Открываем крышку коробки блокиратора. Наблюдаем дешевый китайский электромоторчик с планетарным редуктором,
плату электроники и непосредственно механическую часть.
Начнем с механники. На редуктор электромотора насажен кулачек который двигает влево или вправо запорную
пластину блокиратора. На противоположном конце пластины находится стойка которая проходит через Г-образный
паз в тяге блокиратора. Соответственно когда блокиратор закрыт, стойка заходит в верхнюю горизонтальную часть
паза тяги и препятствует ее движению, на фотографии заснято положение когда блокиратор открыт и тяга может
свободно перемещаться вверх-вниз в пределах вертикальной части Г-образного паза. Стойка опять-же не закалена
и ничем не защищена, и если ее высверлить/выломать - работа mmode заканчивается. Ну и напоследок стоит
заметить, что запорная пластина дублируется с низу пластиной для аварийного открывания при помощи внешней
ручки. Защита и блокировка второй пластины от внешнего воздействия сделана достаточно грамотно, посему
неимеет смысла заострять внимание на возможности воздействия на нее через сверление - проще стойку высверлить.
В догонку хочется сказать что моторчик используется весьма дешевый с латунными щетками и долговечность его под
очень большим вопросом, к тому-же крайние положения кулачка (закрыто/открыто) отслеживаются электронной частью не
по датчикам а по току потребляемому мотором, типа кулачек провернулся в крайнее положение, мотор заклинило, ток
потребления возрос - пора отключать питание... Соответственно при любом повышенном трении засовов или тяг
замка логика работы электронной части будет нарушена и замок может остаться в незаблокированом состоянии, хотя
индикаторы на ключевине покажут что блокиратор закрыт.
Перейдем к электронной части. Первым делом видим в правом верхнем углу синенький резонатор на 8Mhz и рядом
с ним Texas Instruments_овский делитель, который делает из 8Mhz 128Khz. Внутри снова екает, значит все-таки в
ключе стоит радиотранспондер, причем нестандартный, иначе зачем было городить приемопередатчик на рассыпухе а
не воспользоваться готовой микросхемой которые фирмы производители транспондеров продают вместе с ними. Но я
ошибся во второй раз - моттура очень экономная фирма, и судя по всему в ее штате работает электронщик-любитель
который просто решил пойти своим путем и сэкономить пару центов на микросхеме приемника. Как я потом
посмотрел - в ключе стоит древний как дерьмо мамонта (уже лет 5 не выпускается) транспондер фирмы филипс.
И так по порядку что стоит на плате: Синий резонатор на 8Mhz, ниже и левее микросхема делителя которая делает из
8Mhz 128khz (рабочая частота транспондера), еще левее операционный усилитель на котором собран приемник
сигнала транспондера, передатчик собран вообще на паре транзисторов (болтаются под ними). Две релюшки (большие
коробочки слева и справа), первая (правая) переключает полярность тока на двигатель, типа по часовой стрелке вращать
или против часовой. Вторая (левая) релюшка это вообще нечто, она механически переключает антенны ключевин, т.е.
когда к ключевине подносится ключ, магнит в ключе (все-таки он там есть) замыкает геркон в ключевине и релюшка
подключает к приемопередатчику нужную антенну (передатчик то один а ключевины две - снаружи и внутри). Кстати
на старых ммкодах герконов и магнитов в ключах не было, были кнопки на ключевине которые требовалось нажать
после вставки ключа, на новых моттура "автоматизировала" эту операцию. Растут ребята...
Что дальше? Под микросхемами операционника и делителя стоит маленькая восьминогая микросхема энергонезависимой
памяти 93С46 длинной 128 байт в которой как я понимаю хранятся номера всех ключей для для этого замка т.к. больше их
хранить негде. Микросхема без криптозащиты и спокойно читается/пишется простейшим программатором.
Дальше (самая большая вертикальная микросхема) стоит дешевый микроконтроллер фирмы филипс 87с748, который
и управляет всем этим хламом. Внизу слева от него (восьминогая микросхемка и куча деталек) - жуткий стабилизатор
который делает из 18 вольт (две батареки "крона") требуемые для работы всей платы 5 вольт. И на последок справа
стоит микросхема буфферного усилителя чтоб светить светодиодами на ключевине. Вот вроде и все.
В ключе соответственно болтается магнит (для геркона, который теперь заменяет кнопку) и транспондер
фирмы филипс PCF7930AS. Транспондер древний и тупой как пробка, ни прыгающего кода, ни криптозащиты
в нем нет. Есть 96 байт памяти которую можно считать записать и все. Как я понимаю в транспондер красного
ключа моттура пишет какой-то свой идентификатор активирующий перепрограммирование замка и ключевой код,
в транспондеры же черных ключей записан только ключевой код, причем одинаковый для всех. Фабричные же
уникальные идентификационные коды транспондеров (не перепрограммируемые) не используются, это сделано
чтобы клиент не мог при потере купить отдельно новый транспондер/ключ а обращался в Mottura Club и разводился
на полный комплект новых ключей.
Т.е. когда вы перепрограммируете замок - красный ключ активирует перезапись 93c46 и загоняет в нее ключевой
код набора ключей которые идут вместе с ним, после чего замок реагирует только на ключи из нового набора.
Ну и напоследок, фотография разобраной ключевины: геркон, два светодиода, катушка антенны. Вот и вся любовь.
Что же дальше? Дальше будет дотошное исследование на предмет нахождения различных "дыр" для быстрого открытия.
Первые две части были чисто обзорные. Потом будет часть с различными "некрасивыми" дырками, типа куда и что ткнуть
чтобы замок открылся. Последней же частью где будут "красивые" решения для окрытия ммкоде, будет рапоряжаться
А.Г., будет или не будет ее публикация - решать ему.
Что мы будем делать? Для начала восстановим на бумаге всю схему замка. Потом попытаемся считать содержимое
микроконтроллера, последний имеет два режима защиты от считывания и если они неполностью активированы - есть
шанс получить исходный текст управляющей программы замка, в этом случае сразу будет известен универсальный
"суперкод" для открывания всех замков (а я на 99% уверен что моттура оставила такую лазейку для своих целей). Если
не выйдет электронным способом (вскрытие кристалла я думаю А.Г. не спонсирует
), будем разбираться с форматом
ключевого кода в транспондерах и 93C46 на предмет обмана замка через режим программирования нового набора ключей
или еще как. Если и это не выйдет - сделаем тупую закладку перехватчик. Ну и попутно выясним все точки на плате
замыкание которых приведет к открытию замка, если вы обратили внимание - плата электроники ничем не защищена
и смотрит контактными площадками прямо на лицевую сторону двери, достаточно просверлить маленькую дырочку
и вставить щуп....
Ну и на последок мое личное мнение о mmcode: - себе бы на дверь я это не поставил, с точки зрения
взломостойкости, если рассматривать только механическую часть, ммкоде защищенности двери
особо не увеличит, лучше денег потратить на хорошие пластины. К тому-же стоимость этого блока с 150%
наваром - 30$, но никак не 300$.
Прочитал еще раз отчет - все как-то сумбурно :(, если есть какие-либо вопросы или что-то непонятно - пишите,
отвечу подробнее.
продолжение будет дней через десять.