top of page
Search
PIC

无线保安系统, 安全吗? 可靠吗?


市面上, 开始有人用着无线保安系统(Wireless Alarm System), 那些买的人, 他们都是被告知这个无线保安系统是安全可靠, 安装方便, 简单, 可以DIY的。 然后还可能会很混淆什么是Hopping code/Rolling Code, Hopping frequency。。。以为有这些就是安枕无忧。。

实际上, 是这样的吗?

要写这个话题, 也很为难, 为什么? 因为最后是讲到如何破解, 怎么可以教人破解呢?但是不谈这个, 轻轻带过的话, 又有人不会信服, 因为他们花了钱买了。。不会愿意相信, 然后就可能阿Q(贵)一番。。

想了很久,写还是不写? 还是写一些吧, 一些比较关键的,就含糊其词吧。

准备写两个部分。。 第一部分给大众看的, 没有太多高深理论的, 第二部分, 站在技术的角度, 还有准备给人踢馆, 讨论的。

我们先看看目前的“一般”保安系统含有的配件/功能:

1. 密码开关锁 /RFID/ 指纹 - 解防(Disarm)设防(Arm)是要键盘输入密码,有些还加RFID 卡, 指纹

2. 无线遥控开关 (Wireless Keyfob)

3. 警铃 (Siren)

4. 磁簧开关的感应器 (Magnetic Sensor/ Reed Switch), 装在门, 窗

5. 红外线感应器 (PIR Sensor)- 检测移动的热血动物, 如人。

6. 振动感应器 (Vibration sensor), 敲击时触发 (常常因为太敏感, 在打雷时的震动误报)

7. 破窗/玻璃感应器 (Break Glass sensor)- 是用Mic 检测一定频率, 一定强度的尖音

8. 后备电池- 停电时备用

9. 拨号报警功能 - (Dialer), 警报时,打电话给你, 或打去CMS

10. GSM 拨号报警功能 - 当电话线被剪, 用GSM 拨号

11. 遥控开关- 附加的功能, 让你用电话开关电灯之类的

12. 其他的眼球解防,连去internet, 红外线阻断式,超音波感应器, 蜘蛛网式细电线在天花板上, 一些怪招, 还有很多很多。。

好了,有线的, 无线的保安系统, 都会含有以上的“几项”基本功能(不是全部)。

感应器,警铃,是装在不同的地方的, 所以传统的是用电线来连接。

所谓的无线电保安系统, 就是本来有用线连接的地方, 改用无线电(wireless)来连接。

无线电, 就是利用 315Mhz,319Mhz, 433Mhz ,495Mhz, 868Mhz, 902 mhz, 2.4Ghz 之类的频率。

但是, 一般的都是用433Mhz, 868Mhz, 尤其是喜欢用868Mhz, 因为800~900Mhz 的穿透能力最强。

但是, 868Mhz 这个频率在马来西亚是不合法的,会需要向MCMC申请使用这个频率,而大多数廉价的会用433Mhz 这些免费民用的频率。

汽车遥控器很多是用315Mhz, 433Mhz, 也有一些用868Mhz。

Ok, 上面我们知道那个无线传输的使用频率范围了,来来去去就是那几个。。马来西亚最可能的就是433Mhz, 868Mhz。其他的国家, 不同的无线电法令管制, 会使用不同的频率。 如果要知道确实的频率, 用Scanner/ Freq Counter 扫描就可以了.

无线保安系统的主机,就是母机 (master), 和子机(Slave)。

子机, 就是你的感应器, 警铃。 母机和子机, 他们之间是用无线电连接在一起。

怎么连接? 母机和子机会选择用一样的频率, 传输数据包(Data)。

母机会定时的去访问(ping/query)子机, 可能是每分钟一次, 不会太频密的访问。。

当子机收到母机的询问, 就会回复母机,“ 我很好, 没有状况, 我的电池正常”

如果有状况, 子机会主动发送给母机:“有入侵”

现在的情形是, 一个母机, 很多个子机。 每个子机, 都有自己的地址或ID,那么母机才知道它是要叫哪里一个子机。

这个ID,在一些廉价的系统是用固定码(密码)的, 但是都有212 的可能性, 所以, 碰到一样地址的情形很微小

所以, 一些普通的汽车的保安遥控器(keyfob), 是用简单的固定码(密码), 每次发射是同样的内容, 所以容易被监听, 然后复制发射的内容,再发射破解。 一些比较高级的汽车保安遥控器, 就利用了滚码(Hopping code)的技术, 避免了被监听的忧虑。

滚码(Hopping/Rolling Code)是什么? 就是这个发射出去的密码, 是会变的, 每一次都在变, 但是母机和子机之间, 是知道要怎样去解码的。那么就算被监听了, 你也不知道下一个密码是什么, 除非你知道如何的演算, 你知道Algorithm 运算法。

一般的无线保安系统,是利用滚码加密 Hopping code, 而且声称是牢不可破的,这也是那个卖的人(推销员)很自豪的事,

也很可能是你因为听了这个觉得很强才买的原因之一。

无线保安系统,最主要的好处就是很容易DIY安装,不用敲墙, 布线, 简单极了。

好了, 现在大家有一个概念了吧。。

现在要进入主题了。。。 无线保安系统, 安全吗? 可靠吗?

看起来是很不错的。。。又hopping code, 又hopping frequency (hopping freq 在第二部分才讲)

但是, 传输媒介是无线电。。无线电的传输, 分AM, FM, PM, SSB 的等等。

无线保安系统, 一般是用FM, 因为FM 比较稳定 (AM比较便宜)

大家有听电台广播吗? 988, 爱FM, MyFM?

有没有试过接收不良的时候?被干扰的时候? 比如靠近电脑? 比如手机来电时那种得德~得德~得德~得德~得得得得得~~~的干扰?

开车人士, 有用FM MP3 modulator 来听歌吗?有试过有时在塞车时, 刚好隔壁车的FM MP3 Modulator 的频率和你正在听的电台一样, 被人盖台的经验吗?

这说明, 无线电信号是能脆弱, 是很容易被干扰的。

当被干扰时, 母机和子机是连不到线的。。 母机没有办法连到子机, 子机也不能联系母机。。

简单来讲, 当这一刻发生时, 你的无线保安系统就是废武功了。。。什么hopping code 都没有帮助~

在这个盲点, 如果有破门而入的,母机是不知道的。破门而入的人, 接着破坏母机, 破坏电话线, 破坏GSM。

那怕只是30秒的时间。。保安系统被攻破了~

怎么干扰呢?发射一个接近频率的强信号, 盖台干扰~

具体怎样呢?这里不讨论了, 有兴趣的可以去google: Frequency jamming, RF jammer

我可以说的是, 这些Freq Jammer, 还可以DIY的呢。。。

很多人一直以为要破解 那个hopping code, 其实, 只是干扰就达到目的了。

上面只是我讲,可能有好学的网友要试验 Freq Jammer 这类的攻击。。。

安全的试验方法:

找两辆车的遥控器,比如两辆Wira A,B,Alarm 是一样品牌的, 不同品牌的也可以,但要求一样的操作频率, 如315Mhz,

至于是滚码的,或固定码的都可以, 这个不是重点。

现在的实验目标是要攻击瘫痪A的无线遥控器,原理是利用B的遥控器来干扰A的正常接收。

a) B 的遥控器先接近 A 的车,

b) B 遥控器先按键,任何一键, 只是要发射干扰的无线信号而已,

c) 然后A 站在比B远几米,(目的是要B的信号比A强) ,A试图要解防或设防,

d) 但是A 发现操作失效,没有动作, 一直到B 放开, 停止发射, A 才能再次操作。

一样的原理, 攻击所谓牢不可破的无线保安系统, 瘫痪一个很短的时间, 再破坏主机系统。

电话线, 用cutter 剪掉。。 内部的GSM 开始拨号报警, 但是GSM 发现没有信号, 因为, 同样的原理, GSM 也被JAM 了。。

还有一个很可恶的,就是恶作剧 (BUG)。

比如有人有事没事去JAM/BUG 一下, 让母机长时间ping不到子机, 母机一定报警的(误报)。。你是使用者,会被吓死~ 但你能怎样?

好了,。。 无线alarm, 比较建议用在一些保安性要求不高的地方。。。

是否安全可靠呢?那么多的优点, 只是一个缺点,不可以接受吗?

如果已经买了, 怎么办?自己骗自己说还是很安全可靠的?(阿Q一番)没有人会那么无聊去JAM 你, BUG 你, 那么就Ok了。

结果是怎样, 大家自己心里有数吧~

我们站在电子技术的角度来讨论。。

假设是你是电子设计师, 问问你自己,你能设计一款不能被破解的无线保安系统吗?

我想, 应该没有办法。。我们只能在设计上多下功夫。。

无线保安系统的子机, 都是用电池操作的, 设计时,还要考虑到电池的寿命。。

在发射的时候, 是最耗电, 但是发射的时间要短, 可能少过100ms, 和母机交换一次资料。

频率高的话,data rate 可以更快, 更短的时间完成。

使用868Mhz 的频率, 可以最省电, 因为穿透力强, 增加了使用覆盖范围。

母机, 每分钟ping 一次子机, 或更频密的ping, 都没有太大的好处。。

为什么我这么说?你ping到很频密, 很耗电, 电池很快耗尽。。

还有你ping 子机10次, 你要求子机回复10次吗?

如果, 少过10次怎么办? 母机立刻认为子机被攻击, 而马上报警吗?

怎么有可能100%的通讯质量?不是100%时, 怎么办?

母机在ping 子机, 什么条件下才会报警?

子机的感应器 ,如果感应到了, 就会主动联系母机, 但是, 如果被Jam, 母机没有回应, 而稍后感应器又恢复了正常,子机还会继续通报母机吗?还是做罢? 这就要看设计者了。。

跳频 (hopping frequency), 母机和子机之间的频率, 不是固定不变, 而是会自动换频率的, 或说成换频道ch。

为什么要hopping freq?如果, 有两个子机同时要上报母机, 如果是一样的频率, 就会互相干扰。。又或者有多过一套系统在操作,比如你的邻居也在使用同样的系统, 所以会设计成自动选择使用不同的频率。。

母机, 在没有ping子机时,是一直不断的在scan 的。。。

433.125Mhz

433.130Mhz

433.135Mhz

。。。

可以分成很多频道ch , 如果那个频道被占用, 就换频道。。。看设计者是如何设计。

那么, 如果有人想,我都不知道正确的频率, 怎么会被Jam/Bug呢?

其实, 只任何的频率接近,或靠近子机,只要发射的功率够大的话,基本上什么频率都就是直接被JAM了。。。

在具体的, 就不讨论了。。。

好了。。 怎么避免恶作剧的?

比如有人有事没事去JAM/Bug 一下, 给你的主机乱报警?你是使用者, 你能怎样?

没有办法。。或我想不到。。这是无线保安系统最大的败笔吧。。。

http://cforum.cari.com.my/forum.php?mod=viewthread&tid=2334156&page=1#pid87755925

66 views0 comments

Recent Posts

See All
bottom of page