Показать сообщение отдельно
Старый 20.10.2010, 16:58   #2
aka_zver
 
Аватар для aka_zver
 
Регистрация: 06.07.2010
Сообщений: 63
Репутация: 37
По умолчанию

=======
Hacking
=======

Код доступа и заголовок пакета всегда передаются в открытом виде, используя потоковый шифр E0. Из-за этого можно провести атаку на уровне канала связи. Пять из семи используемых величин передаются в plain-text'е, могут быть перехвачены, а пин вычислен после запуска алгоритмов шифрования
Подбор pin-кода замечательно проходит на практике; 4-хзначный пин вычисляется на 3 ГГц процессоре за 0,063 секунды, 5-тизначный - 0,75 сек, 6-тизначный - 7,609 сек, 7-мизначный - 76,127 сек. Используя, например, технологию nVidia CUDA результаты вообще могуть быть фантастическими.

В 2004 году Ollie Whitehouse обнаружил способ взлома bt при помощи pairing атаки (т.е. атаки на сопряжение, на практике не рассматриваем). В 2006 Авиша Вул и Янив Шакед опубликовывают статью, подробно описывающую эту уязвимость. Хакер прослушивает эфир во время соединения и на основе анализа полученных данных устанавливает соединение (т.е. просто spoofing), но атаку можно провести только, если удалось подслушать ВСЕ аутентификационные данные, что удаётся не всегда.

BlueDump (Re-Pairing attack)
На основе предыдущей атаки Вулом и Шакедом был выведен новый способ взлома - атака на пересопряжение (также не практикуем). Данный метод позволяет начать процесс сопряжения в любой момент, заново инициируя его. Существует 3 варианта этой атаки:

Цитата:
1\ Следом за парингом идёт аутентификация, master посылает AU_RAND и ждёт SRES. В стандарте описана возможность потери Link Key'я; в этом случае slave отсылает "LMP_not_accepted", сообщая тем самым о потере ключа. Взломщику нужно отследить момент посылки AU_RAND и внедрить пакет с LMP_not_accepted. В результате ключи связи на девайсах обнуляются, а паринг начинается заново.
2\ Если отправить IN_RAND slave-устройству перед отправкой AU_RAND, то это приведёт к реинициализации паринга, разница лишь в том, что теперь инициатор - slave.
3\ Взломщик ожидает отправки AU_RAND master'ом и посылает в ответ случайно сгенеренный SRES, что вызывает провал аутентификации; далее, после повторения данных действий несколько раз, паринг будет начат заново.
Весь минус этих двух атак в том, что они требуют наличия не стандартных устройств из магазина за углом, а специальных. После применения данных методов можно приступать к pairing атаке.

BlueBug
Атака, позволяющая получить доступ к выполнению AT-команд на сотовом, что может привести к чтению и отправке СМС, полному доступу к телефонной книге, и др. Возможности атаки практически не ограничены (всё зависит от модели телефона).

BlueSmack
DoS-атака, основанная на атаках времён Win 95 – Ping of Death, которая осуществляется при помощи утилиты BlueZ под nix. Взломщик оправляет устройству «длинный» пакет и устройство виснет или уходит в ребут.

BlueSnarf
Атака, появившаяся в 2003 году, использующая сервис OPP (OBEX Push Profile), который при нормальных условиях работает стабильно. Однако чаще для доступа к нему не нужна авторизация.
Главная проблема состоит в том, что если прошива написана неверно, то можно слить любой файл командой GET (как то: телефонную книгу, контакты и т.п.).

BlueSnarf++
Продолжение bluesnarf, позволяющее получить ПОЛНЫЙ доступ к ФС устройства (карты памяти, виртуальные и RAM диски и т.п.). Вместо OPP используется OBEX FTP (со всеми возможностями протокола FTP), к которому можно подключиться без авторизации.

HeloMoto
Атака (BlueSnarf + BlueBug) затрагивающая телефоны Motorola. Хакер соединяется с сервисом OPP жертвы (не требуется авторизация), имитируя посылку визитки (vCard) и разрывает соединение, не закончив его. В результате, в списке доверенных устройств жертвы появляется телефон атакующего, что даёт возможность соединиться с сервисом гарнитуры (Headset) и выполнять AT-команды.

CarWhisperer
Атака, производимая на автомобильные магнитолы с bt, с целью прослушки. Она возможна из-за использования стандартного pin (0000 или 1234). Соединение проходит прозрачно, после чего взломщик работает с магнитолой как с гарнитурой.

DoS атаки с использованием BSS (bluetooth stack smasher)
Тип атак, использующий неправильно сформированные L2CAP пакеты для ребута, выключения или зависания устройства жертвы.

+

Переполнение буфера в WIDCOMM.

В программном обеспечении марки WIDCOMM, позволяющем реализовывать весь стек протоколов, в августе 2004 был найден такой баг, позволяющий управлять устройством без знания PIN'а, посредством пересылки специального пакета. Затрагиваются BTStackServer версий 1.3.2.7, 1.4.1.03, 1.4.2.10 (используются в win 98, win xp, win ce и др), также затрагивались девайсы фирм Logitech, Samsung, Sony, Compaq, Dell и ещё некоторых, использовавших WIDCOMM.

Атака с телефона
Разновидность атак мы теперь знаем, ну что ж - GO ! Нам потребуется тело (обычный телефон, смартфон, КМК – особой роли не играет, но я предпочёл КМК) или ноут, софт (см. ссылки в конце – там много интересного) и наличие вблизи жертв с bt, естественно. Из софта для телефона я юзал java-проги, но во время теста на моём девайсе запустилась только половина + адекватно работала
только половина из оставшегося, поэтому пришлось использовать отечественную прогу специально для КМК - Terminal.

Часть первая – Простенько и со вкусом.
Берём КМК, запускаем Terminal, сканируем сеть, берём какое-нибудь устройство и смотрим на те сервисы, которые доступны, а, значит, открыты для атаки:



Атаковать будем выделенные сверху сервисы.

Вариант номер один:
Подключаемся как гарнитура (HelloMoto):



В качестве подопытного я использовал Sony Ericsson z550i, но, как ни странно, атака типа “HelloMoto”, предназначенная для Моторол, прошла успешно; ну и хорошо, также можно использовать режим гарнитуры, либо выбрать в сервисах тот, который был найден открытым в информации об устройстве. Подключаемся, вводим АТ для проверки поддержки телефоном АТ-команд (они же обычные модемные), и действуем дальше, (из-за режима гарнитуры права на исполнение некоторых команд могут быть урезаны, как я неоднократно наблюдал, дальше увидите полную картину боевых действий) узнаём модель телефона, уровень сигнала, батареи (АТ команды к статье прилагаются):



2 вариант:
Переходим в режим IrMC для кражи телефонной книги и календаря:



А дальше всё работает само)



Отключаемся и переходим к варианту номер 3 – режиму Терминал:



Так же проводим проверку на АТ команды (АТ, ATI) и сливаем таки телефонную книгу вместе с СМСками (пункт в меню Телефонная книга --> SE или СМС --> SE):



Обязательно попробуем отправить СМС или позвонить с чужого телефона (смотри в меню).
Звоним: набираем ATD=<номер телефона с 8>, первый вызов у меня например всегда проходит неудачно, набираем ATDL – теперь всё должно быть оке:



Команда "AT+CFUN=0" выключает телефон; но я предпочитаю поиздеваться ещё.

Часть вторая: FTP, родной FTP.
Выбираем пункт меню “просмотр файлов”, наш аппарат коннектится к другому посредством OBEX File Transfer Protocol (как бэ ФТП) и мы приспокойненько лазим в чужом телефоне (скачиваем\просматриваем\у аляем\создаём файлы):



Оставим на память папочку:



Думаю, хозяин не будет против, если мы скачаем пару песенок, неправда ли ?



Часть третья: мобильный спам.
Не думал, что когда-нибудь возьмусь за это, но.. BlueSpam - последствие вполне безобидного явления - BlueJacking'а.
Весь BJ основывается на том, что протокол позволяет передавать контактные данные напрямую через радиоканал, без участия сотовых операторов. Для спама нам потребуется программка с незаурядным названием - BT Spammer. Запускаем, смотрим настройки, выбираем, что будем отправлять: текст, визитку или картинку. Выбираем имя устройства, режим и т.д.



И жмём "Spam". Всё, процесс пошёл)

aka_zver вне форума   Ответить с цитированием