Ang mga editor ng Motherboard magazine ay nakatanggap ng isang video ng pagpapatupad ng tinatawag na. man-in-the-middle na pag-atake mula sa may-akda ng EvanConnect, na nagbebenta ng mga wireless repeater na maaaring magamit upang makapasok at magnakaw ng mga luxury car.
Habang naglalakad ang dalawang lalaki sa isang dimly light na garahe, ang isa sa kanila ay tumingin sa isang itim, laptop-size na device na nakapaloob sa loob ng kanyang shoulder bag. Gamit ang mga butones sa katawan ng device, umikot siya sa iba't ibang operating mode na ipinapakita sa maliwanag na LED display ng device bago tumira sa isa.
Nang mai-set up na ang device, nilapitan ng pangalawang lalaki ang isang maliwanag na puting Jeep na nakaparada sa garahe. Hawak niya ang kanyang device: isang maliit na kahon na may antenna sa itaas. Sinubukan ng lalaki na buksan ang pinto ng kotse, ngunit naka-lock ito. Pinindot niya ang isang button sa itaas ng kanyang device, kumurap ang ilaw, at bumukas ang makina. Sumakay siya sa driver's seat at pinindot ang start button.
Upang ipakita ang mga kakayahan ng device, pinatay ng lalaki ang kahon na may antenna at muling pinindot ang start button ng kotse. "Hindi nakita ang key fob" - isang inskripsiyon ang lumitaw sa panel ng kotse, na nangangahulugang ang taong nagmamaneho ay walang wireless key sa kanya upang simulan ang kotse. βPindutin ang button na may key fob para magsimula.β
Hindi pinansin ang mensahe, muling binuksan ng lalaki ang aparato sa kanyang kamay at sinubukang paandarin ang sasakyan. Para bang sa pamamagitan ng mahika, nagsimula ang makina sa isang katangiang ungol.
Ang "EvanConnect," isa sa mga lalaki sa video na nagtatago sa likod ng isang online na pseudonym, ay kumakatawan sa koneksyon sa pagitan ng digital at pisikal na krimen. Nagbebenta siya ng mga device na nagkakahalaga ng libu-libong dolyar na nagpapahintulot sa ibang tao na makapasok sa mga mamahaling sasakyan at nakawin ang mga ito. Sinasabi niya na may mga kliyente siya sa US, Britain, Australia at ilang bansa sa South America at Europe.
"Tapat kong masasabi na ako mismo ay hindi nagnakaw ng mga kotse gamit ang teknolohiyang ito," sinabi ni Evan sa mga editor. "Napakadali, ngunit sa palagay ko: bakit ko madudumihan ang aking mga kamay kung maaari akong kumita ng pera sa pamamagitan lamang ng pagbebenta ng mga tool sa iba."
Ang video ay hindi tunay na pagnanakaw; Ginamit ni Evan ang Jeep ng isang kaibigan upang ipakita ang mga kakayahan ng device sa mga editor, at pagkatapos ay nag-upload ng isa pang bersyon nito sa kanyang channel sa YouTube. Bukod pa rito, ang mga device na ito ay minsan ginagamit ng mga mananaliksik ng seguridad upang subukan ang seguridad ng mga makina. Gayunpaman, ang banta ng digital car theft ay tunay na totoo.
Ang mga opisyal ng pulisya sa buong mundo ay nag-ulat ng pagtaas sa bilang ng mga pagnanakaw sa nakalipas na ilang taon, na pinaniniwalaan nilang ginawa gamit ang iba't ibang mga elektronikong aparato. Sa isang press release noong 2015, binalaan ng Toronto Police Department ang mga residente ng pagtaas ng mga pagnanakaw ng Toyota at Lexus SUV na tila ginagawa gamit ang mga elektronikong kasangkapan. Isang video noong 2017 na inilabas ng West Midlands Police sa Britain ang nagpakita ng dalawang lalaki na papalapit sa isang Mercedes Benz na nakaparada sa labas ng bahay ng may-ari nito. Tulad ng sa video ni Evan, ang isa ay nakatayo sa tabi ng kotse na may bitbit na aparato, at ang pangalawa ay naglagay ng isang mas malaking aparato malapit sa bahay sa pagtatangkang makuha ang signal na ibinubuga ng mga susi ng kotse na nakahiga sa loob.
Hindi lahat ng elektronikong pagnanakaw ng sasakyan ay kinakailangang may kaakibat na parehong teknolohiya. Ang ilang mga teknolohiya ay umaasa sa pag-jam sa signal mula sa key fob ng may-ari, na nagiging dahilan upang maniwala ang may-ari na ni-lock niya ang kotse gayong ang totoo ay bukas ito sa mga magnanakaw. Ang mga aparato ni Evan, sa kabaligtaran, ay "mga wireless repeater", at nagsasagawa ng tinatawag na. man-in-the-middle attacks.
Si Sammy Kamkar, na matagal nang interesado sa pag-hack ng hardware at mga isyu sa seguridad, ay pinahahalagahan ang video ni Evan at ipinaliwanag sa amin ang mga detalye ng pag-atake na ito. Nagsisimula ang lahat sa pag-lock ng may-ari ng kotse at pag-alis na may susi. Sinusubukan ng isa sa mga kasabwat na harangin ang signal, at pagkatapos ay lumapit sa kotse, hawak ang isa sa mga aparato na nakikinig sa hangin sa mababang mga frequency, kung saan ang kotse ay nagpapadala ng mga signal upang suriin ang pagkakaroon ng isang susi sa malapit, at pagkatapos ay ang aparatong ito. nagpapadala ng signal na ito "sa mas mataas na dalas, uri 2,4, XNUMX GHz o isang katulad nito, kung saan ang signal ay naglalakbay ng mas mahabang distansya nang madali," isinulat ni Kamkar. Ang pangalawang aparato na nasa kamay ng pangalawang magnanakaw ay tumatanggap ng signal na ito ng mataas na dalas at inuulit ito muli, sa orihinal na mababang frequency.
Nakikita ng key fob ang signal na ito sa mababang frequency at tumutugon ito sa karaniwang paraan, na parang malapit ito sa kotse.
"Nangyayari ito sa magkabilang direksyon nang maraming beses hanggang sa makumpleto ang buong proseso ng paglilipat ng mga password at feedback sa pagitan ng susi at ng kotse, at ang dalawang elektronikong device na ito ay nakikibahagi lamang sa pagpapadala ng mga komunikasyon sa mas mahabang distansya," isinulat ni Kamkar.
Gamit ang gayong mga aparato, ang mga kriminal ay gumagawa ng tulay na umaabot mula sa kotse hanggang sa susi sa bulsa, bahay o opisina ng biktima, at ang bawat partido ay nalinlang sa paniniwalang ito ay nasa tabi ng isa, na nagpapahintulot sa mga kriminal na buksan at paandarin ang sasakyan. .
"Hindi ko makumpirma ang pagiging tunay ng video, ngunit maaari kong sabihin na ang pamamaraan ay 100% gumagana - Ako mismo ay nag-organisa ng katulad na pag-atake sa hindi bababa sa isang dosenang mga kotse gamit ang aking sariling hardware, at ito ay napakadaling ipakita," sabi ni Kamkar .
Upang patunayan ang kanyang pagmamay-ari ng teknolohiya, nagpadala si Evan ng mga larawan ng mga device kasama ng isang naka-print na mensahe upang patunayan na ang mga ito ay hindi lamang mga larawan ng ibang tao. Nagpakita rin siya ng iba't ibang teknolohikal na device sa editorial team sa isang live na video chat at nagbigay ng iba pang mga video na nagpapakita ng operasyon ng mga device.
Ang isang tagapagsalita para sa Fiat Chrysler Automobiles, na nagpapatakbo ng Jeep brand, ay hindi tumugon sa aming mga katanungan.
Sinabi ni Evan na gagana ang mga device sa lahat ng kotseng walang keyless entry maliban sa mga gumagamit ng 22-40 kHz frequency, na kinabibilangan ng mga sasakyang Mercedes, Audi, Porsche, Bentley at Rolls Royce na ginawa pagkatapos ng 2014. Lumipat ang mga tagagawang ito sa mga pangunahing sistema gamit ang mas bagong teknolohiyang FBS4. Gayunpaman, idinagdag ni Evan na nagbebenta siya ng isa pang modelo na maaaring lumipat sa pagitan ng mga frequency na 125-134 kHz at isang karagdagang hanay na 20-40 kHz, na magbibigay-daan sa mga hacker na i-unlock at simulan ang anumang keyless na kotse ngayon. Ibinebenta niya ang karaniwang modelo sa halagang $9000, at ang na-update na bersyon sa halagang $12000.
"Mukhang totoo ang lahat at simpleng ipatupad," sabi ni Kamkar. "Gumawa ako ng mga device na may ganitong functionality para sa humigit-kumulang $30 (at kung ibebenta mo ang mga ito sa maraming dami, maaari mong gawing mas mura ang mga ito), kaya walang dahilan upang maghinala ng panloloko."
Sa katunayan, ang mga wireless key repeater ay maaaring i-assemble sa hindi napakalaking halaga. Gayunpaman, ang mga taong gustong gumamit ng mga ganoong device ay maaaring walang teknikal na kaalaman sa pag-assemble ng mga ito sa kanilang sarili, kaya bumili sila ng mga yari na kahon mula kay Evan.
"Ang item ay 100% nagkakahalaga ng pamumuhunan," sabi ni Evan. β Walang nagbebenta ng mga device nang mura; magagawa lamang ito nang mura ng isang taong pamilyar sa radio electronics at ng PKE (passive keyless entry) operating circuit.β
Sinabi ni Evan na kahit papaano ay narinig niya ang tungkol sa mga taong gumagamit ng mga katulad na device sa kanyang lungsod, at nagpasya na simulan ang pagsasaliksik sa teknolohiya. Makalipas ang isang taon, nakahanap siya ng mga interesadong partido at nagsimulang mag-assemble ng isang team para i-assemble ang mga device.
Dahil ang mga device na ito mismo ay hindi ipinagbabawal sa United States, hayagang ina-advertise ni Evan ang kanyang mga produkto sa mga social network. Sinabi niya na nakikipag-usap siya sa mga kliyente gamit ang messenger ng Telegram. Karaniwang nangangailangan si Evan ng buong pagbabayad nang maaga, ngunit minsan ay nakikipagkita sa kliyente nang personal kung ayaw niyang magbayad ng maraming pera nang maaga, o ibenta muna siya ng mas murang device.
Sinabi niya na mayroon siyang isang kriminal na rekord at na siya ay mapupunta sa bilangguan sa hinaharap para sa isang hindi nauugnay na pagkakasala, ngunit pagdating sa teknolohiya, itinuturing ni Evan ang kanyang sarili na isang baguhan sa lugar na ito, at hindi isang uri ng hardcore na kriminal.
"Para sa akin, ang lahat ng teknolohiyang ito ay isang libangan lamang, at ibinabahagi ko ang aking kaalaman tungkol dito sa mundo nang walang takot," sinabi niya sa editor.
Pinagmulan: www.habr.com