Embed Size (px)
Citation preview
Kandidatuppsats IT-forensik och informationssäkerhet 180 hp
Relay-attacker
Utnyttjande av trådlösa bilnycklar
Digital forensik 15 hp
Halmstad 2019-06-09
Anton Marklind och Simon Marklind
Relay-attacker
Utnyttjande av trådlösa bilnycklar
Anton Marklind och Simon Marklind
Teknologie Kandidatuppsats
Akademin för informationsteknologi
Högskolan i Halmstad
9 juni 2019
c© Anton Marklind och Simon Marklind 2019Akademin för informationsteknologi
Högskolan i Halmstad
ii
Förord
Kandidatarbetet är utfört vid Högskolan i Halmstad under vårterminen 2019.Vi vill tacka vår handledare Cristofer Englund som gav oss tips hur vi skullegå till väga, och ett stort tack till Per-Olof Karlsson för sin tid för att fåoss på rätt spår inledningsvis. Vi vill även tacka alla ägare vars bilar somvar involverade i de utförda experimenten. Utan er hade denna uppstats intevarit möjlig.
Anton Marklind, Simon MarklindHögskolan i Halmstad, 9 juni 2019
iii
SammanfattningBilen är en av de saker som många människor använder dagligen
och för att underlätta användandet kommer det hela tiden nya funk-tioner som underlättar användandet. Ett exempel är trådlösa nycklar.Många moderna bilar använder en teknik som kallas för “keyless” vilketinnebär att bilnycklarna under intervaller sänder ut radiosignaler. Detger en möjlighet att inte behöva hålla i nyckeln när bilen ska användasoch bilägaren har det lättare att öppna bilen och lasta in saker, utanatt aktivt behöva använda nycklen.
Men är det tillräckligt säkert med helt trådlösa nycklar? Signaler-na är öppen för alla som kan avlyssna dem. Signalerna mellan bil ochnyckel skickas trådlöst och obehöriga kan lyssna av innehållet. I dettaprojekt undersöker vi möjligheten att spela in signalen och därefterspela upp den igen i syfte att låsa upp en bil, utan tillgång till denverkliga nyckeln. Vi utför experiment på X fordon, med olika nycklaroch olika signalfrekvenser. Om det är öppet för alla borde det ock-så gå att spela in dessa signaler och sända ut dem med hjälp utaven radiosändare. Det kallas för en relay-attack och där kommer syftetmed detta arbete, nämligen en studie om hur attackerna går till ochhur enkelt det egentligen är att göra dem själva. Samt att ett experi-ment utförs på en mängd olika bilar med olika typer av bilnycklar medvarierande frekvenser.
v
AbstractOn a daily basis the car is frequently used, and a lot of people are
in need of their cars. New technologies are developed to make it easierfor car owners to unlock the car and drive away without making theeffort of using the car keys. A technology called “keyless” car keys areimplemented in modern cars, the car keys sends out radio frequenciesin an interval on a couple of seconds.
But is a complete wireless key system secure enough? The radiosignals are open to whoever wants to listen to them, and that couldhave devastating consequences. If it is open to everyone, then it shouldalso be possible to record these signals and send them out using a radiotransmitter. It’s called a relay attack and the purpose of this report isto get broader perspective of how an attack like that works and howeasy it is to execute the attack. The experiment was performed ondifferent types of cars and their keys with varying frequencies.
vii
Innehåll1 Introduktion 1
1.1 Inledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Bakgrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 Problemställning 32.1 Problematisering . . . . . . . . . . . . . . . . . . . . . . . . . 4
3 Metod 53.1 Litteraturundersökning . . . . . . . . . . . . . . . . . . . . . . 53.2 Experiment . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53.3 Alternativa metodval . . . . . . . . . . . . . . . . . . . . . . . 63.4 Etiskt ställningstagande . . . . . . . . . . . . . . . . . . . . . 6
4 Teori 74.1 Relay-attacker . . . . . . . . . . . . . . . . . . . . . . . . . . . 74.2 Nycklar och sensorer . . . . . . . . . . . . . . . . . . . . . . . 8
4.2.1 Keyless . . . . . . . . . . . . . . . . . . . . . . . . . . 84.2.2 Fjärrnycklar . . . . . . . . . . . . . . . . . . . . . . . . 9
5 Möte med bilhandlare 11
6 Experiment 136.1 Förberedelse för experiment . . . . . . . . . . . . . . . . . . . 13
6.1.1 Problem med hårdvara och mjukvara . . . . . . . . . . 136.1.2 Experiment Med HackRF One . . . . . . . . . . . . . . 146.1.3 Etiskt Förberedelse . . . . . . . . . . . . . . . . . . . . 18
7 Resultat 197.1 En färdig enhet . . . . . . . . . . . . . . . . . . . . . . . . . . 197.2 Experiment på bilar . . . . . . . . . . . . . . . . . . . . . . . 19
7.2.1 Ford Mondeo Mk III årsmodell 2003: . . . . . . . . . . 197.2.2 Ford Mondeo Mk IV årsmodell 2008: . . . . . . . . . . 207.2.3 Saab 9-3 2.0T Polar årsmodell 2003 . . . . . . . . . . . 217.2.4 Ford Galaxy årsmodell 2006 . . . . . . . . . . . . . . . 227.2.5 Volvo 850 årsmodell 1996 . . . . . . . . . . . . . . . . 227.2.6 Mazda CX-3 årsmodell 2015 . . . . . . . . . . . . . . . 227.2.7 BMW e39 540i årsmodell 2001 . . . . . . . . . . . . . . 227.2.8 Volkswagen Golf sportkombi årsmodell 2014 . . . . . . 23
8 Diskussion 25
ix
8.1 Trådlösa nycklar . . . . . . . . . . . . . . . . . . . . . . . . . 258.2 Experimentdiskussion . . . . . . . . . . . . . . . . . . . . . . . 258.3 Etiskt tänkande . . . . . . . . . . . . . . . . . . . . . . . . . . 268.4 Framtida arbeten . . . . . . . . . . . . . . . . . . . . . . . . . 26
9 Slutsats 27
Litteraturförteckning I
x
Figurer1 PKES attack . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 En RKE attack . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Frekvens för Ford Mondeo Mk III . . . . . . . . . . . . . . . . 154 Frekvens för Ford Mondeo Mk IV . . . . . . . . . . . . . . . . 165 HackRF One . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 Topologi för experimentet . . . . . . . . . . . . . . . . . . . . 187 Inspelad Complexfil till Ford Mondeo Mk III . . . . . . . . . . 208 Inspelad Complexfil till Ford Mondeo Mk IV . . . . . . . . . . 21
xi
Definitioner
Man-in-the-middle
En attack där angriparen avlyssnar kommunikationen mellan två parter ochkan ändra informationen som skickas. Detta sker utan de båda parterna ärmedvetna om det.
Replay-attack
En replay-attack är när en obehörig användare sparar den information somskickas, för vid ett senare tillfälle skicka det vidare till sitt ursprungliga mål.
Open source
Öppen källkod eller data som är tillgängligt för alla att använda, förbättra,inspektera och modifiera till att den passar användarens ändamål. Det kanvara olika mjukvaror eller tillägg till program.
Keyless
Ett nyckellöst elektroniskt lås som styr åtkomsten till en byggnad eller ettfordon, utan att använda en traditionell mekanisk nyckel eller knappar föratt öppna trådlöst. Är korrekt nyckeln inom räckhåll för mottagaren kommerlåset att öppnas.
Fjärrnycklar
En trådlös enhet med knappar som skickar information trådlöst till en annanmottagare. Fungerar som en fjärrkontroll till en TV fast det är en bilnyckel.
RFID
En teknik som kommunicerar med enheter på nära håll. T.ex. ett kreditkortkan hållas upp mot en kortläsare i en butik och betala utan att slå in kortkod.
xiii
1 Introduktion
I det här kapitlet ges en introduktion till ämnet och begreppet relay-attackerförklaras och sätts in i ett sammanhang. Därefter ges en bakgrunsdbeskriv-ning om vart tekniken kommer ifrån.
1.1 Inledning
Teknikutvecklingen drivs till stor del av förse marknaden med lättillgängli-ga produkter och tjänster. Allt mer blir trådlöst och kan styras på distans.Det implementeras Radio-Frequency IDentification (RFID) i kreditkort ochmobila enheter för att underlätta väldigt mycket vid betalningar i butiker.Nycklar som har RFID som kan öppna dörren till trapphuset, eller en bil-nyckel som låser upp bildörren när den kommer tillräckligt nära bilen. Detär väldigt smidigt att inte behöva ta upp nycklarna för att låsa upp bilen[1]. Elektronik och i synnerhet kommunikation är sårbar och behöver någontyp av skydd för att hindra obehöriga att komma åt informationen som kom-municerar. För vad skulle hända om någon lyckades att kapa signalen somnycklarna skickar ut och använder sig av dem för att få tillgång till en bileller byggnad? Det kan få förödande konsekvenser och drabba de inblandadepå flera olika sätt. Deras integritet och ekonomi kan bli påverkad t.ex. om detfinns andra personliga saker i fordonet, som körkort, husnycklar och viktigadokument. Är personen inom militären kan det leda till att statshemligheterläcker ut. Bilstölder med hjälp utav den typen av teknik har ökat väldigtmycket de senaste åren [2].
Ett tyskt företag testade att lura olika bilar genom att utföra relay-attacker. De testade att manipulera signalen mellan nyckel och bil för attutföra relay-attacker. De lyckades lura 230 av 237 fordon endast med hjälpav en inspelad signal [3, 4]. Företaget rapporterar att det tog mellan någrasekunder upp till en minut att öppna bilen med den manipulerade signalen.En enhet som fångar upp signalen från nyckeln och en annan enhet som taremot signalen och skickar vidare den till bilen för att låsa upp den. Enhe-terna manipulerar bilen att tro att nyckeln är i närheten. och det är därförbilen låser upp dörrarna [5]. Det rapporterades att England och Wales varhårt drabbad av dessa attacker. I en undersökning kom det fram att över113,037 bilar under året 2018 hade blivit stulna i denna typ av attack vilketär en ökning med 9% sedan tidigare år [2]. Men Sverige är inte heller befriatfrån bilstölder. Det framkommer att 2016 och 2017 års siffror över antaletbilstölder var rekordhöga [6].
1
1.2 Bakgrund
Det franska bilföretaget Renault lanserade och massproducerade en bil år1982 som kallades Renault Fuego, den hade en teknik vid namn RemoteKeyless Entry-systemen (RKE) som är grunden till den teknik som användsi dagens bilar och bilnycklar. Renault använde sig av en trådlös teknik ba-serad på infraröd strålning istället för readiofrekvenser [7]. Renault var föresin tid med fjärrnycklar och det dröjde ända till av 1990-talet som andrabilföretag började implementera denna teknik i sina egna bilar. För att säkraatt signalen kom fram bekräftades det visuellt via indikatorlamporna ellerakustiskt via hornet [8]. De första fjärrnycklarna hade ingen kryptering i sigalls och de sände ut alla signalerna helt öppet. Men i dagens bilar skickar allabilar och nycklar signaler med någon typ av kryptering. Men alla signaler ärinte helt säkra heller. Det finns metoder för att avlyssna och utnyttja sårbar-heter med signalerna. Dessa sårbarheter är det som utnyttjas i relay-attacker,vilket blir alltmer vanligt.
Relay-attacker är en sorts attack mot enheter som påminner om man-in-the-middle och replay attacker. Den avlyssnar och läser av signaler mellanenheter för att sedan själv kunna skicka den vidare. Om en inspelning av enviss signal spelas upp i närheten av en enhet kan den uppfatta att det är denäkta enheten som skickar information [9]. Det har använts vid flera tillfällenmot bilar och dess svagheter. Det har framkommit att kriminella ligor harmed hjälp av relay-attacker lyckats göra inbrott i bilar och kör iväg med dem[10].
2
2 Problemställning
Vad som har upptäckts är att det kan gå mycket snabbt att hitta och förlängasignalen ifrån den originella sändaren, men det krävs sofistikerad teknik.Därför utfördes ett försök att återskapa experimenten som framkommit undersökningar på attacker. Det diskuterades vart gränsen för budgeten skulle liggapå. Den tänkta budgeten som bestämdes var på 2000 kr.
Det förekommer att många av de trådlösa nycklarna till bilen innehållerkrypterade koder för att kommunicera med bilen. Detta är dock inte någottilläckligt skydd, eftersom det finns flera tester hur en eller flera personer tarsig in i bilarna och eventuellt starta dem för att sedan köra iväg. Men detfinns redan flera artiklar [6, 11, 12] som tar upp detta och visar hur det gårtill. Men syftet med detta projekt var inte att leta efter ett sätt att förhindradessa attacker, utan att ta reda på hur lätt är det att genomföra en attack.Samtidigt att ta reda på om det är svårt att skapa sin egna relay-enhet tillett lågt pris.
Redan 2010 gjordes experiment för att ta reda på om det var möjligt atten relay-attack kunde användas som hjälpmedel för att ta sig in i en låstbil utan nyckel [5]. När ADAC rapporterade om att nästan alla fordon demtestat inte var tillräckligt säkra, kom de fram till att det var möjligt att utföraattacken med hjälp av två enheter på ett värde av 225 dollar. Ett par forskareifrån Kina hade också lyckats med en attack som gav dem tillträde till enbil ifrån Tesla. Forskarna lyckades med hjälp av två egentillverkade enheterav ett värde på 22 dollar att utföra en attack [12]. Det betyder att det fannsen möjlighet för experimentet att lyckas med låg budget, men det förekomväldigt tidigt att utan kunskap fanns en risk. Brist på kunskap kring antenner,kretskort och programmeringsspråk för dessa kretskort, gjorde det mycketsvårt att eventuellt tillverka en egen enhet. I början av arbetet saknadesförståelse för tekniken. Men under tidens gång samlades det in tillräckligtmycket information innan genomförandet av experimentet.
Ett viktigt krav under detta arbete var självklart det moraliska och etiskaaspekterna. Innan experimentet påbörjades var det viktigt att alla som ärinvolverade har gett samtycke och skriva sin underskrift på ett kontrakt attde har godkänt riskerna. Dessa punkter bestämdes som milstolpar att utgåifrån, för att besvara de problem som framkommit:
• Går det att tillverka en relay enehet för samma eller mindrebudget som tidigare arbete? Hur lätt är det att få tag i färdigaenheter?
3
• Vilken är den exakta frekvensen som trådlösa bilnycklar an-vänder? Finns det en standard? Använder alla bilar samma eller är deolika?
• Går det öppna en bil utan nyckel och inga speciella förkun-skaper? Vad krävs för att lyckas?
Forskare kan ha möjligheten till att bygga egna enheter som eventuellt kanvara billigare än att köpa en fördig enhet. Forskare kan ha mer tid i derasuträkningar och högre budget för att uppnå ett intressant resultat. Det be-hövs mer kunskap än budget för att bygga en enhet som har de nödvändigafunktioner för att lyckas. Kostnaden av hårdvara kan öka beroende på behov.För att hårdvaran ska klara att utföra dessa experiment.
2.1 Problematisering
Metoderna som har använts i tidigare arbeten har varit till hjälp för attstrukturera arbetet i rapporten. Men i de tidigare experimenten ligger detstörre företag och forskare bakom arbetet. Problem som kunde uppstå var attexperimentet inte skulle få ut det förväntade resultatet. Det kunde leda till attexperimentet behövdes genomföras på ett annorlunda sätt än beräknat. Detär ett känsligt område för att det är olagligt att återanvända nyckelsignalenmed brottsliga ändamål, vilket gör att det inte finns information hur exaktutförandet på dessa experiment går till.
4
3 Metod
Baserat på vad ämnet handlar om har tankar om vad som har gjorts för attfå ett bra resultat diskuterats. Det fanns mycket att läsa om problemen somexisterar och hur åtgärder kan implementeras. Därför togs ett beslut om attmetodvalet var en litteraturstudie samt att ett experiment genomfördes. Detmetodvalet var det bästa sättet att ta reda på eventuella lösningar och svarpå den existerande problemställningen.
Med funktionell utrustning för att genomföra relay-attacker behövde viäven att ta reda på vad som är kompatibelt med utrustningen och hur myckettid som krävdes för varje steg. Utrustningen som behövdes var; minst en enhetsom både kan skicka och ta emot signaler och självklart samtycke från ägarnatill fordon som är med i testerna.
3.1 Litteraturundersökning
För att undersöka och ta reda på hur enkelt och hur mycket det kostar attmed hjälp av en viss typ av utrustning som kan ge tillgång till en eller flerabilar som använder fjärr- eller keyless-nycklar, behövdes det ny kunskap samtatt lära sig nya program och konfigurera enheter. Kunskapen intogs genomartiklar och konferenser från giltiga källor som underlättade genomförandetav experimentet.
Det finns flera experimentartiklar som förklara grunden till hur en relay-attack går till och hur lång tid det kan ta att utföra en sådan attack. Detexisterar en del artiklar där forskare har genomfört olika typer av relay-attacker. Forskarna förklarar också vilka frekvenser dem har använt för attkommunicera mellan bilarna och nycklarna [5, 13].
3.2 Experiment
Ett Experiment genomfördes med hjälp av en färdigbyggd enhet som avlyss-nar, spara och sänder ut radiovågor mellan 10MHz och 1GHz. Denna enhetvar kopplad till en bärbar dator med operativsystemet Windows 7 och pro-gram som var baserade på att hantera radiofrekvenser. En mer detaljeradeexperimentuppställning redovisas i kapitel Experiment. Experimentet foku-serade på att spela in signaler från trådlösa nycklar. De tekniker som nämnsofta när det gäller bilnycklar är fjärrnycklar och keyless-nycklar. Experimen-tet utfördes i riktning mot fjärrnycklar.
5
Första steget i experimentet var att söka efter signaler och kopiera dem.Efter signalerna är sparade gjordes det ett försök att skickad ut samma sig-naler igen.
3.3 Alternativa metodval
Ett experiment var det ett stort fokus på. Det fanns flera alternativ på hurexperimentet kunde gå till. Ett av alternativen var att bygga en egen enhetsom kan spara, kopiera och skicka ut radiosignaler. Då det fanns en storbrist på kunskap med att tillverka enheter. Därför bokades ett möte medPer-Olof Karlsson som är en av dem ansvariga för Elektronikcentrum (ECH)på Högskolan i Halmstad.
3.4 Etiskt ställningstagande
Rapporten innebar att det skulle ske tester på olika bilars säkerhetssystem förde trådlösa nycklarna. Därför betraktas all information ifrån experimentensom mycket känslig och kritisk information. Därför var etik och moral viktigakrav för varje utfört experiment. Det var flera privatägda bilar och därförutfördes experimenten endast med ägarens godkännande. Den informationsom har publiceras fick endast göra det om personen gav sitt samtycke.
6
4 Teori
I det här kapitlet kommer en del av de tekniska termerna av rapporten attbeskrivas hur de fungerar. Samt vilka skillnader det är på de trådlösa nyck-larna.
4.1 Relay-attacker
En relay-attack går att göra på flera olika sätt. Ett sätt är att någon avlyssnaroch spelar in signaler som innehåller koder mellan bilnycklar och bilar, för attsedan spela upp signalerna igen och få tillgång till bilarna. Ett annat sätt äratt använda sig av minst två enheter och förlänger signalen från bilnyckeln tillbilen. Den första metoden går ut på att avlyssna på ett specifikt frekvensbandsom bilnycklar använder sig utav. Med hjälp utav en enheten som har enantenn som kan skicka och ta emot radio signaler [14].
Det finns en signal för att låsa och en annan för att låsa upp bilarna, senfinns det de bilar som har en annan signal för att starta motorn. Upptäckerenheten en signal från en bilnyckel går det att spela in den och spara tillsenare. För att ta sig in i bilen vars nyckel som är inspelad är det bara tillatt sända den signalen i närheten av bilen. Reagerar bilen på den skickadesignalen kommer bilen att låsa upp dörrarna för att den fick en matchandesignal. Men är det en modernare bil går det i de flesta av fallen inte attåteranvända den inspelade signalen, den är förbrukad och värdet som är doldi signalen stämmer inte längre med vad bilen frågar efter [15].
Den andra metoden fungerar endast på moderna bilar där nycklarna ärkeyless, för att det behövs minst två enheter där en av enheterna är i närhetenav nyckeln och den andra är vid bilen. Den enheten som är i närheten avnyckeln avlyssnar efter nyckelns frekvens, när frekvensen är hittad kommerenheten att förlänga signalen till den andra enheten vid bilen. Enheten vidbilen kommer att skicka ut bilnyckelns signal och vänta på ett svar ifrån bilen.Hittar bilen signalen kommer den att låsa upp dörrarna och det är fritt framatt gå in i bilen. Den enheten vid nyckeln måste flyttas tills den tapparsignalen för att sedan återvända tillbaka till samma position för att plockaupp en ny signal, detta görs för att enheten som nu är i bilen förlänger bilenssignal för att starta motorn. Bilen frågar efter startfrekvensen av nyckeln ochenheterna samarbetar med att förlänga signalerna till varandra. Efter någraförsök kommer bilen att hitta rätt signal och det ger en möjlighet att startamotorn [16].
7
4.2 Nycklar och sensorer
315 MHz är för amerikanska standarder medan 433 MHz och ibland 868MHz är asiatiska samt europeiska standarder [8, 5, 17]. Det är vanligt attett av dessa frekvensband står skrivet inne i själva nyckeln. En nyckel medknappar som både låser och låser upp bilen måste kunna vara inom räckhålltill bilen. Räckvidden är olika beroende på bil och bilnyckeln. En bils sensorkan variera beronde på vilket bilmärke och modell som bilen tillhör. En delbilar har sensorer på långsidorna av bilen och vid bagageluckan, andra bilarkan ha sensorer runt hela bilen.
4.2.1 Keyless
Är det en nyare bil med en nyckel som har funktionen keyless behövs det baraatt sensorerna upptäcker nyckeln. Bilen kan i sin tur skicka information ochinvänta svar från nyckeln. Det sitter sensorer runt bilen som ska registreranär en nyckel är i närheten, om en nyckel hittas kommer bilen att låsa uppdörrarna när handtaget vidrörs [5, 18].
En keyless-nyckel är utrustade med Passive Keyless Entry and Start-system (PKES) som förlitar sig helt på dubbelriktade krypteringsutmaningaroch responser också kallat “bidirectional challenge-response scheme”. Dennautmaning har ett arbetsområde på cirka en meter. När nyckeln kommer inomdetta område svarar nyckeln på bilens utsända utmaning med ett kryptogra-fiskt svar. Om svaret är giltigt kommer bilen låsa upp dörrarna, samt stängaav larmet och eventuellt aktivera motorn vid start. En nackdel med dettaär att om nyckeln slutar att fungera eller dess batteri tar slut måste nyckelnöppnas upp för att eventuellt plocka fram en mekanisk nyckel. I vissa fallsitter det ett skydd över nyckelhålet i bildörren som måste monteras bortför att kunna använda den mekaniska nyckeln. Vanligtvis finns nyckelhåletbakom ett plastlock på förarsidan. PKES kräver inte någon knapptryckningifrån användaren även om möjligheten finns för att initiera kryptografiskaberäkningarna och signalöverföringar [19]. På grund av detta kommer detfram svagheter i säkerheten vilket lockar fram försök med relay-attacker. Attfå tag i dessa verktyg som användes för relay-attacker finns att få tag på iolika e-handelsbutiker [8, 17, 20]. I Figur 1 visas en topologi hur en PKESattack kan gå till.
8
Figur 1: En PKES attack utförs med hjälp av två enheter. Dessa enheterkommunicerar med vara andra och skickar den information de kommer åt.De gröna pilarna är den informationen som enheterna kommer åt från dentrådlösa nycklen och fordonet. De röda pilarna är den informationen somskickas från enheterna till den trålösa nycklen eller bilen. De svarta pilarnaär informationen som skickas mellan de båda enheterna.
4.2.2 Fjärrnycklar
RKE är beroende av en enkelriktad dataöverföring från den trådlösa nyckeln.När en knapp på bilnyckeln används aktiveras radiofrekvensens sändare i dentrådlösa nyckeln. Nyckeln genererar vanligtvis signaler i ett fritt användbartfrekvensband i de frekvensområden som tidigare nämnts. Arbetsområdet somsignalen skickas ut på kan röra sig mellan någon enstaka meter upp till tiotalsmeter [21].
RKE system gör det möjligt för användaren att bekvämt låsa och låsa uppfordonet från ett avstånd. Systemet kan användas till att slå på och stängav bilens alarm när nyckeln är inom räckhåll. De första trådlös nycklarnaför bilar brukade inte innehålla någon kryptering. De signaler som skicka-des var en “fix-kod”. En fix-kod är en krypterad nyckel som inte byter kod.Relay-attacker på dessa system är enkla till skillnad från nästa generation avRKE-system som är ett rullande kodsystem [22]. Dessa signaler är krypteradeoch använder sig av ett motvärde som ökar med varje knapptryck. Efter bi-len dekrypterar/verifierar motvärdet kontrolleras det genom att jämföra det
9
nya värdet med den senaste lagrade motvärdet som accepterades. Ett ökandemotvärde anser bilen vara en accepterad signal och lyssnar på nyckelns för-frågan. Denna teknik utgör ett effektivt skydd mot replay-attacker eftersomredan använd krypterad kod inte längre gäller. När koden har mottagits avbilen går den specifika signalen inte använda igen [17, 20, 8]. I Figur 2 visasdet hur en RKE attack kan gå till.
Figur 2: En RKE attack utförs med hjälp av en enheter. Enheten tar in-formation den kommer åt från den trådlösa nycklen och skickar den vidare.Fordonet kollar om den informationen den tar emot stämmer med de kravende ställer med N. Om kraven inte uppfyller kravet kommer fordonet inte låsaupp. Händer detta kommer denna process börjas om tills det lyckas. Närkraven uppnås kommer fordonet dörrar låsas upp.
10
5 Möte med bilhandlare
Under rapportens gång kontaktades Bilmånssons bilhandel i Halmstad, Sve-rige. För att diskutera frågor kring vissa tekniska detaljer. Vi träffade Mikaelsom jobbade på kundmottagningen och Tim som var en av biltekningerna påverkstaden. Termen relay-attacker var okänd och behövdes förklaras. Mikaelkunde bekräfta att en keyless-nyckel är uppdelade i två system. Ett systemför att starta bilen och den andra för att öppna dörrar. Detta är för att omett system skulle bli utsatt för en attack kommer inte det andra systemetpåverkas. Det är också därför det är mycket svårare att attackera systemetsom kontrollerar startferkvensen. Mikael menar att biltilverkarna prioriterarsäkerhet för att starta bilen mycket högre än systemet för att öppna dör-ren. “Du kan uppnå samma resultat med att ta en sten och slå mot rutan”.Självklart är det viktigt för biltilverkarna att alla system är säkra.
När de tekniska detaljerna diskuterades hänvisade Tim till sekretess ochföretagets policy att inte diskutera säkerheten hur det tekniska säkerhetssy-stemet fungerar. Utan han kunde bara bekräfta vissa händelser som hadeskett under experimenten i rapporten. Ett exempel var att vissa nycklar slu-tar fungerar efter batteribyten men det beror helt på vad biltillverkaren harför riktlinjer eftersom det inte förekommer på alla bilmärken eller modeller.Tim kunde berätta att dem för några års sedan haft problem med säkerhe-ten i nycklarna på en av de bilmärken dem underhåller. Tim gick inte in påvilka modeller eller årsmodeller det gällde men att det var vid flera tillfällenbilarna var inne på verkstad pågrund av attacker mot nycklar.
11
6 Experiment
DEtt experiment utfördes för att underöka om det går att avlyssna på olikabilnycklars signaler till att låsa upp bilarna och sedan spela in dessa signalerför att sedan sända ut radiosignaler med hjälp av en transmitter. För att ge-nomföra experimentet behövs utrustning som kan skicka och ta emot signalersamt att spela in signaler inom ett visst frekvensband. Alla bilnycklar haren frekvenstandard som ligger runt 433MHz och ibland 868 MHz men dettagäller bara Europa och Asien. För i Amerika är det en standardfrekvens på315MHz [5, 17]. Ett lyckat experiment i den här rapporten betyder att entrådlös nyckel har blivit inspelad, sparad på datorn och sedan använts föratt öppna de låsta bildörrarna på bilen den trådlösa nycklen tillhör.
6.1 Förberedelse för experiment
I detta kapitel förklaras de förberedelserna som gjordes innan något expe-riment kunde utföras. Eftersom experimenten sker på andra personers bilarvar de etiska förberedelserna mycket viktiga. Ingen av experimenten skeddeutan ett skriftligt godkännande ifrån ägarna.
6.1.1 Problem med hårdvara och mjukvara
För ett experiment fysiskt skulle kunna utföra fanns vissa krav. Alla enhetervar tvungna att vara mobila för att utföra experimenten. Det fanns möj-lighet till Android baserade smartphones, men dessa applikationer var inteanvändarvänliga och saknade många egenskaper för att utföra experimen-ten. Stationära datorer är inte ett mobilt alternativ och därför blev de ocksåuteslutna. Därför var bärbara datorer det enda alternativet. Experimentenutfördes på en Asus x550cc Notebook med operativsystemet Windows 7 Ul-timate 64-bit. Målet var att försöka nå ett resultat med en låg budget. Mendet var svårt att säga om det skulle gå på samma låga budget som 22$ vilketmotsvarar ca 206 kr. När letandet efter radiovågs-enheter började fanns detmånga av dem. Många var dock inte lätta att arbeta med enligt recensioner-na. Vissa enheter krävde köp av mjukvara som gick långt över budgeten.
Det slutade med att en enhet hittades vid namn HackRF One via Ama-zon. Priset låg runt 3000 kr vilket var lite mer än vad som var planerat. Dockfanns det många recensioner ifrån Youtube-kanaler, forum, bloggar och ny-hetssidor som påstod att den skulle vara lätt att arbeta med. HackRF Onehar även fått bra betyg från andra köpare. Även Craig Smith rekommenderardenna enhet i sin bok “THE CAR HACKER’S HANDBOOK” [11].
13
HackRF One har stöd för både Windows och Linux baserade operativsy-stem, samt att den är anpassad till flera olika open source mjukvaror som vargratis att ladda ner både på tillverkarens hemsida men även på vissa githubslänkar.
Det fanns fler program till Linux som kunde användas till experimen-tet. En virtuell maskin med Linux Ubuntu, Linux Kali och Linux Pentooinstallerades. Detta visade sig vara ett problem för den bärabara datorn.Datorn var inte den modernaste utan var ifrån 2013. Detta gjorde att dengamla hårdvaran hade svårt att driva linux och de nödvändiga programmensamtidigt. Resultatet slutade alltid med att datorn frös och behövdes star-ta om. Efter flera försök togs beslutet att bara använda Windows baseradeprogram eftersom de var tillräckligt stabila för att hårdvaran skulle kunnautföra experimenten.
6.1.2 Experiment Med HackRF One
Med hjälp av HackRF One enheten gick det att lyssna på signaler från bil-nycklar och lokalisera i vilken frekvens de sänder ut signalerna på. Det förstatestet som genomförde var om HackRF One kunde användas i programmetSoftware-defined radio Console (SDR) för att lyssna efter frekvenser inom ettspecifikt område på 433 MHz. Vi lyckades avlyssna när en nyckel skickade ensignal och det gick att avläsa. Det var på en frekvens som låg på 433.924 MHztill en Ford Mondeo Mk III 2003 årsmodell. Den reagerade väldigt starkt ochgav utslag i programmet SDR vilket visas i Figur 3.
14
Figur 3: Frekvens för Ford Mondeo Mk III. Frekvensen är hämtad från pro-grammet SDR. Figuren visar den exakta frekvensen som bilen använder sigav.
Sedan provades en ny nyckel till en Ford Mondeo Mk IV 2008 årsmodell.Den visade också upp på frekvensbandet men denna skiljer sig ifrån den förra.Denna gången var inte signalen på en specifik frekvens utan den sände ut påflera frekvenser mellan 433MHz och 434 MHz. När den tidigare nyckeln tillFord Mondeo Mk III bara hade en fast frekvens, hade den nyare modelen 3bestämda frekvenser som ytligare delade sig vilket visas i Figur 4.
15
Figur 4: Frekvens för Ford Mondeo Mk IV. Frekvensen är hämtad från pro-grammet SDR. Figuren visar frekvensbandet som bilen använder sig av. Istäl-let för en specifik frekvens är informationen uppdelad till tre olika delar avfrekvensbandet.
Med detta bevisades att det gick att hitta de frekvensband som nycklarnasänder ut på. För att säkerställa att den inköpta utrustning fungerade attsända signaler på bestämd frekvens, valdes en radiofrekvens ifrån en svenskradiokanal. Den valda radiokanalen spelades in i några sekunder för att skrivadatan till en ljudfil. Sedan spelades ljudfilen upp på en annan radiofrekvenssom det inte fanns någon kanal på. I detta fall på frekvens 88.0 MHz. Detvisade sig att bilens radio hittade signalen och det gick att konstanterna attenheten som experimentet använder sig av fungerar som planerat. Det gåratt spela in en vald frekvens och även spela upp igen på en ny vald frekvens.
För att spela in ljudsignalen användes programmet SDR (version 3.0.5)för Windows 64 bit [23]. I programmet skulle den använda enheten ställas inoch sedan skulle frekvensen manuellt skrivas in. I detta fall är den valda en-heten en HackRF One med ett frekvensband mellan 10MHz och 6 GHz. Menden valda antennen har en frekvens mellan 10MHz och 1 GHz vilket i dettafall skulle räcka både för svenska radiofrekvenser till olika kanaler och för defrekvensband som de trådlösa nycklarna för bilar sänder på. För att sändaut på den valda frekvensen användes programmet Universal Radio Hacker(URH, version 2.5.7) för Windows 64-bit [24]. I detta program användes deninspelade ljudfilen som bas för den valda sändaren.
När enheten var vald skulle det bestämmas en frekvens som ljudfilenskulle spela på. Det blev 88.0 MHz för att det fanns inte någon radiokanalsom sänder på den frekvensen. Enheten HackRF One visas i Figur 5.
16
Figur 5: HackRF One. Detta är enheten som används i experimentet för attspela in och spela upp radio signaler. På vänstar sidan finns det ett uttagdär en antenn har monterats. Denna antenn har ett frekvensband mellan10MHz till 1GHz. PÅ högra sidan av enheten finns det två uttag för ytligareantenner. De båda uttagen har var sitt rött plastskydd.
För att lära sig de båda programmen följdes instruktionvideos från youtube-kanalerna SevenFortyOne och Johannes Pohl. Det krävs flera inställningarsom måste göras för en bra kommunikation mellan programmet och HarkRFOne enheten. Att följa deras instruktioner gjorde processen mycket lättare,även om de använde sig av en annan enhet [25, 26, 27]. När alla förberedel-serna inför experimentet var gjorda kunde det se ut som den här topologinsom visas i Figur 6.
17
Figur 6: Topologi för experimentet. Denna topologi består av en bärbar datorav märket Asus, enheten HackRF One, Micro-USB kabel kopplad mellandatorn och enheten, två nycklar för Ford Mondeo Mk III och två nycklar förFord Mondeo Mk IV.
6.1.3 Etiskt Förberedelse
För att experimenten skulle gå etiskt rätt till skulle bilägaren läsa igenom ettskrivet avtal. I detta avtal förekom det att det finns risker med relay-attackerpå de trådlösa nycklarna, risker som kunde göra nycklarna obrukbara. En-dast om ägaren till bilen gick med på alla punkter i avtalet kunde experimentpåbörjas. För att inte av misstag spela in andra bilars signaler gjordes endastinspelning inne i ett hus eller i en lägenhet. I bostäderna kunde det säkerstäl-las att endast den valda signalen spelades in. Uppspelandet skedde endastnär det inte fanns några andra i närheten som kunde påverka experimentet.När ett experiment var slutfört fick ägaren själv radera inspelningen för attsäkerställa att datan raderades.
18
7 Resultat
7.1 En färdig enhet
I början av denna rapport var idéen att bygga en egen enhet för att utföraexperimentet. Det visade sig vara något som skulle ha varit mycket tidskrä-vande samt väldigt svårt att utföra, eftersom det inte fanns någon tidigareerfarenhet av att programmera kretskort. Per-Olof Karlson var klar och tyd-lig med att idéen med ett försök till att bygga en egen enhet var tidsmässigtförsent. “Vill ni uppnå ett fungerande resultat med en egen byggd enhet? Dåskulle ni börjat redan för ett halvår sedan”. Per-Olof menar eftersom det intefanns någon tidigare erfarenhet skulle det ta för lång tid att lyckas. Samtidigtskulle det inte finnas någon garanti att enheten skulle fungera om den blevklar. Efter mötet med Per-Olof var det klart att om ett experiment skullelyckas skulle det ske med hjälp utav en färdigbyggd enhet.
7.2 Experiment på bilar
Från början av projektet fanns det tillgång till två bilar. En Ford MondeoMk III och en Ford Mondeo Mk IV. Dessa två bilar blev grunden till hurett experiment skulle stuktureras och vilka moment som behövde göras föratt det skulle gå till på ett säkert sätt som möjligt. Dessa bilar ägdes avoss själva och behövdes inget skriftligt avtal för att experimentera på. Deövriga bilarna ägs inte av oss, därför kommer endast inspelningar av trådlösanycklar ifrån Ford Mondeo Mk III och Mk IV redovisas i rapporten på grundav etiska skäl.
7.2.1 Ford Mondeo Mk III årsmodell 2003:
Innan experimentet började spela in signaler ifrån nyckeln undersöktes in-struktionsboken för bilen om det fanns en möjligthet att programera omnycklen själv utan att gå till en bilhandlare. Mycket riktigt fanns det in-struktioner hur det gick att synkronisera nycklen med bilen [28]. När in-struktionerna var kontrollerade fortsatte experimentet. På frekvens 433.924MHz spelades det in två signaler, en signal för att låsa bilen och den andraför att låsa upp. De två inspelade ljudklippen är i filformatet wav. Det berorpå att det filformatet komprimerar inte själva ljudfilen. När signalerna skul-le börja sändas upptäcktes det att URH programmet bara skickade någonsekund av filen, vilket inte var hela ljudfilens innehåll.
19
Eftersom URH skickade inte hela inspelning provades andra filtyper somprogrammet kunde använda sig av. Filtypen complex var en av dessa filersom programmet använde. Efter en inspelning i det nya filformatet gick detnu att låsa upp Ford Mondeo Mk III med bara en uppspelning av filen.Efter inspelningen var filen förbrukad och kunde inte återanvändas direkt,utan reservnyckeln var tvungen att använda 4 signaler. Dessa signaler kundevara en valfri knapp på nyckeln. Efter dessa signaler var den inspelade filenbrukbar igen. I Figur 7 visas den inspelade complexfilen och den krypteradedatan som skickas i hexadecimala talsystemet.
Figur 7: Inspelad Complexfil i programmet UHR. Inspelningen är från enFord Mondeo Mk III. De fyra staplarna är informationen som skickas underett knapptryck från den trådlösa nycklen. Det röda är brusreducering
7.2.2 Ford Mondeo Mk IV årsmodell 2008:
För att säkerställa att det gick att göra samma experiment på en nyaremodell av samma bilmärke. Denna bils nyckel skickade ut signaler på treolika frekvenser. Detta gjorde att det inte gick att spela in på en specifikfrekvens utan inspelning fick göras på ett frekvensband mellan 433 MHzoch 434 MHZ för att alla signalerna ska komma med. Denna bil har ävenen keyless-funktion för att starta bilen. URH hittade signalen utan problemoch sparade till en complexfil. När filen spelades upp gick det att öppnadörrarna. Efter detta ville inte bilen kommunicera med nycklen mer och enligtinstruktions boken var nu nyckeln obrukbar [29]. Programmet SDR kunde
20
säkerställa att nycklen fortfarande skickade ut singaler. Eftersom bilen haren keyless-funktion testades även den med bilen. Bilen startade men det gickforfarande inte att låsa eller låsa upp bilen. Detta betydde att en av de tvåsystemen var obrukbara. För att återställa nyckeln räckte det med att låsaupp dörrarna med reservnyckeln. Detta återställde den obrukbara nyckelntill att bli brukbar igen. Eftersom detta fungerade gjordes inte något försökatt synkronisera nycklen med bilen. I Figur 8 visas den inspelade complexfilen, där hexadecimal koden är betydligt längre än Ford Mondeo Mk III somvissades i Figur 7.
Figur 8: Inspelad Complexfil i programmet UHR. Inspelningen är från enFord Mondeo Mk IV. De sex staplarna är informationen som skickats underett knapptryck från den trådlösa nycklen.
7.2.3 Saab 9-3 2.0T Polar årsmodell 2003
Försöket lyckades och signalen var förbrukad efter första försök. Nyckeln somanvändes slutade kommunicera med bilen efter försöket. Det fanns en risk tilldetta och därför användes bilens introduktionsbok innan experimentet på-börjades. För att se om det fanns något sätt att synkronisera nycklen medbilen igen [30]. Men innan det skulle göras ett försök om att synkroniseranyckeln med bilen återigen togs batteriet ut ur nycklen och monterades till-baka. Det gjorde att nyckeln och bilen kunde kommunicera med varandraigen
21
7.2.4 Ford Galaxy årsmodell 2006
Försöket lyckades och efter användandet av inspelningen var signalen förbru-kad. Nyckeln kunde fortfarande kommunicera med bilen efter experimentetoch behövdes inte göra någon ny synkronisering. Instruktioner om hur ensynkronisering går till fanns i instruktionsboken [31].
7.2.5 Volvo 850 årsmodell 1996
Nyckeln till den här bilen var i två delar. En del var den mekaniska nyckelnoch den andra delen var bara den trådlösa enheten. För att vara säkra påom det gick synkronisera nyckeln med bilen igen, utifall den skulle förlorakontakten vändes fokusen till instruktionsboken. I boken fanns det beskriv-ningar hur en synkronisering gick till [32]. Försöket lyckades och efter använ-dandet av inspelningen var signalen förbrukad. Nyckeln kunde fortfarandekommunicera med bilen efter experimentet och behövdes inte göra någon nysynkronisering.
7.2.6 Mazda CX-3 årsmodell 2015
Som tidigare började testet med att leta efter användbar information i in-struktionsboken för en ny synkronisering mellan bilen och nyckeln, utifalltestet skulle stoppa kommunikationen. Även denna gång fanns det instruk-tioner för hur det skulle gå till och experimentet kunde påbörjas [33]. Försö-ket lyckades och efter användandet av inspelningen var signalen förbrukad.Nyckeln kunde förfarande kommunicera med bilen efter experimentet ochbehövde inte göra någon synkronisering.
7.2.7 BMW e39 540i årsmodell 2001
Detta test blev betydligt svårare att utföra eftersom det inte framgår någoninformation i instruktionsboken när det gäller att synkronisera nycklarnamed bilen [34]. Detta innebar att det fanns en risk att nyckeln inte skullefungera efter testet. Ägaren gav ändå samtycke till att göra experiment påbilen trots denna risk. Ägaren berättar att reservnyckeln inte har använts pålänge vilket enligt instruktionsboken kan innebära problem. BMWs bilnyck-lar laddas via tenningslåset och om inte nycklen används under en lång tidkan nycklen bli obrukbar. Ägaren kände sig inte säker att använda sin dagliganyckel och experiment gjordes på reservnyckeln istället. Försöket misslycka-des och signalen var förbrukad efter första försök. Det går inte säkerhetställaatt experimentet misslyckades på grunda av säkerheten i nycklen eller omnyckeln inte längre var brukbar. För att göra nyckeln brukbar igen måste
22
nyckeln lämnas in till en bilhandlare för programmering. Standardpriset förprogrammering av BMW e39 ligger på 1600kr enligt företaget CarKey [35].Detta var något som ägaren inte ville betala och experimentet kunde intefortsätta.
7.2.8 Volkswagen Golf sportkombi årsmodell 2014
När experimentet påbörjades informerade ägaren om att det var dåligt bat-teri i en av bilnycklarna. Ett försök att byta batteri i nyckeln gjordes ge-nom att följa instruktionsboken, dock fanns inget batteri som passade pågrund av att det var fel storlek på batteriet som ägare hade köpt sen tidigare[36]. Nyckeln monterades ihop igen och experimentet påbörjades. Försöketmisslyckades och signalen var förbrukad efter första försöket. Nyckeln somanvändes slutade kommunicera med bilen efter försöket. Men efter att denandra nyckeln användes fungerade den första nyckeln igen en kort stund. Medtanke på att den första nyckeln hade mycket dåligt batteri gick det inte attutesluta från att det var nyckeln som var orsaken till misslyckandet. Dagenefter informerade ägaren att nycklen hade slutat fungera helt, ägaren hadeockså varit hos bilhandlaren för att byta batteriet eftersom det kunde varaorsaken. Tyvärr hjälpte det inte att byta batteriet, utan nyckeln var fortfa-rande obrukbar. Det stod i instruktionsboken hur en synkroniseringen gårtill väga och efter att ha följt instruktionen fungerade nyckeln igen. Felet varatt när batteriet togs ut ur nyckeln började nyckeln tappa kommunikationmed bilen. Tim från Bilmånsson kunde konfirmera att detta är något somkan förekomma på vissa bilmärken.
23
8 Diskussion
Det har varit väldigt händelserikt och intressant att få utförande detta arbete.Under projektets gång har det framkommit en hel del olika problem sombehövde åtgärdas för att uppnå ett bra resultat. Arbetet har gett en hel delnya kunskaper kring ämnet och hur relevant det är numera. Att hitta denutrustningen som har använts var väldigt lätt men däremot att få tag påinformation hur det fungerar var dessvärre svårare. Mycket är för att det ärväldigt mycket sekretess när det gäller de trådlösa bilnycklarna. Priset för denvalda enheten var högre än den bestämda budgeten, men den behövdes föratt utföra detta arbete. Efterhand var det helt klart värt den extra kostnadenför att resultatet blev bättre än förväntat. Det tog några veckor innan allaprogram och dess inställningar var konfigurerade på rätt sätt, för att sedanmed det första lyckade försöket få en respons med att bilens dörrar blevupplåsta. Experimentet kunde utföras på bara några sekunder och efter detvar bilen olåst, samt att inspelningen var inte nödvändig längre.
8.1 Trådlösa nycklar
I litteraturstudien framkommer det att den moderna bilen använder sig avtvå säkerhetssytem för de trådlösa nycklarna, dessa två system är PKES somär keyless och RKE som är fjärrnycklar. Arbetsområdet för en keyless-nyckelär mycket begränsad och sträcker sig cirka en meter ifrån bilen. Om bilen äravstängd och nyckeln lämnar bilens sensorer låser bilen alla dörrar. Fördelenmed detta är att ägaren kan lämna bilen utan att tänka på att den stårolåst. Det är även keyless-funktionen som en del försöker utnyttja med hjälpav relay-attacker genom att bara förlänga signalen från nyckeln. RKE som ärdet andra systemet har dock en längre räckvidd och är lättare att avlyssna.Systemet sänder endast ut signaler vid knapptryck.
8.2 Experimentdiskussion
Efter många försök visades äntligen ett resultat. Första gången som ett för-sök att ta sig in i en bil lyckades provades genast ett försök på en annan bil.Samma resultat där förutom att en av nycklarna blev obrukbar och funge-rade inte att varken låsa eller låsa upp bilen. Det tog ungefär en halvtimmeatt lista ut att reservnyckeln behövde användas för att göra den första nyc-keln brukbar igen. Efter denna upptäckt gjordes ett etiskt beslut om att detalltid ska vara minst två fungerande bilnycklar närvarande vid ett utförande
25
av experimenten. Detta är för att om nyckeln skulle bli obrukbar kan an-vändandet av reservnyckeln återigen göra nyckeln brukbar. Därför har allainstruktionsböcker till de testade bilarna varit till stor hjälp för att läsa huren synkronisiering med en nyckel går till.
Vid experimentet på Volkswagen Golf slutade ena nyckeln att fungerahelt och detta var på grund av batteribyte på bilnyckeln. Anledningen tillbetteribytet var för att signalen var svag från början och efter bytet slutadenyckeln sluta sända signaler. Genom att synkronisera om nyckeln i bildörrenbörjade nyckeln återigen att sända frekvenser. Men experimentet på Saabslutade nyckeln också att fungera men åtgärdades med hjälp av att plockaut batteriet och montera tillbaka den igen. Saabens nyckel fungerade igenutan att behöva synkronisera om den. Det går att konstatera att det är ingastörre svårigheter att låsa upp en bil med rätt utrustning.
8.3 Etiskt tänkande
En viktig del i experimenten var att det skulle ske på ägarnas villkor ochatt dem inte ska känna något tvång. Det framkom att några av deltagarnai experimentet ångrade sig och ville avbryta testerna. Självklart utan någraomständigheter avbröts det pågående experimentet. Besluten om att avbrytatesterna var fullkomligt acceptabelt. Det var också väldigt viktigt att alltskulle ske i en säker miljö där inga andra signaler kunde påverka utförandetav experimentet.
8.4 Framtida arbeten
Industrin för bilar bara växer och mer behov av bilar ökar. Mer och mer bilarkommer ut på marknaden och det finns risker att bilarna inte är säkra motrelay-attacker. Därför kan det vara en bra idé att försöka utveckla något somkan stänga ute möjligheten för attacker. Det finns produkter att köpa somförsöker åtgärda problemet. Ett exempel på en åtgärd är en strömbrytare påbilnyckeln kanske hade varit något för keyless. När nyckeln inte används kanden stängas av med hjälp utav en knapp som också kan starta nyckeln igennär den ska användas. Om nyckeln är avstängd kommer den inte sända någrasignaler vilket kan förhindra en del avlyssningar och kanske även kan minskastölder.
Det skulle vara intressant att prova att använda två HackRF One enheterför att utföra experiment mot keyless-system. För att sedan ta reda på omdet kan lyckas utan större svårigheter och på ett större distansområde.
26
9 Slutsats
Arbetet har gett god insyn hur relay-attacker går till och att det inte varnågra större svårigheter att utföra en attack. Det finns olika nivåer för relay-attacker eftersom en attack mot en keyless-nyckel inte är detsamma som enattack mot en fjärrnyckel. Bilnyckeln som har keyless-funktionen behöverfå kontakt med bilens sensorer för att låsa upp dörrarna. Bilen inväntarett korrekt svar på sitt krypterade meddelande för att kunna påbörja enkommunikation.
Information skickas mellan bilen och nyckeln tills att bilen accepterarnyckelns krypterade svar. Det behövs att både nyckeln och bilen skickar ochtar emot meddelanden för att bilen ska låsa upp dörrarna. En fjärrnyckelbehöver dock bara säga till bilen en gång att låsa upp dörrarna. Accepterarbilen signalens kodning från nyckeln kommer dörrarna att låsas upp. Bilenaccepterar endast fjärrnyckelns kod om den är detsamma eller är högre ändet förväntade värdet. Dessa trådlösa nycklar använder standardfrekvensernasom de tilldelats beroende i vilken världsdelen som de är tillverkade [8, 5, 17].Öppnas nyckeln upp kan det gå att läsa vilken frekvens som används. Är detinte angivit är det sannolikt att den sänder ut på ett frekvensband iställetför en specifik frekvens.
I studien har det presenterats experiment som har lyckats med relay-attacker på bilarna. Men det krävdes en färdigbyggd enhet för att ha utförtarbetet. Som det framkommer krävdes det betydligt mer kunskap för attbygga en egen. Där spelar förkunskapen en stor roll om det ska hålla budgetennere. Men eftersom det finns en stor marknad för färdigbyggda enheter visadedet sig att få tag i en var inte ett stort problem. I jämförelse med forskarnafrån Kina var priset för en färdig enhet betydligt högre [12]. Men detta varpågrund av att det saknades förkunskap inom området. Med den kunskapensom finns nu hade troligtvis samma resultat uppnåtts med en billigare enhet.
27
Litteraturförteckning[1] T. Yang, L. Kong, W. Xin, J. Hu och Z. Chen, ”Resisting relay at-
tacks on vehicular Passive Keyless Entry and start systems”, i 2012 9thInternational Conference on Fuzzy Systems and Knowledge Discovery,maj 2012, s. 2232–2236.
[2] D. Nagra, ”Car thefts up by 9% – is your vehicle at risk?”, Which?News, april 2019.
[3] B. Slater, ”How easy is it to steal your car?”, Which? News, jan. 2019.
[4] ADAC-Vehicle-Technology, ”Motorcycles and cars tested by germanautomobile club ADAC”, jan. 2019.
[5] A.Francillon, B.Danev och S.Capkun, ”Relay Attacks on Passive Key-less Entry and Start Systems in Modern Cars”, Comparitech Informa-tion Security, 2010.
[6] O. Holm, ”Nyckellösa bilar stjäls genom relä-attacker”,Motor-Magasinet,sept. 2018.
[7] J. Mills, ”Keyless wonder: how did we end up with ’smart’ wireless keysfor our cars?”, Sunday Times Driving, nov. 2014.
[8] R.Short och V.Bach, ”Key technology”, Rohde & Schwarz News Maga-zine, årg. 57, s. 8–11, jan. 2017.
[9] A. Jolfaei, ”Secure Passive Keyless Entry and Start System UsingMachine Learning”, i Security, Privacy, and Anonymity in Computa-tion, Communication, and Storage: 11th International Conference andSatellite Workshops, SpaCCS 2018, Melbourne, NSW, Australia, De-cember 11-13, 2018, Proceedings, Springer, vol. 11342, 2018, s. 304.
[10] D.Bisson, ”Relay Attack against Keyless Vehicle Entry Systems Caughton Film”, The State of Security, nov. 2017.
[11] C. Smith, The Car Hackers Handbook. San Fransisco: No Starch Press,2016.
[12] A. Greenberg, ”Just a Pair of These $11 Radio Gadgets Can Steal aCar”, Wired News, april 2017.
[13] A.Richardson, ”SECURITY OF VEHICLE KEY FOBS AND IMMO-BILIZERS”, 2015.
[14] J. Patel, M. L. Das och S. Nandi, ”On the Security of Remote Key LessEntry for Vehicles”, i 2018 IEEE International Conference on AdvancedNetworks and Telecommunications Systems (ANTS), dec. 2018, s. 1–6.
I
[15] R. Benadjila, M. Renard, J. Lopes-Esteves och C. Kasmi, ”One Car,Two Frames: Attacks on Hitag-2 Remote Keyless Entry Systems Re-visited”, i 11th USENIX Workshop on Offensive Technologies (WOOT17), Vancouver, BC: USENIX Association, 2017.
[16] W. Choi, M. Seo och D. H. Lee, ”Sound-proximity: 2-factor authenti-cation against relay attack on passive keyless entry and start system”,Journal of Advanced Transportation, årg. 2018, 2018.
[17] F. D. Garcia, D. Oswald, T. Kasper och P. Pavlidès, ”Lock It and StillLose It —on the (In)Security of Automotive Remote Keyless EntrySystems”, i 25th USENIX Security Symposium (USENIX Security 16),Austin, TX: USENIX Association, 2016.
[18] H. Jeong och J. So, ”Channel correlation-based relay attack avoidan-ce in vehicle keyless-entry systems”, Electronics Letters, årg. 54, nr 6,s. 395–397, 2018.
[19] R. Verdult, F. D. Garcia och J. Balasch, ”Gone in 360 Seconds: Hi-jacking with Hitag2”, i Presented as part of the 21st USENIX Securi-ty Symposium (USENIX Security 12), Bellevue, WA: USENIX, 2012,s. 237–252.
[20] G. Kim, K. Lee, S. Kim och J. Kim, ”Vehicle Relay Attack AvoidanceMethods Using RF Signal Strength”, Communications and Network,årg. 5, s. 573–577, 2013.
[21] L. Wouters, E. Marin, T. Ashur, B. Gierlichs och B. Preneel, ”Fast,furious and insecure: Passive keyless entry and start systems in mo-dern supercars”, IACR Transactions on Cryptographic Hardware andEmbedded Systems, s. 66–85, 2019.
[22] J. Wetzels, ”Broken keys to the kingdom: Security and privacy aspectsof RFID-based car keys”, CoRR, årg. abs/1405.7424, 2014. arXiv: 1405.7424.
[23] SDR-Radio, ”Software-defined radio”, 2019.
[24] Github, ”Universal Radio Hacker: investigate wireless protocols like aboss”, 2019.
[25] JohannesPohl, ”Universal Radio Hacker - 01: Record a signal”, dec.2016.
[26] SevenFortyOne, ”SDR Console V3 Install Setup And Overview on SDRplayRSP1A”, jan. 2018.
[27] JohannesPohl, ”Universal Radio Hacker - 02: Interpretation”, dec. 2016.
II
[28] Ford, ”Instruktionsbok Mondeo”, 2001.
[29] ——, ”Ford Monedo förarhandbok”, 2007.
[30] Saab, ”Owner’s Manual Saab 9-3 Sport Sedan M2003”, 2003.
[31] Ford, ”Ford Galaxy FordS-MAX Owner’s handbook”, 2006.
[32] Volvo, ”850 Owner’s Manual”, 1996.
[33] Mazda, ”Mazda CX-3 instruktionsbok”, 2015.
[34] BMW, ”Owner’s Manual for the Vehicle”, 2001.
[35] CarKey, ”CarKey Nycklar till din bil”, 2019.
[36] Volkswagen, ”Volkswagen Golf SportWagen bruksanvisning”, 2015.
III
Besöksadress: Kristian IV:s väg 3Postadress: Box 823, 301 18 HalmstadTelefon: 035-16 71 00E-mail: [email protected]
Anton Marklind
Simon Marklind
