[Перевод] Конференция DEFCON 27. Взламываем полицию. Часть 2
Конференция DEFCON 27. Взламываем полицию. Часть 1
Поднимите руки, если знаете, к чему это может привести! ОК, все это интересно, но если внимательней рассмотреть пример с 65 милями в час, можно обнаружить небольшую проблему. Мой прибор постоянно передает эту скорость, так как работает на определенной фиксированной частоте, но как быть, если я проезжаю мимо школы, где действует ограничение скоростного режима? К тому же мы никогда точно не знаем, на какой частоте полицейский радар передает сигнал.
Однако, друзья, должен сказать, что мы живем в интересные времена. Мы живем в будущем, когда вся мировая информация находится в наших руках, и мы можем делать с ней все, что захотим. Новые автомобильные радар-детекторы, в частности Valentine One и Escort 360, обнаруживают сигналы радара, расположенного примерно в 2–3 милях впереди вашего авто и с помощью Bluetooth выводят на экран информацию, на какой частоте полицейский радар излучает эти сигналы (аплодисменты).
Я прервусь на минуту, чтобы высказать благодарность Трай Вулф, вон она сидит, за то, что она предоставила мне очень удобное место для проведения нескольких тестов, совершенно законно и официально.
(23:50) Итак, все, что мы должны сделать, это создать приложение, которое бы сообщало нам текущее ограничение скорости движения, такое дорожное API. Современное поколение радар-детекторов отлично распознает частоту излучения волн полицейских радаров на расстоянии до 2-х миль. На основании этого можно вычислить текущее ограничение скорости, с которой должно двигаться ваше транспортное средство, и частоту передачи сигнала, показывающего эту скорость.
Все что нам нужно — это очень-очень маленький процессор. На слайде вы видите микроконтроллер ESP 8266, его вполне достаточно. Однако проблема состоит в том, что общедоступные в наше время SDR, или программно-определяемые радиосистемы, не работают в этом высокочастотном или микроволновом пространстве, они рассчитаны на низкочастотный спектр. Но если заняться «железом» серьезно, можно собрать необходимое нам устройство примерно за 700 баксов. Причем большую часть этой суммы составит стоимость модернизации SDR для высокочастотной передачи.
(25:10) Однако FCC не хочет, чтобы вы этим занимались. Использование устройства для создания помех радарам является преступлением, за которое грозит 50 тыс. долларов штрафа или 5 лет тюрьмы, или оба эти наказания. Радар-джаммеры запрещены на территории США с 1996 года, поэтому любой, кто использует или продает эти устройства, является федеральным преступником.
Федеральная комиссия по связи относится к этому настолько серьезно, что вы даже не имеете право рекламировать эти устройства или пропагандировать их использование. Если вы внимательно посмотрите на это устройство стоимостью 700 долларов, то увидите, что оно действительно не так уж и дешево. Но зная, как можно сделать радар-джаммер, мы делаем его доступным, а тогда уже вы можете принять правильное решение — использовать его или нет.
Итак, FCC не позволит нам ускорить этот процесс. Поэтому давайте посмотрим, какие эффективные и легальные контрмеры нам доступны? Они существуют и представлены общедоступными вещами. Если у вас нет возможности использовать современные радиоэлектронные радар-детекторы, используйте другие устройства, их выбор просто огромен.
Современные радар-детекторы Uniden R3/R7, Escort Max360, Radenso Pro M или Valentine One w/BT отлично улавливают любое радиоизлучение, все эти отраженные и прямые радиоволны, на расстоянии до 2 миль, но совершенно не способны обнаружить лазер. Однако большинство людей в курсе, что копы используют лазер в качестве прибора для измерения скорости. И тут у нас появляется лазейка! Дело в том, что регулирование использования световых устройств, то есть устройств, излучающих свет, которыми являются лазеры, даже не относится к компетенции FCC — это прерогатива FDA, Управления по санитарному надзору за качеством пищевых продуктов и медикаментов. Так что да будет свет!
Оказывается, что эти лазерные пушки очень отличаются от своих радиочастотных кузенов. Они используют видоискатель, чтобы выделить конкретную цель. Взглянув на картинку, вы увидите, что ручной лазерный радар имеет две линзы. Меньшая — это объектив-трансмиттер, излучающий световые волны, а больший объектив служит для приема отраженных от цели волн. Через секунду вы поймете, почему это важно.
Что я действительно люблю в лазере — это то, что офицеру приходится обращаться с ним как с оружием. То есть этот прибор должен быть устойчивым, должен позволять прицелиться и найти отражающую поверхность на вашем автомобиле, чтобы получить сигнал обратно.
Фактически коп должен прицелиться в фары, номерной знак или другое, блестящее и светящееся место вашего автомобиля. В этом видеролике показано, что видит офицер через видоискатель, когда целится лазерным детектором в машину с помощью светящихся прицельных марок.
Поскольку лазеры регулируется FDA, эти устройства должны быть лазерами класса 1. Это тот же самый класс, к которому принадлежат обычные лазерные указки. Проще говоря, лазер-детектор — это та же лазерная указка. Они должны быть безопасны для глаз, поэтому их мощность достаточно мала, и настолько же мало количество излучения, возвращающееся к полицейскому радару.
Кроме того, благодаря регулированию FDA, эти приборы ограничены по частоте световых волн, используя лазер инфракрасного спектра с длиной волны 904 нанометра. Это невидимый лазерный луч, но что еще более замечательно — это луч со стандартной длиной волны.
Это единственный разрешенный стандарт, поддерживающие его устройства маломощны и мы с вами тоже можем их купить.
(29:40) Вспомним, что измеряет радар? Скорость. А лазер не измеряет скорость, он измеряет расстояние. Сейчас я показываю вам очень важный слайд и даю время, чтобы вы успели записать эту потрясающую формулу: скорость равна расстоянию, поделенному на время. Я заметил, что кое-кто даже сфотографировал этот слайд (смех в зале).
Дело в том, что когда лазерные пушки измеряют расстояние, они делают это с очень большой частотой, обычно от 100 до 200 измерений в секунду. Так что в то время, как радар-детектор уже отключился, лазерная пушка продолжает измерять вашу скорость.
Вы видите слайд, на котором показано, что на 2/3 территории нашей страны использование лазер-джаммеров считается совершенно законным — на карте эти штаты выделены зеленым цветом. Желтым цветом показаны штаты, где использование этих устройств незаконно, и я просто не представляю, что за чертовщина творится в Вирджинии, где вообще все запрещено (смех в зале).
(31:10) Итак, у нас есть пара вариантов. Первый вариант — это пользоваться автомобилем с прячущимися фарами в режиме «показал-спрятал». Не очень эффективно, но зато смешно и сильно затруднит офицеру возможность взять его на прицел.
Второй вариант — использовать собственную лазерную пушку! Для этого мы должны знать, как она работает. Прежде чем мы начнем, я покажу вам примеры таймингов. Тайминги, о которых мы будем говорить, не применимы ко всем существующим лазерным радарам, но они применимы к частоте, которую те используют. Как только вы поймете, как они работают, вы поймете, как атаковать каждый из лазерных радаров, потому что все сводится только к вопросу таймингов.
Итак, особо важными параметрами являются ширина импульса, то есть как долго лазер находится включенным, и период цикла, то есть то, как часто он стреляет. На этом слайде показана ширина импульса: 1,2,3,4,5 — импульс-импульс-импульс-импульс-импульс, вот что такое ширина импульса. А период цикла, то есть промежуток времени между двумя импульсами, составляет 5 мс.
Через секунду вы все поймете, но эта часть действительно важна. Когда лазерная пушка посылает серию импульсов, чего она ждет в качестве ответа? Какую физическую характеристику она хочет получить? Правильно, расстояние! Импульс измеряет расстояние. Поэтому, когда ваша машина попадает под первый импульс, и он возвращается назад, означает ли это, что офицер зафиксировал вашу скорость? Нет, он может только узнать, насколько далеко вы от него находитесь. Скорость он сможет вычислить, только получив отраженный сигнал второго, третьего и следующих импульсов. Вы видите, как меняются промежутки времени между излученным импульсом и его принятым отражением с изменением расстояния: 1000 футов, 800 футов, 600 футов, 400 футов — чем ближе автомобиль, тем короче промежуток времени между излученным и отраженным импульсами. Изменения этих параметров и позволяют вычислить скорость движения вашего автомобиля. Вот почему они делают так много измерений в секунду — 100 или даже 200 — чтобы быстрее определить вашу скорость.
Давайте увеличим расстояние между отдельными импульсами и поговорим о некоторых контрмерах. Итак, эти красные столбики изображают излучаемые импульсы лазерной пушки: импульс-тмпульс-импульс. Всего 3 импульса. Оранжевые столбики — это возвратившиеся отражения каждого импульса. Между двумя излучаемыми импульсами у нас имеется «окно» шириной 5 мс, в которое возвращается наш собственный отраженный импульс. Что мы измеряем? Правильно, расстояние! Мы не замеряем непосредственно скорость.
Так что если бы мы вернули свой импульс до того, как вернется настоящий, отраженный импульс, то смогли бы показать радару, как далеко от него находимся. То, что я вам покажу дальше, представляет собой обычный метод брутфорс.
Представьте себе, что вы едете, точно зная, на какой частоте вас облучает лазер — 1 миллисекунда при длине волны 904 нм. Идея состоит в том, что замещая отраженный сигнал лазера своими сигналами, мы показываем копам, что находимся от них на определенном расстоянии. Я не сообщаю радару, что еду со скоростью 97 миллионов миль в час, нет, я заставляю его думать, что нахожусь очень и очень близко, например, в 100 футах от него. Первый сигнал говорит, что я нахожусь в 100 футах, потом к нему приходит второй сигнал, который снова говорит, что я нахожусь в 100 метрах, затем третий — снова 100 футов и т.д. Что это значит? То, что я двигаюсь с нулевой скоростью!
Для большинства лазерных радаров, имеющихся на рынке, использование такого метода приводит к выдаче сообщения об ошибке. Простой брутфорс в виде миллисекундного импульса приводит к тому, что на экране радара появляется сообщение об ошибке измерения.
(35:10) Существует несколько устройств, позволяющих применять контрмеры против контрмер, мы поговорим об этом через секунду. Некоторые из новейших лазерных пушек могут распознавать, что я послал один импульс, а в ответ получил целых 4. Чтобы бороться с помехами, они используют лазерный сдвиг, то есть изменят ширину импульса так, чтобы истинный отраженный импульс поместился в диапазоне, не затронутом подставными, искаженными сигналами. Но и этому мы можем противостоять. Как только мы поймем, куда смещается излучаемый импульс, то есть каково значение лазерного сдвига, мы сможем сместить туда же и свои отраженные импульсы. Интересно то, что зная ширину импульса и тайминг, мы можем идентифицировать лазерную пушку по второму импульсу.
Получив первый импульс, мы немедленно используем метод брутфорс, получаем второй импульс и безошибочно определяем, какая пушка взяла нас на прицел, после чего можем применить против нее контрмеры. Я быстро расскажу, что они собой представляют.
Красные столбики на слайде обозначают излучаемые импульсы лазерного радара, оранжевые — их отражения от движущегося препятствия, а зеленые — это импульсы, которые мы возвращаем этому радару.
Все что мы можем сделать — это варьировать импульсы нашего собственного лазера. У нас есть 5 миллисекундное окно для отправки возвращенных импульсов, и в первую очередь нам надо вернуть самый первый сигнал, полученный на расстоянии 600 футов от радара. Получив второй импульс, мы определяем, что за радар его послал и узнаем точно, кто взял нас на прицел. После этого мы можем применить контрмеры и сообщить, что находимся намного дальше, например, на расстоянии 999 футов. То есть по отношению к засекшему нас радару мы будем удаляться. Таким образом мы можем бороться с большинством моделей лазерных радаров. Коммерческие лазер-джаммеры делают то же самое. На рынке имеется пара таких устройств, которые можно свободно купить и которые реализуют такие же самые контрмеры. Просто имейте в виду, что эти устройства доступны.
(37:20). Несколько лет назад я создал устройство под названием COTCHA. Это ESP 8266, основанный на принципе взлома по Wi-F и построенный на платформе Arduino. Это очень удачное решение, на основе которого можно создавать другие хакерские электронные устройства. Сейчас я хочу представить вам более серьезное устройство под названием NOTCHACOTCHA. Это лазерная «глушилка» на основе ESP 8266, использующая 12В питание, что позволяет легко установить ее в автомобиле. Это устройство использует режим брутфорс для светового излучения с длиной волны 940 нм, то есть выдает импульсы с частотой 1 мс. Оно соединяется со смартфоном с помощью модуля беспроводной связи и может использоваться совместно с Android-приложением. В некоторых штатах использование этой «глушилки» абсолютно законно.
Эта «глушилка» справляется с 80% используемых лазерных радаров, но не способна противостоять таким продвинутым системам, как Dragon Eye, которые полиция использует в качестве контрмеры против брутфорса.
Кроме того, мы делаем эти глушилки как open-sourсe, поскольку существуют коммерческие варианты подобных устройств, и для нас не составляет труда применить к ним реверс-инжиниринг. Итак, это законно в некоторых штатах, помните зеленые участки на карте США? Кстати, я забыл включить в число «зеленых» штатов Колорадо, где тоже разрешено использовать лазер-джаммеры.
NOTCHACOTCHA также работает в режиме эмуляции лазерного радара, что позволяет вам протестировать другие «глушилки», радар-детекторы и так далее. Кроме того, это устройство поддерживает режим MIRT, включая зеленый сигнал светофора, но это очень плохая идея. Наверное, все же не стоит этого делать (смех в зале).
Скажу вам, что NOTCHACOTCHA — это свобода, именно с ее помощью мы можем взять под контроль любые системы, которые нацелены на нас. Я быстро расскажу о материалах, из которых собирается эта «глушилка». Это ESP 8266 модели D1 mini, который стоит полтора доллара, резистор 2,2кОм стоимостью 3 цента, преобразователь напряжения 3,3В за 54 цента, транзистор TIP 102 за 8 центов и LED- панель для излучения светового потока длиной волны 940 нм. Это самая дорогая часть устройства ценой 6 долларов. В целом все это стоит 8 долларов (аплодисменты зала).
Список материалов, коды и несколько других «плохих» идей вы можете скачать по ссылке github.com/hevnsnt/NOTCHACOTCHA, все это находится в открытом доступе. Я хотел принести сюда такую «глушилку», у меня есть одна, но вчера я ее сломал, когда репетировал свое выступление.
Выкрик из зала: «Билл, ты отстой!».
Я знаю, знаю. Итак, эта штука выпускается с открытым исходным кодом, и режим брутфорс отлично работает. Я это проверил, потому что живу в Канзасе, там все это законно.
Хочу, чтобы вы знали — это только первый раунд. Я продолжу разрабатывать код, и был бы очень благодарен за помощь в создании лазерной «глушилки» open-sourсe, способной конкурировать с коммерческими аналогами. Большое спасибо, ребята, мы отлично провели время и я действительно это ценю!
Немного рекламы :)
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5–2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps от $19 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле в дата-центре Equinix Tier IV в Амстердаме? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5–2697v3 2.6GHz 14C 64GB DDR4 4×960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5–2430 2.2Ghz 6C 128GB DDR3 2×960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5–2650 v4 стоимостью 9000 евро за копейки?