五千年(敝帚自珍)

主题:Bill Swearingen:我怎样黑掉了警用测速仪 -- 万年看客

共:💬7 🌺33
全看分页树展 · 主题
家园 Bill Swearingen:我怎样黑掉了警用测速仪

https://www.youtube.com/watch?v=vQtLms02PFM&t=1067s

OK,谁准备好黑一把警察了?丑话说在前面,我接下来的演讲内容在五十州都违法……也有些内容一旦应用就会犯下联邦重罪。我今天只想讨论技术内容并且揭示技术原理。我会尝试说明哪些做法是好主意,哪些是坏主意,至于怎么理解那是你们的事。

此外我也意识到今天的讲座非常美国中心化,无论是我们应用的技术还是我们将要触犯的法律都基于美国的情况。对于从国外赶来的朋友们来说,技术方面的内容在你们那边应该也能应用,但是法律方面你们还必须自己多做研究。

鉴于本次讲座的性质,我也不敢确定我一定不会在讲座期间遭到逮捕。我之前咨询过律师,但是为了以防万一,大家可以从以下网址(bit.ly/23police)下载本次讲座的全套幻灯片……如果大家对讲座内容有不清楚的地方,大会结束后请去监狱看看我在不在,如果我在的话麻烦把我捞出来,我会很高兴回答大家的疑问。

……大约十年前我有一个名叫iHacked的网站。我在网站上推出的设备之一可以触发交通信号灯的紧急优先通行机制,从而让红灯变成绿灯。带上这个装置开车上街一路绿灯,想开多快都没问题。很多媒体都因此采访过我,《连线》就是其中一家。那还是十年前的事,如今我已经成长了,学了几手新本事。首先,你在媒体面前谈论如何触犯联邦重罪时或许应该小心一点。当初那一轮采访事后很让我吃了不少苦头。另一点有趣之处在于采访引用了我的哪些话。我在接受《连线》采访时满嘴技术术语,张口555计时器,闭口如何与紧急机制互动,结果采访文章里就引用了一句我的原话:“我现在上班走得都是高速公路。”但是更重要的是,不要公开讨论触犯联邦重罪。却原来销售、购买与使用紧急通行触发器都是联邦重罪,最高能判处两年徒刑与一万美金罚款。现在我出狱了,罚款也缴清了,咱们从头再来一回。

我是个黑客,我从来都是个黑客,今后我也永远会是个黑客。说到我为什么会成为今天这种人,我想根源在于我爸。我爸是个工程师,他从小就培养我去询问、理解与解释事物的工作原理。我这一辈子都非常好奇,想要理解事物如何运作以及为什么要这样运作。更重要的是,我应当如何才能影响这些设备的运作方式,从而改善我自己的生活。我希望以一切可能的方式在这个世界占据优势。作为黑客来说,这是一个我们能赢的游戏。开始正式内容之前我还想引用一段《黑客宣言》里的话,因为这句话特别能打动我:“是的,我是个罪犯。我的罪名是好奇。我的罪名是不以貌取人,却根据他们的知识与能力来评价他们。”我认为这是黑客应当秉承的精神,我希望我们这个圈子能永远维系这种精神。

如果观众席上坐着任何地方或者联邦执法人员,请举一下手。我很理解你们或许不想这么做,但是我有很好的理由——接下来的讲座有观众参与环节,万一把你们叫上台来大家都不好看……当然,我绝对不想生活在一个没有法律的社会。我绝对尊重各位警官的工作与职责。我不希望你们觉得本次讲座拿你们当成了靶子。本次讲座的重点在于技术以及技术背后的原理。话说回来,待会有几张幻灯片大概会让各位警官们有那么一丁点紧张,没关系,我们只要团结一致就能挺过去。请相信我,我肯定会在越过违法底线之前及时收手。

除了身为黑客之外,我还喜欢飙车。我喜欢开快车,喜欢骑摩托。我不喜欢的是随之而来的超速罚单。几个月之前,我又一次靠路边停车,看着后视镜里闪烁的警灯,突然想到一个问题:测速雷达究竟是什么东西?我要怎样才能智胜这个装置?我要怎样利用我的条件来赢得这场游戏?我想到了我爸在我小时候讲过的一个故事。他说他曾经与几个朋友拆了一个微波炉,用磁控管来阻塞测速雷达。小时候我完全不理解他的话是什么意思,但是我一直牢记着这个故事。于是在等着吃罚单的时候,我决定搞明白这个问题。却原来测速雷达测量的是多普勒效应。雷达向汽车发出信号,信号被汽车反射回来,雷达据此测出车速。真正有趣的部分是具体原理。原理其实非常简单。警察射出高频无线电波——其实就是微波——使其从物体表面反弹回来,通过回波的频率偏移来测算物体的速度。换句话说,雷达测量速度。记住这一点,因为这一点非常重要,待会儿你们就明白了。具体来说,频率变化幅度除以原频率等于目标物体速度的两倍除以时间常数C。既然数学公式已经有了,我们也就都可以回家了。

在我们动手黑掉测速雷达之前,我们先来看看警察如何使用测速雷达。这段警察使用测速雷达的视频质量不太好,因为凡是拦下过我的警察全都不允许我拍摄他们使用测速雷达,一旦看见我开始拍摄就会连番质问。现在大家看到的视频是我在YouTube找到的。RF雷达的好处之一在于警官将其打开之后就尽管可以放在一边不管。另一个好处则在于警察可以在行驶当中使用射频雷达。雷达发出微波之后会受到周围许多不同物体的回波,而测速雷达可以通过树木、路标与建筑之类的静止物体反射的回波来确定自己的速度,然后再据此进一步算出其他运动物体的速度。现在较为先进的测速雷达不仅可以同时测量好几辆车的速度,甚至还能分辨每一辆车所在的车道。接下来这张幻灯说明的问题也很重要:雷达发出的射频能够反射回来被接受到的只有一小部分。大部分都散射掉了。

警用测速雷达主要分为三款。早年间普遍使用的雷达采用X波段,这套系统如今几乎已经不用了。接下来是K波段,世界各地都有雷达使用这个波段,这也是在美国使用最广泛的波段,如果你调查一下,K波段依然是默认的警用波段。此外这个波段还被称作杂货店波段,因为杂货店的自动感应门用的都是这个波段。Ka波段是多用途版本的K波段,这套系统近几年刚刚投入应用。最后还有Ku波段,但是在美国没人用,最近欧洲倒是正在应用这个波段。

……接下来是现场演示。我需要一位志愿者上台。这位警官先生能不能上来一下?接下来我要交给警官先生一柄雷达测速仪。我将举着我的设备向他走近,让他的测速仪收到与他射向我的射频频率相同的回波,让测速仪以为我站着没动。然后我将站着不动,略微调整我的设备的频率,让测速仪以为我在移动。此外我刚刚意识到我没有什么好办法证明我没有对测速仪做手脚,你们必须相信我没撒谎。

我准备了两款雷达射频枪,警官手里这款是新买的大路货测速仪,我手里这款是我改装过的测速仪干扰器。要是台下有联邦通信委员会的人,请放心我到目前还没有触犯法律。第一项测试,你向我发射雷达信号,我要一边前进一边将频率不变的信号反射回去,如果一切顺利,你的测速仪不会显示读数。【演示一】第二项演示,我将要微调我的设备的发射频率,反过来利用多普勒效应,因为我知道警用测速仪的频率,所以我反射回去的信号将会表明我正在以特定速度运动。【演示二】测速仪的读数是时速111英里。(掌声)

……

那么我们能不能对警用测速仪也这么搞?当然可以。我们完全可以制造一台设备让警用雷达以为我们的时速一直是65英里。既然我们知道了我们希望模拟的车速,那么还剩下两个变量。一个是雷达射向我们的频率,我们已经知道了;接下来只需要确定射向雷达的频率应当怎样调整。为了让X波段的雷达认为我们的车速是65英里每小时,我只需要向其发射10.5吉赫的微波——用不着编程,用不着发送数据包。如果我想糊弄K波段雷达——全世界以及美国应用最广的波段——那么我只需要发射24.12吉赫的微波。Ka的情况有点复杂,但是33.8吉赫也足以将其应付过去。

我在进行数学计算时突然想到了我爸拆微波炉的故事。这样做真有用吗?真的有用。他们那时候警察用的还是X波段,而微波炉发射的微波频率是2.4吉赫,因此警察会发现我爸的时速是负的9700万英里。(掌声)

接下来是关键内容。首先,如果我总是发射特定频率,总是让警用雷达以为我的时速是65英里,那么我经过学校门口的时候怎么办?其次,我们不知道正在指向我们的警用雷达用的是什么频率,又该怎么办?朋友们我跟你们说,我们现在生活在非常有趣的时代。我们现在就生活在未来。信息的世界就在我们手边任我们调遣。最新出品的雷达侦测仪,尤其是Valentine1型与Escort360型,能够侦测到二三英里之外发射的雷达信号,然后通过蓝牙告诉我们当前雷达射向我们的微波频率——听懂掌声。(鼓掌)……所以现在我们只需搭建一个应用,告诉我们当前路段的限速,然后搭配上提前两英里测量警用雷达频率的手段,再然后基于当前限速计算出我们希望jg测算出来的速度,最后向jg发射相应频率的干扰波就行了。做到这一切只需要一个非常小的处理器,ESP8266就够用。一个问题在于市面上流行的软件无线电一般不会在高频或者微博频段运作。但是只要搭配合适的硬件,甚至哪怕再让软件无线电发展两年,我们就能不多破费地攒出这样一台设备,花不了七百美元,其中大部分开支都会花在软件无线电与高频传输装置上面。

但是——但是,联邦通信委员会不想让我们这样做。联邦通信委员会对于干扰雷达的规定非常严格,早在1996年就规定这样做违法。任何使用或者出售此类设备的人都触犯了联邦重罪。他们对此非常严肃,以至于别说出售雷达干扰器,就连打广告都不行。话说回来,当前七百美元做这么一个东西的性价比确实不太高。不过硬件总是会降价的。既然我们已经知道了这样的装置能做什么,到时候再做决定也不迟。

既然联邦通信委员会不肯让我们钻空子,那么我们还能采取哪些可行的反制手段?刚才我展示过雷达波会散射,很容易被雷达侦测器提前两英里发现。但是雷达侦测器的问题在于无法提前侦测激光测速仪。等到雷达侦测器发现你遭到激光照射的时候,这张罚单你已经吃定了。因此大多数人可能觉得不值得费事安装侦测器,反正现在警察也在普遍应用激光测速仪。但是先别急,接下来有好消息:联邦通信委员会并不监管光谱,监管光谱的是食药局。(掌声)此外激光测速仪与射频测速仪的原理也很不一样。激光测速仪上有一个瞄准框,一次只能测算一辆车的速度。激光测速仪前端有两块镜片,小的那块发射激光,大的那块接收反光——这一点待会儿很重要。激光测速仪的有趣之处在于警察的使用方式跟手枪差不多,使用时身体必须保持稳定,必须指向单一目标,而且必须在你的车上找到反光表面才能收到反射信号。具体来说他们会瞄准你的大灯玻璃、车牌或者保险杠……

因为激光的监管机构是食药局,所以测速仪采用的激光必须是一类激光,也就是激光指示器用的那种激光。一类激光很弱,再句话说警察接收到的反射光更弱。此外食药局还严格规定了测速仪的激光频率,确保其不伤人眼。规定的标准激光波长是904纳米,这种激光人眼不可见,但是更重要的是标准化,只有这一种波长,而且很弱,而且我们也能买。

还有一点,谁记得雷达测量什么?速度。而激光测量并不测量速度。激光测量距离……速度是距离除以时间。激光测速仪测量距离的速率非常高,通常每秒会测量一二百次。等到你的雷达监测器反应过来的时候,激光测速仪就已经将你的速度算出来了。事实上,我国有三分之二的州并未规定干扰激光测速仪违法,在图上用绿色表示。黄色的州则将其视为违法,标成红色的弗吉尼亚州我也不知道他们想干嘛。干扰激光测速仪的方法不止一种,比方说干脆开一辆车头大灯能可折叠的车。这样做效果其实不太好,但是至少可以用大灯给警察抛个媚眼。

又或者我们可以直接向激光测速仪本身下手。首先我们要知道激光测速仪的工作机制。接下来我要举一个关于激光测速的时间间隔的例子。具体的时间间隔会随着测速仪型号的不同而变化,但是所有测速仪用得都是同一频率的激光。只要你理解了一款激光测速仪的原理,就能理解如何对付所有测速仪。这里的关键有两个,其一是脉冲宽度,即激光发射一次会持续多长时间;其次是周期,即激光发射得多么频繁。图上显示的红线即脉冲宽度,周期是五毫秒,即每五毫秒发射一次。测速仪每发出一道脉冲,都会期待收到反射脉冲,而反射脉冲测量的是距离。当第一道脉冲射在你的车上又反射回去的时候,警察并不知道你的车有多快,只知道你的车距离他有多远。直到第二第三道脉冲也反射回去,警察才能锁定你的速度。所以测速仪才需要每秒测量一两百次。

我们来仔细研究一个脉冲周期并且考虑一下反制手段。红线代表测速仪发出的脉冲,黄线代表反射回来的脉冲。在第一道与第二道脉冲之间有一个五毫秒的窗口。记住,激光测量的是距离而不是速度。如果我们发射的激光脉冲能够赶在反射脉冲之前先一步被测速仪接收到,我们就能让测速仪错误地判断我们的位置。接下来我要展示暴力破解法。既然我们已经知道了射向我们的激光的波长一定904纳米,我们就可以每一毫秒都向外射出一道激光。我知道你们在想什么:“警察难道不会以为我的时速是9700万英里么?”不会。我只是让测速仪相信我的初始位置与它很接近,只有一百英尺。第二毫秒,我依然距离它一百英尺。第三毫秒,我与它的距离还是一百英尺。我的速度根本是零。如果用这个办法对付目前市面上的十来种激光测速仪,会迫使其显示测速错误。

现在有些先进型号的测速仪能够反制暴力破解法。这些测速仪能够意识到,发射一道脉冲接受四道反射肯定有问题。因此它们会改变脉冲宽度,从而将自己发射的反射信号与干扰信号区分开来。但是这一招我们也有办法对付。因为我们的干扰信号同样可以改换脉冲宽度。实际上,根据脉冲宽度与周期,当我们受到第二次激光照射时就能确定照射我们的测距仪的型号。现在这张图上红线是测速仪发出的脉冲,橙线是反射回来的脉冲,绿线是我们发射的干扰脉冲。一旦我们确定了脉冲周期,比方说还是五毫秒,那么我们的第一道干扰信号可以很贴近测速仪发射的脉冲,使其认为我们距离很近,比方说只有六百英尺;第二道干扰信号则更靠近反射脉冲,这样一来测速仪就会以为我们正在拉远距离,现在双方隔着一千英尺。现在市面上已经出现了采用上述对策的激光干扰器。

几年前我推出了一款名叫COTCHA的工具,这是一款基于ESP8266处理器与Arduino平台的wifi黑客工具。现在我要向大家介绍的是这个系列的新产品NOTCHACOTCHA,同样基于ESP8266处理器,是一款激光干扰器,采用12V电路,可以很方便地安装在汽车上。这款干扰器采用暴力模式,即脉冲周期为一毫秒。它能干扰80%的激光测速仪。不过目前它还干扰不了更先进的“龙之眼”系统。不过这是个开源项目,既然能干扰更先进系统的商用干扰器已经存在,我们想要逆向工程一下应该也不难——不过这样做可能犯法,算了还是我们自己动手吧。……NOTCHACOTCHA也可以模拟测速仪,用来测试雷达监测器的效果。

总而言之NOTCHACOTCHA就是自由,它让我们能够反过来控制那些针对我们的系统。最后我想喊一声“美国万岁”,但是弗吉尼亚除外,我也不知道那边是怎么回事……NOTCHACOTCHA的造价是8.15美元(掌声),代码已经公开,不过目前还不太流畅。我今天其实带了一个成品过来,但是昨天准备讲座的时候不小心弄坏了。我可以认真地告诉大家,暴力破解模式是有效的,因为我在家测试过——我家在堪萨斯州,干扰器不犯法。目前这还是第一轮,我会继续公开代码。我很希望大家能帮助我制造一台真正开源、足以与商品级别设备竞争的激光干扰器。就说这么多吧,谢谢大家。

通宝推:审度,普鲁托,大山猫,迷途笨狼,胡一刀,菜根谭,
全看分页树展 · 主题


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河