Az ISM (industrial, scientific, medical) sávok közül kétségkívül az egyik legérdekesebb a 433 MHz-es sáv.
Valójában nem egészen 2 MHz széles tartományt rejt a jelölés, 433.050 MHztől egészen 434.790 MHz-ig, a center frekvencia pedig 433.92 MHz-re esik. De miért is olyan érdekes ez a sáv? Nos, kismillió eszköz dolgozik ebben a tartományban. Vezeték nélküli kapcsolók, kapucsengők, gépjármű kulcsok, időjárás állomások, kapu és sorompó vezérlők, épület automatizálás, modelljátékok vezérlése, stb. A felsorolt példákban az egyik közös pont, hogy az áthidalandó távolság pár méter.
Vegyük gyakorlati példánknak egy lakópark kocsibeállójának kapuját. Alanyunk hazaér, és pár méterre a kocsiban ülve megnyom egy kis gombot, amitől a lakópark kapujai elkezdenek kinyílni. Mi történt itt valójában? Béla rendelkezik egy adóval, mely egy meghatározott jelet bocsát ki, ezt a jelet "hallja" meg a kapu tövében elhelyezett vevő, ami ezután a kaput nyitó motort működésbe hozza.
Béla azért képes 5 méterről, az autójában ülve nyitni a kaput, mert a kezében lévő kis adó elég nagy teljesítménnyel ad, és a kapu tövében várakozó vevő elég érzékeny, hogy a jelet az adott körülmények között értelmezze. Azt, hogy egy adott frekvencián - esetünkben a 433.92MHz-es frekvencián - milyen módon, milyen teljesítménnyel és milyen szabályok mellett lehet adást kezdeményezni, országonként változhat. Magyarországon a témában a Nemzeti Média És Hírközlési Hatóság (NMHH) illetékes.
Elméleti síkon tovább haladva, legyen a vevő érzékenysége G, az adó és a vevő közötti távolság R, míg az adó teljesítménye P. R növelésére kettő kézenfekvő lehetőség kínálkozik. Vagy növeljük G-t, vagy növeljük P-t. Utóbbit növelni gyakran könnyebb, olcsóbb, hiszen a vevő hozzáférhetősége gyakorlati példánknál maradva nem biztosított.
Nagyobb adóteljesítménnyel tehát - bizonyos feltételek teljesülése esetén - növelhető a hatótáv. Térjünk vissza ahhoz a pillanathoz, amikor Bélánk megnyomja a kapunyitó gombját. Ebben a pillanatban az adóból a fény sebességével elindul egy jelhalmaz, egy sorozat, amit így tudunk elképzelni: 01010101 00000001
Egyszerűsített példánkban jelünk 2 részből áll. A 01010101 rész a "preamble" vagy un. időzítő szignál. Amikor _a_ vevő, a mi vevőnk ezt hallja, tudja, hogy hamarosan adatra kell számítani. Ez a jel segít erre ráhangolódni. :) A másik adatdarabka a 00000001. Esetünkben ez most csak annyit jelent, hogy átküldtünk egy 1-est. Megfeleltethetjük ezt a "Nyisd ki a kaput", "Kapcsold fel a lámpát" parancsoknak.
Talán már felmerült bennetek, hogy a fenti kapu bizony meglehetősen olcsón adja magát. Hiszen a számára értelmezhető adatban nincs semmiféle adó-azonosítás, nincs párbeszéd. Ha jön a 00-00-00-01, akkor nyílik a kapu. Ezt a támadást nevezzük "Replay-attack"-nak, vagy visszajátszásos támadásnak. A legtöbb egyszerű, olcsó rádiós rendszernél (főleg a 433-as sávban) valós és veszélyes támadás valósítható meg segítségével.
Ahhoz, hogy egy rádiójelet rögzítsünk és visszajátszunk, szükségünk lesz egy rádiós hardverre. Hacsak az utóbbi 1-2 évben nem fókuszáltatok teljesen másra, számos példa fog ismerősen hangzani. E4000, R820T, Funcube Dongle, HackRF, USRP. Míg az első három eszköz csak hallgatózásra használható, addig az utóbbi kettő adásra is. (Természetesen rádiójeleket adni kizárólag megfelelő engedélyek birtokában és akkor is csak nagy körültekintéssel szabad.)
HackRF One
A HackRF, melyet Michael Ossmann Úrnak köszönhetünk, egy SDR, azaz Software Defined Radio. Észbontóan széles frekvenciatartományban (10MHz-6000MHz) képes rádiós jeleket venni és adni, viszonylag hozzáférhető ára van (300 USD), és teljesen OpenSource. Adóteljesítménye - példánknál maradva - a 433MHz-es sávban nem múlja felül Béla kis kézi távirányítóját, de erre most nincs is szükség, ekkora teljesítmény bőven elegendő. Mielőtt belemerülünk a hogyanba, nézzük meg egy praktikus felhasználási példát.
Ismerjük meg Miklóst. Miklós egy HackRF-el felvértezve áll a Tiszaberzeburzai 3-as számú lakópark előtti parkolóban, a kapun kívül. Arra vár, hogy valaki beforduljon a sarkon autóval és megnyomja a kapunyitó gombját. Kisvártatva érkezik Béla, és már küldi is a nyitó jelet, 6 méterről, ahogy mindig szokta. A kapu elkezd nyílni, Béla bejut, a kapu becsukódik, és minden rendben. Vagy mégsem?
Abban a pillanatban, amikor Miklós látta, hogy Béla befordul az utcába, kiadta termináljába a következő parancsot:
./hackrf_transfer -r bela_kapuja -f 433920000 -l 24 -i 52
Ez a parancs - bár a neve megtévesztő - most éppen rögzít, 433.92 MHz-es frekvencián a megadott fájlba, a definiált érzékenységi adatokkal. A fájl nagyrésze zajt fog tartalmazni, hiszen Miklós biztosra ment, előbb indított mint, hogy Béla nyomott volna, és később is állította meg a felvételt. Ez garantálja számára, hogy az értékes adat mindenképp rögzítésre került. A hasznos adat valahogy így nézhetett ki:
Baudline spectrum analyzer
Miután Miklós végzett a rögzítéssel, a felesleges, üres részeket a fájl elejéről és végéről levágva megszerezte a tiszta jelet, ami Béla kapuját nyitja. Ezután nincs más dolga, mint a rögzített jelet visszajátsztani:
./hackrf_transfer -t bela_kapuja -f 433920000 -x 47 -a
És akár hiszitek, akár nem, Béla kapuja ugyanolyan lelkesen kezdett nyílni, mint amikor Béla maga nyitotta ki az eredeti távirányítóval. Miklós, ha erősítőt használ, nagyobb távolságokról is ki fogja tudni nyitni Béla kapuját. Miklós azóta már Béla lámpáit és kapucsengőjét csörgeti meg random időközönként nagyobb távolságból, hiszen a kapuhoz hasonlóan ezek SEM ugrókódosak, mint ahogy azt Karcsi, a biztonsági őr képzelte. Béla és Miklós egyébként barátok és nem haragszanak egymásra holmi replay attackok miatt.
Természetesen nem minden rendszert ilyen egyszerű kijátsztani a 433as sávban sem, mindenesetre elgondolkodtató, sőt, ijesztő tény, hogy mennyire kevés erőfeszítéssel lehet bizonyos rádiós akadályokat leküzdeni.
A következő részben - még mindig a 433as sávnál maradva - szót ejtünk a zavarásról, és az ebből fakadó biztonsági kockázatokról.
