книги хакеры / журнал хакер / 077_Optimized

PC_ZONE

ИМПЛАНТ

[ВЗЛОМ]

СЦЕНА

UNIXOID

КОДИНГ

КРЕАТИФФ

ЮНИТЫ

Сверлим Bluetooth

BLUETOOTH — ЧРЕЗВЫЧАЙНО УДОБНАЯ ШТУКА. В САМОМ ДЕЛЕ: ПЕРЕСЛАТЬ КАРТИНКУ, ТЕЛЕФОННЫЙ КОНТАКТ, МЕЛОДИЮ? БЕЗ ПРОБЛЕМ! ПОИГРАТЬ ВДВОЕМ В ИГРУШКУ НА ЛЕКЦИИ? ЧТО МОЖЕТ БЫТЬ ПРИЯТНЕЕ! ОДНАКО НЕЛИШНЕ ТЕБЕ БУДЕТ ЗНАТЬ, ЧТО КАЖДЫЙ РАЗ, КОГДА ТЫ ПОЛЬЗУЕШЬСЯ ЭТИМ ПРОТОКОЛОМ, ТЫ В ОПАСНОСТИ. ЛЮБОЙ ЧЕЛОВЕК В РАДИУСЕ ДЕСЯТИ МЕТРОВ ЗАПРОСТО МОЖЕТ УТАЩИТЬ СЕКРЕТНЫЙ НОМЕР ИЗ ТВОЕЙ ТЕЛЕФОННОЙ КНИГИ, ПОЧИТАТЬ SMS-СООБЩЕНИЯ, ПОСМОТРЕТЬ ФОТОГРАФИИ И ДАЖЕ ПРИСВОИТЬ СЕБЕ ДЕНЬГИ С ТВОЕГО СЧЕТА. НЕОЖИДАННЫЙ ПОВОРОТ СОБЫТИЙ, НЕ ПРАВДА ЛИ? :) |

Взлом bluetooth-устройств на практике

Да, приятель, ты все верно понял. Сейчас я расскажу тебе о том, каким образом мобильные хакеры могут атаковать устройства, оснащенные bluetooth-модулями. Но прежде чем переходить к самому сладкому, советую тебе прочесть статью про внутреннее устройство протокола Bluetooth, которую ты найдешь в этом же номере. Это позволит тебе лучше понимать, о чем я говорю.

[станок для опытов] Прежде чем приступать к нашим изысканиям, необходимо определиться со средой, в которой мы будем работать. Толкового bluetooth-софта под Windows практически нет, вернее, у меня сложилось такое ощущение, что его нет в принципе. Поэтому я буду использовать в своих опытах Unix, конкретнее — FreeBSD 5.3, которая стоит на моем ноутбуке. Что касается bluetooth-девайса, то я заюзал обычный десятидолларовый адаптер, втыкаемый в USB, и сейчас расскажу, как такую железку подцепить под фряхой.

Bluetooth-стэк во FreeBSD реализовал наш соотечественник Максим Евменкин в виде модуля ng_ubt. В пятой фряхе этот модуль присутствует по умолчанию, для более старых версий его необходимо собрать отдельно — сорцы можно получить на нашем диске, а также на сайте www.geocities.com/m_evmenkin. Чтобы поднять девайс, нужно подгрузить модуль следующей командой: kldload ng_ubt. Затем необходимо подключить адаптер к USB-порту и выполнить сценарий, активирующий интерфейс: /etc/rc.bluetooth start ubt0. В консоли появится информация об устройстве, его адрес и т.д. Теперь можно начинать работу.

Вместе с модулем поставляются несколько утилит, которые сыграют ключевую роль в наших экспериментах. Я опишу самые главные программы и покажу, что с их помощью можно делать.

[стандартный софт] Первым делом следует упомянуть утилиту hccontrol, которая выполняет все операции, связанные с интерфейсом HCI. Пользоваться этой программой чрезвычайно просто:

$ hccontrol -n имя_hci_узла команда

Тут следует заметить, что имя узла — это не то же самое, что и имя интерфейса: так, например, интерфейсу ubt0 соответствует имя ubt0hci. В качестве команды может быть указано несколько десятков допустимых HCI-операций, среди которых имеет смысл выделить лишь несколько.

Первая из них осуществляет поиск в окрестностях активных discov- erable-устройств и называется Inquiry. Пользуются ей следующим образом:

[захваченная hcidump’ом работа l2ping]

$hccontrol -n ubt0hci Inquiry

Âкачестве результата работы мацию о найденных устройствах го, интересуют их адреса. Команда Remote_Name_

ройства по известному образом:

$ hccontrol -n ubt0hci Remote 00:0a:d9:7f:88:0d

После выполнения запроса волическое имя устройства Полный список доступных набрав в консоли man документации на диске. А

[bluetooth пинг-понг] В L2CAP (Logical Link Control позволяющий интерфейсам передавать и получать пакеты

L2CAP использует концепцию лов отдельных логических

линков. Каждый такой канал привязан к некоторому протоколу (один протокол может занимать несколько каналов, но не наоборот) таким образом, что каждый пакет L2CAP, получаемый каналом, перенаправляется к соответствующему протоколу более высокого уровня.

Есть две утилиты, предоставляющие доступ к этому протоколу, первая из них носит символическое название l2ping. Как несложно догадаться, эта тулза предназначена для проверки связи между устройствами и с виду работает так же, как и icmp ping:

На диске ты можешь также найти забавный ролик, в котором веселые парни при помощи красивой пуш- ки-антенны блюджекают телефончик Nokia на расстоянии в 1 милю. For fun, что называется.

На нашем диске ты найдешь все упомянутые в статье программы и драйвера, а также кучу разнообразной документации.

SDP — это протокол обнаружения сервисов, который дает возможность клиентам осуществлять поиск услуг, предоставляемых серверными приложениями. Во FreeBSD просмотреть список ресурсов можно при помощи утилиты sdpcontrol: sdpcontrol -a BD_ADDR browse.

# l2ping –a 00:0a:d9:7f:88:0d

0 bytes from 00:0a:d9:7f:88:0d seq_no=0 time=37.823 ms result=0

...

Но это, конечно, только с виду. Обрати внимание, что многие устройства возвращают в ответ на L2CAP echo request пустые пакеты, так что 0 bytes — это в порядке вещей.

Помимо тестирования связи, у этой утилиты есть еще одно интересное применение — DoS-атаки на синезубые устройства. Подобно icmp-флуду, существует гипотетическая возможность завалить с голо-

вой любой bluetooth-девайс L2CAP пакетами с целью прервать активные пользовательские соединения. Как я уже отмечал выше, максимальный размер пакета составляет 65 килобайт, и, в общем-то, понятно, что для достижения цели необходимо использовать несколько устройств в режиме максимальной производительности. Также есть возможность вести «обстрел» в несколько потоков с каждого из доступных устройств. При этом нужно экспериментально определить оптимальную длину пакетов и количество тредов — в своих опытах я пришел к тому, что лучше всего работать в три-четыре потока — именно в этом случае достигается максимум используемой мощности канала.

[XÀÊÅÐ 05 [77] 05 >

взлом 062]

[XÀÊÅÐ 05 [77] 05 >

[пример использования hccontrol и l2ping]

[крадем записные книги] Теперь расскажу об одной из самых сладких вещей в этой статье — о краже пользовательской информации из телефонов по bluetooth, так называемом BlueSnarfing’е. Предположим, в людном месте (например в кафе в центре города) я насканил несколько доступных девайсов. С большой долей вероятности у меня получится украсть пользовательские данные по bluetooth так, что этого не заметят их владельцы. Виной тому — кривая поддержка интерфейса OBEX в ряде телефонов (в том числе, например, в мегапопулярных SonyEricsson t68, t610, t630 и Nokia 6310i). Однако прежде чем начинать бизонить, не лишним будет разобраться, что такое OBEX и как осуществлена его поддержка во FreeBSD. Протокол Object Exchange — популярная фишка, используемая для простой передачи файлов между портативными устройствами. Например если нужно без геморроя передать с одного телефона на другой несколько контактов или ежедневник, то всегда юзают OBEX, это очень удобно. Сервер и OBEX-клиент реализованы во FreeBSD в виде пакета obexapp, который наколбасил уже знакомый нам Макс, и его даже включили в список портов — comms/obexapp. Устанавливать тулзу проще всего именно оттуда, если не хочется геморроя со всеми зависимостями и про- чей ботвой. Если же ты не ищешь легких путей — забирай с диска сорцы и собирай руками, а мы пока научимся пользоваться тулзой. Делается это просто:

obexapp -a 00:0a:d9:7f:88:0d -C 10

Здесь флаг -a указывает на адрес устройства, в то время как -C определяет RFCOMM канал, — OBEX висит на десятом. После того как произведено подключение к удаленному устройству, можно выполнять некоторые команды. Самые главные и интересные для нас называются get è put. Первая, понятное дело, позволяет скачивать файлы, а вторая

— заливать их на телефон. У тебя, наверное, появился вопрос — какие файлы, о чем я? Дело в том, что вся информация предоставляется OBEX’ом в виде логической файловой системы. Причем от телефона к телефону не меняется ни одна из описанных в протоколе вещей и структура каталогов в целом одинаковая. Так, например, телефонная книжка доступна по адресу telecom/pb.vcf, а календарь с напоминаниями лежит в файле telecom/cal.vcs.

Все это замечательно, прекрасно и очень удобно. Впечатление портит только один

[захваченная hcidump’ом работа l2ping]

факт: огромная куча популярнейших телефонов позволяет неавторизованным устройствам получать доступ к OBEX’у. У меня без проблем получилось украсть телефонную книжку со своего старого SonyEricsson T68i, пали под натиском и абсолютно все T610, которые мне попались под руку. Также уязвим целый ряд телефонов Nokia и Siemens — проблема, как видишь, очень серьезная.

Но довольно философии, расскажу лучше, как я крал собственную телефонную книжку по bluetooth :).

Подключившись к OBEX’у, я набрал команду get и в ответ на запрос имени скачиваемого файла ввел telecom/pb.vcf. Затем obexapp попросила указать локальное имя, под которым следует сохранить телефонную книгу, и задумалась на несколько секунд — это время требовалось для передачи данных. После этого в текущей директории и в самом деле оказался файл, внутри которого я не без удивления обнаружил знакомые имена и телефоны :(. Мобильник, пока я крал контакты, даже и не подал виду, что происходит такая подстава. Телефонная книга представляет собой обычный текстовый файл с записями в формате vCard, это специальный стандарт для представления электронных визитных карточек (на нашем диске ты найдешь полную спецификацию этого формата). Чтобы тебе было проще разобраться, приведу пример vCard-контакта:

[пример контакта в формате vCard]

BEGIN:VCARD

VERSION:2.1

N:Bezdrishenko;Akakij

TEL;HOME:+70957777777

TEL;CELL:+79036666666

TEL;WORK:+79052222222

TEL;FAX: +70954444444

END:VCARD

Абсолютно аналогичным образом можно украсть электронный дневник telecom/cal.vcs, который выглядит примерно так:

[формат календаря с напоминаниями]

BEGIN:VCALENDAR

VERSION:1.0

BEGIN:VEVENT

DTSTART:20041026T235000Z

DTEND:20041027T005000Z

SUMMARY:Ne zabyt’ kupit’ pivka

AALARM:20041026T235000Z

CATEGORIES:MISCELLANEOUS

END:VEVENT

END:VCALENDAR

[установка obexapp — из портов удобнее!]

[синиежукикрадутденьги]Не менее интересно другое направление взлома — так называемый BlueBugging, удаленное управление телефоном по bluetooth при помощи AT-команд и протокола RFCOMM. Что это позволяет делать? Очень многое! Например, можно запросто читать чужие SMS-сообщения по bluetooth, можно заставить телефон позвонить по определенному номеру и даже отправить текстовое сообщение. Благодаря этому возможно даже банально красть деньги с телефонных счетов. Как? К сожалению, очень просто :(. Электронный вор вполне может анонимнозарегистрироватьспециальныйномер, звонки и смс-сообщения на который будут стоить хороших денег. А заставить уязвимую мобилу позвонить по определенному номеру

— это пара секунд.

Расскажу, как это работает. Существует утилита rfcomm_sppd, которая эмулирует последовательный порт на bluetooth-уст- ройствах. В качестве виртуального последовательного порта используется псевдотерминал. Сейчас я покажу, как можно подключиться к сервису Serial Port на удаленном девайсе:

# rfcomm_sppd -a 00:0a:d9:7f:88:0d -t /dev/ttyp4

Для работы с псевдотерминалом можно использовать программу cu:

# cu -l ttyp4 -s 9600

После этого уже можно общаться с устройством при помощи AT-команд. Обрати внимание, что для rfcomm_sppd необязательно явно указывать канал, к которому следует подключаться. Утилита сама умеет его определять при помощи протокола SDP.

Нужно отметить тот факт, что с моим подопытным T68 эта атака не прошла: для подключе- ния к нужному порту требовалась аутентификация устройства. Однако, насколько мне известно, целый ряд телефонов Nokia подвержен этой атаке (сообщения об этом есть даже на официальном сайте Nokia).

Что касается использования AT-команд, то тут все просто. Стоит только обратиться к официальной документации, которую ты найдешь на диске, и все вопросы отпадут сами собой.

[обнаружение невидимок] Обнаружение в эфире устройств, которые находятся в режиме non-discoverable, — довольно интересная задача. Ведь устройство откликается только на запросы, адресованные лично ему, а для этого необходимо знать его адрес.

[ВНЕШНЯЯ АНТЕННА ДЛЯ BLUETOOTH-АДАПТЕРА]

При занятии bluetooth-весельем любого взломщика очень скоро начинает бесить ограничение, которое накладывает сама технология: абсолютное большинство устройств сейчас способно нормально работать на расстоянии до 10 метров. Это означает, что нужно быть довольно близко к своей жертве и постоянно за ней передвигаться, если злодейская акция еще не завершена. Не всегда это бывает удобно, что уж говорить! Поэтому настоящие мачо используют в своей работе внешние антенны для bluetooth-модулей. Разумеется, вполне можно купить культурное устройство с аккуратненьким выходом и подключить к нему готовую антеннку. Но это не по-киберпанковски, приятель! Мы с тобой сделаем свою собственную антенну и подключим ее к стандартному копеечному адаптеру. Прежде всего, надо понимать, что bluetooth работает абсолютно на тех же частотах, что и стандарт 802.11a/b/g, поэтому все, что мы писали об изготовле-

нии антенн для Wi-Fi, применимо и для bluetooth-моду- лей — за инструкциями, картинками, а также книгой об СВЧ-антеннах советую тебе обратиться к нашему диску. Что же касается переделки самого адаптера, то она минимальна! Необходимо лишь отпаять стандартную антенну, просверлить в корпусе дырочку сверлом на 4 мм и установить в отверстии MMCX-разъем для подключения внешней антенны.

внешняя антенна

[вот эту антенну надо отпаять]

XÀÊÅÐ 05 [77] 05 >

FERRUM

PC_ZONE

ИМПЛАНТ

[ВЗЛОМ]

СЦЕНА

UNIXOID

КОДИНГ

КРЕАТИФФ

ЮНИТЫ