-шины таким образом, чтобы другие ЭБУ на этой шине не могли общаться между собой.
Кроме того, на корпусе фальшивой колонки JBL есть кнопка Play, которая подключена к PIC18F. Когда эта кнопка нажата, поток сообщений CAN немного меняется, и угонщики дают команду ЭБУ отпереть двери авто (как если бы была нажата кнопка Open на смарт‑ключе). После этого воры могут отсоединить CAN-инжектор, садиться в машину и уезжать.
Табор и Тинделл пишут, что разработали две возможные схемы защиты от CAN-инъекций и уведомили представителей Toyota о своих выводах, однако пока не получили от компании никакого ответа. При этом экспертам удалось добиться присвоения этой проблеме CVE-идентификатора CVE-2023-29389, связанного с Toyota RAV4.
В отчете отмечается, что в сети можно найти аналогичные девайсы для взлома и угона, нацеленные и на многие другие авто, включая BMW, Cadillac, Chrysler, Ford, GMC, Honda, Jaguar, Jeep, Maserati, Nissan, Peugeot, Renault и Volkswagen.
Эта история началась в прошлом году, когда владелец Toyota RAV4 и ИБ‑исследователь Иан Табор (Ian Tabor) заметил, что его машина получила странные повреждения переднего крыла, а корпус ее фары дважды за три месяца был частично разобран. Сначала Табор списал случившееся на обычный вандализм, однако вскоре после этого машину угнали, а затем и его сосед обнаружил пропажу своего Toyota Land Cruiser.
Табор стал сам расследовать произошедшее и выявил новую схему угона авто без ключа, о которой не знали ИБ‑эксперты.
Табор начал с изучения данных телематической системы MyT, которую Toyota использует для отслеживания аномалий в работе своих транспортных средств, так называемых DTC (diagnostic trouble codes — диагностические коды неисправностей). Выяснилось, что во время угона его автомобиль зафиксировал множество DTC.
Коды ошибок указывали на потерю связи между CAN-шиной (controller area network) и электронным блоком управления (ЭБУ) левой фары авто. Такие ЭБУ можно найти практически во всех современных автомобилях, они используются для управления множеством функций, включая работу стеклоочистителей, тормозов, фар и двигателя. Кроме того, ЭБУ регулярно передают статус‑сообщения CAN, чтобы держать другие ЭБУ в курсе текущей ситуации. Ниже показана схема CAN для RAV4.
Коды DTC, указывающие на то, что левая фара RAV4 потеряла связь с CAN, не слишком удивили исследователя, так как воры оборвали проводку. Более интересным Табору показался отказ многих других ЭБУ, произошедший одновременно, в том числе передних камер и управления гибридным двигателем. Все это суммарно свидетельствовало о том, что не ЭБУ вышли из строя, а что‑то произошло с CAN-шиной.
Исследователь стал искать объяснение и начал изучать информацию об угонах авто на хакфорумах в даркнете и на YouTube. Вскоре он наткнулся на рекламу устройств, предлагающих «emergency start» («аварийный запуск»), стоимостью 5500 долларов. Якобы такие устройства разработаны, чтобы владельцы авто и мастера по ремонту могли их использовать, когда нет ключа, однако их явно можно было применить и в других целях.
В итоге Табор приобрел одно из таких устройств, обещавшее бесключевой запуск двигателя на различных моделях Lexus и Toyota (включая RAV4), и приступил к реверс‑инжинирингу. На этом этапе он заручился поддержкой своего друга и коллеги, эксперта по автомобильной безопасности и технического директора Canis Automotive Labs Кена Тинделла (Ken Tindell), чтобы разобраться, что именно произошло с CAN-шиной его RAV4.
Как рассказывают Тинделл и Табор, раньше автоугонщики в основном устраивали ретрансляционные атаки, то есть усиливали сигнал между автомобилем и брелоком, который используется для его разблокировки и запуска. Дело в том, что брелоки обычно работают только на расстоянии нескольких метров от автомобиля, но, поместив рядом с машиной простое радиоустройство, угонщики усиливают слабый сигнал, который посылают автомобили.
При достаточном усилении такие сообщения успешно достигают ближайшего дома или офиса, где находится брелок. Когда тот отвечает зашифрованным сообщением, которое должно отпереть и запустить двигатель автомобиля, ретранслятор передает его машине. В итоге преступник успешно уезжает на чужом авто.
«Теперь, когда люди знают, как работают ретрансляционные атаки, многие владельцы автомобилей держат свои ключи в металлических ящиках (блокируя радиосигналы от автомобиля), а некоторые автопроизводители выпускают ключи, переходящие в спящий режим, если не двигаются в течение нескольких минут, — рассказывает Тинделл. — Столкнувшись с поражением, но не желая отказываться от прибыльной деятельности, воры перешли к новому способу обхода систем безопасности: обходу всей системы смарт‑ключей в целом. Они делают это с помощью новой атаки — CAN-инъекций».
Свои выводы исследователи проиллюстрировали коротким видео с камеры наблюдения, где атака с применением CAN-инъекций продемонстрирована в действии.
Интересно, что приобретенный Табором CAN-инжектор был замаскирован под безобидную Bluetooth-колонку JBL, видимо, чтобы угонщик не вызывал подозрений у прохожих или полиции. Также СМИ сообщали, что порой хакерские инструменты маскируют даже под старые Nokia 3310.
Занимаюсь вскрытием, заменой и установкой замков более 8 лет.
Катаюсь по городу. Еду с заявки.
Звонок:
- Здравствуйте. Нам требуется вскрытие замков. Вы таким занимаетесь?
- Здравствуйте. Занимаемся. Что у вас случилось и сколько замков нужно открывать ?
- Ну ... может один замок а может и пять
- О как. Это что у вас организация какая то ?
- Да, склад
- Ключи потеряли ?
- Нет. У нас и не было ключей
- Ничего не понимаю. Вы собственники ? Вы купили это помещение ?
- Нет, не собственники и не купили. У нас там находится машина которую у нас угнали.
- А полиция ?
- Полиция здесь. Они не могут открыть.
- Полиция дает добро на вскрытие ?
- Да.
- Давайте приеду и там уже посмотрим на вашу ситуация и документы.
- Сразу скажу что выезд без вскрытия будет стоить 1000 а вскрытие каждого замка от 1000 до 2500.
- Хорошо, приезжайте.
Ничего не понятно. Угнанную машину спрятали на складе. А где владелец склада?
Где спасатели ?Хотя они те еще престраховщики да и МВД они не подчиняются.
Приехал. Промзона. Какая то территория, на ней несколько одноэтажных помещений.
Полиции человек 8-10. Да и просто людей много.
Нашел того кто вызывал и он рассказал всю историю.
История там такая.
Решили два друга бизнес замутить (в последующем Д1 и Д2).
Что то с продажами, не помню точно.
Арендовали склад, закупили продукцию и работали.
Случился у них конфликт. Д1 сменил замки на складе и перестал пускать туда Д2.
А на территории стояла газель, которая принадлежала Д2 (личный авто, не на юрлице).
Д 2 пришел и забрал свою газель. Территория не охранялась.
А ночью Д1 угоняет эту газель от дома Д2
(ключи от нее были у обоих друзей).
Д2 понимая кто угнал машину, требует ее вернуть.
Д1 говорит что забрал машину за какие то долги.
Д2 идет в полицию и пишет заявление об угоне.
Указывая там склад, в котором с большой вероятностью и находится машина.
Заводят уголовное дело, приезжают на этот склад.
Ну а дальше вызывают меня.
Ситуация нестандартная и неоднозначная.
Хозяин склада находится в другой стране на ПМЖ. Официальный представитель находится здесь и дает согласие на вскрытие. Полиция тоже дает согласие.
Сфотографировал документы (какие позволили), скинул их знакомому юристу.
Юрист дает добро. В рамках уголовного дела имеют право вскрывать.
Так же представитель собственника указал в протоколе свое согласие.
Самое интересное в том что угонщик (Д 1) находится внутри.
Вместе с рабочими и беременной женой месяце на 7-8.
Вот что за манера у некоторых индивидуумов прикрываться бабами и детьми когда жареным запахло ?
А тут еще и комбо - два в одном. Ну или один в одной)
У меня к таким сразу резко негативное отношение.
При всей этой ситуации беременная еще и кричит что у нее истерика и сейчас будет выкидыш.
Открывать замок когда человек находится внутри и не хочет что бы его открывали это всегда проблема.
Работать надо быстро. Нужно не дать им времени на адекватную реакцию.
Переходим к технической части.
Склад имеет большие ворота закрытые снаружи на вот такой навесной замок.
Есть еще и парадный вход с тамбуром. Первая дверь белая пластиковая со стеклом и одним замком.
Вторая дверь уже по серьезнее. Квартирная. На ней стоит двухсистемная чиза + электромагнитный замок. В тамбуре находится стойка администратора.
Где то возле стойки кнопка открытия электромагнитного замка.
Чиза вот такая.
Выбираю самый простой вариант со вскрытием навесного замка.
Быстро его высверливаю. Ни о каком чистом вскрытии здесь речь не шла.
Работать нужно было быстро.
Открыл навесной. Но ворота не открылись. Вимо вставили какой то лом изнутри.
Ладно. По быстрому не получилось. Переходим к плану Б.
Уличную пластиковую дверь открыл довольно быстро.
Заходим внутрь. Нашел кнопку открывания электромагнитного замка. Работает. Это хорошо.
Начал прощупывать пластиком дверь ведущую на склад. Закрыт верхний цилиндровый замок
и внутренняя завертка. Нижний сувальдный открыт, видимо от него у них не было ключей.
Это очень хорошо. Так как тогда у меня не было профилей на эту чизу.
Вскрываю верхний - они его опять закрывают. Ладно. Открываю опять и быстро вставляю пластик между дверью и ответной частью.
Тем самым перекрываю пластиком отверстие куда входит ригель.
Начинаю работать с задвижкой и у меня крадут пластик))
Я слишком глубоко засунул его в проем.
Он торчал внутрь и они просто выдернули его на себя.
Открываю третий раз, ставлю пластик с учетом прошлой ошибки.
Таких пластиков у меня штук пять с собой.
Перехожу к завертке.
Не особо церемонясь сверлю в полотне двери отверстие прямо напротив поворотного квадрата завертки. Пытаюсь провернуть квадрат отверткой. Не получается. Изнутри его крепко держат рукой.
Завертка вот такая.
Ладно. Перекур и совещание.
Подзываю сотрудников и описываю им план действий.
Сейчас я выбью крутилку задвижки внутрь, после чего открою ее и подам команду "Открыто".
По команде сотрудник нажимает кнопку открытия электромагнитного замка.
Я поворачиваю ручку двери вниз - дергая дверь на себя - дверь открывается - я прячусь за ней как за щитом а вы быстро заходите внутрь.
Если они будут держать дверь - тянем все вместе.
Спецоперация прошла как по нотам.
Внутри действительно находилась эта газель (почему то полуразобранная) и беременная жена Д1.
Взял за это вскрытие довольно много. Около 9К, примерно 2К за один замок.
Никаких проблем с законом после этого не было.
Что было дальше не знаю
Я создал группу замочных мастеров https://t.me/masterzamki
Группа создана с согласия пикабушников и по их просьбам.
В группе вы можете задать любой интересующий вас вопрос и получить ответ квалифицированного мастера. Так же можете найти контакты частного мастера в своем городе.
Список мастеров в закрепленном комментарии.
И убедительная просьба, не пишите в общем чате сообщения в стиле " Мне нужен мастер. Москва" или " Кто откроет замок в Ростове. Помогите ".
Группа открыта для всех и отозваться на вашу просьбу может кто угодно. В том числе и мошенник- разводила.
Если хотите задать вопрос по замкам и дверям, задавайте его в чате. Если вам нужен мастер пишите или звоните мастеру из списка САМИ. Я отвечаю только за мастеров которые в списке.
Шел медведь по лесу. Увидел: машина стоит, сел в нее... и поехал
Владелец машины - особо доставлет :)
ЗЫ на столько древний баян, что старше Пикабу, потому никто еще тут не выложил :)
Вышел из метро, очень тороплюсь, на парковке машину отыскал, жму на пульт, а он умер, знаю бывает постучишь по нему срабатывает, а тут фига. Рядом ТЦ, бегу туда меняю батарейку по цене машины у мастера, лечу обратно, а авто уже нет... в глазах потемнело, голова закружилась, угнали су"ки... думаю камеры наблюдения у охраны же есть, 5 минут отмотают видос, звоню "112"... там спрашивают, что случилось? ...Ничего не случилось, просто моя старушка стоит в том же ряду, чуть левее...а близняшка уже уехала. Машину купил пару недель назад...
Но не справился, перелетел через ограждение и врезался в дерево возле магазина «Пятерочка» на улице Уральская, 15.
Тачка была угнана 12 апреля примерно в 5 утра. Кто узнал фото водителя, просьба сообщать в полицию.
Почему владелец машины не заглушил ее во время заправки? Тем более в Лоде.
Машину нашли, бедуина задержали
Взять с собой побольше вкусняшек, запасное колесо и знак аварийной остановки. А что сделать еще — посмотрите в нашем чек-листе. Бонусом — маршруты для отдыха, которые можно проехать даже в плохую погоду.