Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 56_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

11.84 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 148 9 10 11 12 13 14 > Следующая >>>

hang

NOW!

BUY

w Click

-xcha

Адаптер голубого зуба

Внешний вид антенны HG2415Y типа Randome от HyperLink Technology

		ностей конкретного передатчика. Ведо-
		мое и ведущее устройство могут иметь
		только один канал (link) асинхронной
Подключение внешней антенны		только один канал (link) асинхронной
Подключение внешней антенны		связи, организованный по схеме точка-

служебная информация "съедают"	Кбит/с, но на практике все зависит от ус-
служебная информация "съедают"	Кбит/с, но на практике все зависит от ус-	точка (point-to-point) или работающий в
20% трафика, оставляя нам ~820	ловий связи и конструктивных особен-	широковещательном режиме (broad-
		cast), причем без разрешения хозяина
		раб не может переходить на асинхрон-
		раб не может переходить на асинхрон-
		ный тип передачи. В синхронном режиме
		связи мастер может поддерживать до
		трех каналов с одним, двумя или тремя
		ведомыми устройствами, с расчетной
		пропускной способностью каждого кана-
		ла в 64 Кбит/с. Вещание ведется в сло-
		тах, назначаемых мастером. Слоты, не
		используемые в синхронном режиме,
		могут использоваться асинхронным.
		Предельно допустимая мощность пе-
		редатчика по спецификациям должна
		составлять 10 мВт, что обеспечивает ус-
		тойчивую работу в радиусе 10-25 метров.

Схематичное изображение протокола передачи

ЧТО В ИМЕНИ ТВОЕМ

Общепринятая практика перевода BlueTooth как "голубой зуб" выглядит довольно странной, если не сказать подозрительной. В качестве оправдания вспоминают короля викингов Harald Blutend, якобы получившего свое прозвище из-за потемневшего переднего зуба и воссоединившего Данию и Норвегию. Будто бы произношение его имени созвучно с BlueTooth'ом, в честь которого он и был назван.

Легендарный хакер Юрий Харон предлагает свою версию перевода, которая нам кажется наиболее близкой к истине (если, конечно, допустить, что истина вообще есть). Blue – на жаргоне электронщиков означает "легкий", "простой", а tooth – "сцепка", "зацепление". Соединив все вместе, получаем: "легкая сцепка", "простая связь".

Логично? Диаграмма направленности антенны HG2415Y

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				Ä Å Í Ü Ã È
								Ä Å Í Ü Ã È
								Ì Î Á È Ë Ü Í Û Å

Bluetooth-уст- ройства ломают и ломают на расстоянии.

Bluetooth-уст- ройства работают в диапазоне частот от 2400 до 2483,5 МГц (а вовсе не 2,4 МГц, как думают некоторые).

hang

NOW!

BUY

CODING & HACKING

ОХОТАНАГОЛУБОЙЗУБ

BUY

w Click

ОШИБКА ПЕРЕПОЛНЕНИЯ В WIDCOMM

-xcha

-x cha

Ã È

Создатели голубого зуба предлагают готовое программное обес-

печение для его поддержки, распространяемое под торговой мар-

Å Í

êîé WIDCOMM (Wireless Internet and Data/Voice Communications -

беспроводной интернет и коммуникации для передачи голоса и

данных), что избавляет производителей оборудования от самосто-

ятельной реализации всего стека протоколов. Программисты ста-

рой школы (к которым принадлежит и Юрий Харон) хорошо знают

Ü Í

истинную цену решений из "пробирки". Напоровшись на чужие

ошибки пару раз, они перестают доверять любому коду, кроме сво-

его собственного. И не зря!

Антенна HG2415Y, превращенная в снайперское радио-

ружье

В августе 2004 года в WIDCOMM'е было обнаружено тривиальное

переполнение буфера, позволяющее захватывать управление уст-

ройством простой посылкой специально подготовленного пакета.

Никакой PIN для этого подбирать не нужно! Уязвимость затрагива-

ет BTStackServer версии 1.3.2.7, 1.4.1.03 и 1.4.2.10, используемые в

Windows 98, Windows XP, Windows CE и др. Кроме этого, WIDCOMM

используется многими компаниями: Logitech, Samsung, Sony, Texas

Instruments, Compaq, Dell... Полный перечень включает в себя бо-

лее трех десятков наименований. Все BlueTooth-устройства, произ-

водимые этими компаниями, находятся под угрозой и в любой мо-

мент могут быть атакованы. Для популярного наладонника HP IPAQ

5450 даже написан специальный эксплойт! В некоторых случаях

проблема решается установкой всех заплаток или сменой прошив-

ки, некоторые же устройства остаются открытыми до сих пор.

Еще одно радиоружье

Подробности можно найти по адресу www.pentest.co.uk/docu-

СНАЙПЕРСКАЯ АНТЕННА

ments/ptl-2004-03.html.

Для охоты за голубым зубом не-

обходимо увеличить радиус действия

Хорошая ан-

устройства хотя бы до сотни метров.

Оформить заказ можно по интернету.

уложить антенну в спортивную сумку

Это легко! Достаточно разобрать

Хорошая антенна стоит в пределах

или рюкзак, которые скрывают ее от

тенна для охо-

адаптер, найти медную дорожку, изог-

полусотни долларов, плюс пересылка

посторонних глаз и не привлекают

ты стоит в пре-

делах $50,

нутую сексуальной буковкой "П", и

и растаможка.

внимания посторонних.

плюс пересыл-

припаять к ней провод от внешней

Самой широкой популярностью

Для удобства "прицеливания" (а

ка и растамож-

антенны на 2,4 ГГц, позаимствован-

пользуется модель HG2415Y от

попасть в голубой зуб при такой диаг-

ка. Лучше -

ной у WLAN-устройств.

HyperLink Technology с коэффициен-

рамме направленности не так-то лег-

дороже.

Однако для серьезной атаки дистан-

том усиления 14 dB и подходящей ди-

ко) многие хакеры насаживают антен-

ция в сотню метров явно недостаточ-

аграммой направленности. Компакт-

ну на фотографический штатив, при-

на, и настоящие охотники обзаводят-

ные габариты (462x76 мм) позволяют

делывают к ней приклад и оптический

ся узконаправленными антеннами ти-

прицел, в результате чего получается

Bluetooth ïîä-

па randome или parabolic. Ими торгу-

самое настоящее радиоружье с пора-

ют многие компании, например

жающим действием на дистанции до

держивает нес-

колько режи-

HyperLink Technology èëè MAXRAD.

одного километра.

мов секретнос-

Из параболических антенн рекомен-

òè: Security

äóþò HG2424G âñå îò òîé æå

Mode 1,

HyperLink Technology. Коэффициент

Security Mode

2 è Security

усиления в 24 dB выше всяких пох-

Mode 3.

вал. Острая диаграмма направленнос-

ти бьет голубой зуб за несколько ки-

лометров, однако неуклюжие габари-

ты (100x60 см) существенно затрудня-

ют ее транспортировку, а чрезмерная

узконаправленность создает пробле-

мы для прицеливания, особенно акту-

альные при слежении за быстродви-

жущейся жертвой, так что во многих

случаях HG2415Y все же оказывается

предпочтительнее.

Полутораметровая параболическая

антенна HG2430D с усилением в 30

dB обойдется уже в $300. Стоит ли

она того? Для охоты с балкона на ста-

ционарные мишени - да, но для поле-

вой охоты она слишком громоздка и

неудобна.

Внешний вид параболической антенны

Диаграмма направленности антенны

HG2415Y îò HyperLink Technology

HG2415Y

ХАКЕРСПЕЦ 07(56) 2005

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to

											m
w
	w									o
	.								.c
		p					g
			df			n		e
				-xcha

Генерация секретных ключей на основе PIN-кода

АВТОРИЗАЦИЯ И АУТЕНТИФИКАЦИЯ

Голубой зуб поддерживает несколько режимов секретности: Security Mode 1 (nonsecure - открытый), Security Mode 2 (Service-level enforced security - секретность уровня сервиса) и Security Mode 3 (Link-level enforced security - секретность уровня канала).

Âmode 1 все системы защиты выключены. Не используется ни аутентификация, ни шифрование, а само BlueTooth-устройство работает в широковещательном режиме (он же "неразборчивый" - promiscuous), что делает возможным построение сниферов из доступных компонентов.

Âmode 2 сразу же после установки соединения начинается процесс аутентификации, осуществляемый по L2CAP-протоколу (Logical Link Control and Adaptation Protocol - протокол управления логическим каналом и адаптации) и выполняемый Менеджером безопасности (Security Manager), находящимся на канальном уровне и взаимодействующим с протоколами верхних уровней. Это позволяет выборочно ограничивать доступ к устройству, например, все могут просматривать данные, но не все - изменять их.

Âmode 3 аутентификация происходит перед установкой соединения на канальном уровне, за счет чего все "левые" устройства будут отшиты еще на этапе подключения. Поддерживается "прозрачное" шифрование трафика, выполняемое без участия протоколов верхнего уровня, что обеспечивает максимальный уровень

безопасности и комфорта, однако даже в этом случае степень защиты относительно невелика и устройство может быть легко взломано.

Фундаментом безопасности является схема генерации ключей. Ключи генерируются на основе PIN-кодов. PINкод представляет собой персональный идентификационный номер, длиной от 1 до 16-ти байт, назначаемый

Процесс аутентификации

владельцем устройства и хранимый в энергонезависимой памяти. Большинство мобильных устройств используют 4-значный (32-битный) PIN-код, по умолчанию выставленный в ноль. Некоторые устройства отказываются работать с нулевым PIN'ом, вынуждая пользователей изменять его на "1234" или что-то в этом роде. Но ломать такие PIN'ы неинтересно. Это все равно, что расстреливать кабана, привязанного к дереву.

На основе PIN-кода генерируется 128-битный Link Key, вычисляемый по алгоритму E2. В свою очередь, на основе Link Key'я генерируется 128-бит- ный Encryption Key, вычисляемый по алгоритму E3. Link Key используется для аутентификации, а Encryption Key – для шифрования трафика.

Аутентификация осуществляется по классической схеме запрос-отклик, такой же древней, как сам компьютерный мир (регистрация пользователя в UNIX и Windows NT построена по тем же принципам).

Первый шаг: Инициатор соединения (claimant) посылает заинтересованному устройству (verifier) свой уникальный 48-битный аппаратный адрес (BD_ADDR), в каком-то смысле похожий на обычный MAC-адрес, зашитый

âкаждой сетевой карте. Второй шаг: Verifier передает

claimant'у 128-битную привязку (challenge), генерируемую случайным образом и обозначаемую как AU_RAND.

Третий шаг: На основе BD_ADDR, Link Key и challenge Verifier генерирует секретную шифропоследовательность (SRES), то же самое делает transmitter.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i	r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				Ä Å Í Ü Ã È
								Ä Å Í Ü Ã È
								Ì Î Á È Ë Ü Í Û Å

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
	Ä Å Í Ü Ã È			-xcha
	Ä Å Í Ü Ã È
	Ì Î Á È Ë Ü Í Û Å

72 CODING & HACKING ОХОТАНАГОЛУБОЙЗУБ

Четвертый шаг: Полученную шифропоследовательность claimant передает Verifier'у.

Пятый шаг: Verifier сравнивает вы- численную им SRES с откликом claimant'а и, если они совпадают, устанавливает соединение.

Таким образом, в открытом виде PINкод не передается и поэтому не может быть перехвачен. Но он может быть подобран. В самом деле, мы можем перехватить BD_ADDR, AU_RAND и SRES, после чего нам остается всего лишь подобрать такой Link Key, который при данных BD_ADDR и AU_RAND давал бы идентичный SRES. Даже если используется 128-битный PIN, полный перебор на Pentium-4 занимает всего лишь несколько часов, а 4-символьный PIN взламывается практически мгновенно!

Сканирование BlueTooth-устройств утилитой hcitool

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

МЕТОДЫ АТАКИ - BLUETRACKING

Атаки типа Bluetracking основаны на том, что адрес устройства BD_ADDR передается в Сеть в незашифрованном виде и может быть легко перехва- чен и декодирован. Хакер может определить производителя устройства, модель и ее происхождение. Группа хакеров, рассредоточенных по городу и вооруженных антеннами типа randome, без труда отслеживает перемещение жертвы со всеми вытекающими отсюда последствиями.

МЕТОДЫ АТАКИ - BLUESNARFING

Серия нашумевших атак типа Bluesnarfing все еще не потеряла свой ореол загадочности. Под изумленные взгляды окружающих хакеры вытягивают с сотовых телефонов записные книжки, содержимое адресной книги, архив SMS-сообщений и другую приватную информацию. Черт возьми, как?! Хакеры улыбаются, но не отвеча- ют. Разработчики голубого зуба подтверждают возможность атаки (www.bluetooth.com/help/security.asp), но технических деталей не разглашают. Еще бы! Во многих мобильных устройствах служба обмена объектами (Object Exchange - OBEX) работает в non-secure-режиме, не тре-

Стек протоколов голубого зуба

буя никакой аутентификации! Этим, в частности, грешат сотовые телефоны от Nokia (модели 6310, 6310i, 8910 и 8910i), Ericsson и Sony Ericsson (в особенности модели T68, T68i, R520m, T610 и Z1010), Motorola (V80, V5xx, V6xx and E398), а Siemens всегда работает в защищенном режиме.

МЕТОДЫ АТАКИ - BLUEBUGGING

Атаки типа Bluebugging (также называемые Blue Bug) представляют собой разновидность Bluesnarfing-атак, но вместо обмена объектов происходит засылка AT-команд по все тому же OBEX-протоколу. AT-команды - это обыкновенные коммуникационные команды, знакомые любому модемщику. С их помощью можно отправлять SMS-сообщения, осуществлять голосовые звонки за счет жертвы и даже выходить в интернет по WAP/GPRSпротоколам. И все это безо всякой аутентификации! Blue Bug - это серьезно, так что владельцам неблагонадежных сотовых телефонов лучше всего держать голубой зуб выключенным.

Наконец, даже полностью защищенные телефоны типа того же Siemens могут быть взломаны лобовым перебором. Как уже отмечалось, 4-знач- ный PIN вскрывается за несколько секунд, и даже если в будущих моделях производители увеличат длину PIN-ко- да до 16-ти байт, это не остановит взломщиков и сильно напряжет пользователей. Такой PIN сможет запомнить далеко не каждый, а это значит, что повсеместно будут использоваться осмысленные "словарные" номера, существенно упрощающие их перебор.

Существует более двух десятков типов атак, которые было бы слишком утомительно описывать здесь. Тот, кто хочет узнать больше, может обратиться к замечательной книге Wireless Network Security или другим подобным документам.

ЧЕМ ЛОМАТЬ

Хачить голубой зуб лучше всего под Linux'ом, открытая архитектура

которого позволяет использовать уже готовые компоненты и содержит кучу полезных утилит, которые можно использовать для сканирования или Bluesnarfing-атаки. Например, hciconfig, запущенную с ключом "-ifconfig", или hcitool cо следующими ключами: Scan - просканировать периметр и распечатать список обнаруженных BlueTooth-устройств, Name - возвратить имя удаленного устройства, Cmd - управление локальным голубым зубом по HCI-интерфейсу, Cc - создать подключение. Подробное разъяснение всех команд содержится в man'е.

До HCI-интерфейса можно дотянуться через Ioctl-коды или опции сокетов. Команды, отвечающие за это, имеют характерный префикс HCI. К их числу принадлежат HCI_Create_New_Unit_Key, HCI_Read_Pin_Type, HCI_Read_Authentication_Enable, HCI_Read_Encryption_Mode, HCI_Change_Local_Link_Key, HCI_Master_Link_Key и многие другие.

БАНЗАЙ!

Взлом голубого зуба - это не фантастика. Это реальность, доступная каждому из нас. Есть такой вид радиоспорта - охота на Лис. В укромном месте закладывается передатчик (лиса), который пытаются запеленговать вооруженные приемниками радиолюбители. Кто первый обнаружит его, тот и победил. По аналогии с этим, дистанционный взлом Голубого Зуба был прозван Охотой на Кур - беззащитных пользователей, трепещущих под снайперским радиоружьем, словно желторотые птенцы.

Это азартно и интересно. Это захватывает и не отпускает. Подстрелив свою первую дичь, хочется стрелять еще и еще. Долгое сидение в засаде, предварительная техническая подготовка, тщательно отлаженная экипировка, которая ни за что не подведет, и, конечно же, чувство справедливого восторга хищника, набрасывающегося на ничего не подозревающую жертву. E

ХАКЕРСПЕЦ 07(56) 2005

hang

NOW!

С ДЕРЕВЯННОЙ ЛОШАДКОЙ

BUY

w Click

-xcha

-x cha

СТАЛОСКУЧНО?

Играй

просто!

GamePost

PlayStation 2	GameCube	Xbox
$185.99	$139.99	$279.99

PSP (US)	Game Boy Advance	Nintendo DS
value pack	SP Cobalt	Dualscreen

$399.99	$109.99	$185.99

ÍÅ ÏÎÐÀ ËÈ

СМЕНИТЬ ИГРУ?

* Огромный	* Èãðû äëÿ âñåõ	* Коллекционные
выбор компью-	телевизионных	фигурки из
терный игр	приставок	èãð

WarCraft III

Action Figure:

$42,99 Ticondrius

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
	Ä Å Í Ü Ã È			-xcha
	Ä Å Í Ü Ã È
	Ì Î Á È Ë Ü Í Û Å

74 CODING & HACKING БЕЗОПАСНЫЙВЗЛОМЧЕРЕЗGPRS

Крис Касперски ака мыщъх (no e-mail)

БЕЗОПАСНЫЙ ВЗЛОМ ЧЕРЕЗ GPRS

НАГЛЯДНЫЕ ПРИМЕРЫ ИЗ ПРАКТИКИ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Ñезон охоты на хакеров уже открыт! Нас разыскивают спецслужбы всего мира. Если ты релизишь варез, дизассмишь программы, отламываешь защиты, разводишь вирусы или атакуешь Сеть, тебя сажают в тюрьму. Чтобы остаться

на свободе, достаточно иметь сотовый телефон с GPRS-протоколом, паяльник, дизассемблер и немного смекалки.

ПОЧЕМУ НЕ СТОИТ » ИСПОЛЬЗОВАТЬ АНОНИМНЫЕ PROXY

Любое расследование традиционно начинается с извеч- ных вопросов: кому это выгодно и кто бы мог сделать это? Многие хакеры прокалываются на том, что оставляют за собой текстовые строки (так называемые "граффити") с указанием своего ника, города проживания, названия кафедры или другой информации подобного типа. Это существенно сужает круг поиска, поэтому спецслужбам остается всего лишь перешерстить компьютерную тусовку. Реальных хакеров очень немного, и все о них знают. Вот она - цена известности!

В этом мире выживает только тот, кто отрезает себя от внешнего мира, отказывается от общения и, забившись в глухую нору одиночества, хакерствует в свое удовольствие. Основным источником информации, демаскирующим атакующего, становится его IP-адрес. С точки зрения сетевых протоколов это всего лишь 32битное число в заголовке пакета, которое ничего не стоит подделать или исказить. Но толку от этого будет немного. Пакеты с левыми IP-адресами сдохнут на первом же маршрутизаторе, а если не сдохнут, никакого ответа отправитель все равно не получит, а значит, не сможет установить TCP-со- единение.

Для обеспечения собственной анонимности проще всего воспользоваться proxy-сервером, расположенным в какой-нибудь отсталой стране, не симпатизирующей ни России, ни Америке. Таких серверов достаточно много, но далеко не все они анонимны. Существует множество служб, проверяющих proxy на "вшивость", к примеру www.showmyip.com.

Служба www.showmyip.com проверяет японский proxy-сервер bi.ikenobo- c.ac.jp. Proxy успешно скрыл мой IP и даже попытался замаскировать континент (Asia), но позволил определить город проживания (Krasnodar) и название компании провайдера

(Southern Telecommunication Company), а также часовой пояс, который, кстати говоря, определяется с помощью Java-скриптов, так что proxy тут ни при чем. Чтобы не погореть на первом же взломе, хакер должен сменить сервер и отключить скрипты.

Но даже если proxy выглядит вполне благонадежным, он может скрытно коллекционировать трафик, предоставляя эту информацию по первому требованию спецслужб. По слухам, самые быстрые анонимные proxy установлены как раз спецслужбами. Но проблема даже не в этом. Каждый из нас может поставить честный proxy, который гарантированно не собирал бы никакой информации о пользователях, и отдать его в коллективное распоряжение - пускай хакерствуют (это характерно для институтов и других некоммерческих организаций с

трафиком, оплачиваемым государством). Но где гарантия, что информацию о входящих/исходящих соединениях не собирает наш провайдер или провайдер провайдера? А, как показывает практика, большинство провайдеров ее все-таки собирают, сохраняя логи на жестких дисках в тече- ние нескольких дней или даже недель. К тому же не стоит забывать про СОРМ, который, как известно, не дремлет.

СОРМ - система оперативно-розыск- ных мероприятий, в настоящее время принятая практически всеми провайдерами и предназначенная для отлова хакеров. Подробности смотри по адресу www.loniis.ru:8101/RUS/products/catalogs/zips/sorm2001.zip.

Конечно, если хакер дефейсит страничку Васи Пупкина, то хорошего proxy-сервера для этих целей вполне достаточно. Главное - не оставить на

ХАКЕРСПЕЦ 07(56) 2005

hang

NOW!

BUY

w Click

W W W

-xcha

СЛУЖБЫ ДЛЯ ТЕСТИРОВАНИЯ PROXY

www.showmyip.com - Отличный сервис для проверки анонимных

proxy из известных мне. Показывает максимум информации, кото-

рую только можно собрать, и автоматически дает ссылки на карту,

если географический район был определен.

www.leader.ru/secure/who.html - Мощный сервис для тестирова-

ния proxy. Определяет IP-адрес, доменное имя, тип браузера, вер-

сию операционной системы, предпочтительный почтовый сервер и

т.д. Без рекламы и с минимумом графики.

checkip.dyndns.org - Сообщает всего лишь один IP-адрес удален-

ного узла, рекламу и графику не показывает.

www.ipcheck.de - Сообщает IP-адрес, доменное имя и тип браузера.

Простенько, но со вкусом. Правда, с большим количеством графики.

атакуемом узле никакой личной информации, потому что поднимать логи по такому мелочному делу все равно никто не будет. А для серьезного взлома proxy уже не подходит, и приходится искать другие пути.

ОБЩАЯ СТРАТЕГИЯ ВЗЛОМА

Сотовый телефон - коварная штука. Каждый аппарат содержит уникальный заводской номер (точнее, серию номеров), автоматически передаваемый в Сеть при включении питания или даже при каждом звонке (это уж как решит оператор), что позволяет спецслужбам обнаруживать краденые телефоны, отслеживать перемещение их владельцев и делать много других нехороших вещей. Аналогич- ным образом поступает и SIM-карта, передающая идентификационную ин-

W W W

формацию, по которой легко определить имя и фамилию абонента. Продавцы телефонов ведут специальные списки, отмечающие, кому и когда был продан определенный агрегат - за этим строго следят блюдущие органы. Некоторые магазины требуют предъявления паспорта, некоторые - нет. Теоретически можно называться вымышленным именем, однако всегда существует риск, что покупателя опознает продавец.

Чтобы остаться незамеченным, хакер приобретает с рук подержанный сотовый телефон по чисто номинальной цене (телефон, естественно, ворованный) и при необходимости тем же путем добывает SIM-карту с некоторой суммой на счету. Выехав с ноутбуком в безлюдное место, он осуществляет взлом (или сливает свеженаписанный вирус в интернет), а затем уничтожает сотовый телефон, закатывая его в асфальт :). Чтобы установить личность атакующего, спецслужбам придется раскрутить всю цепоч- ку: кому был продан телефон, кем уворован, куда перепродан и т.д. Но и никаких доказательств у них все равно не будет, так как телефон уничтожен, а все компрометирующие данные давно стерты или зашифрованы.

Естественно, если хакер настолько обнаглеет, что начнет совершать взломы на регулярной основе, его быстро засекут и установят слежку за ним. Даже если атаки совершаются из разных мест, запеленговать сотовый - плевое дело. Поэтому приходится действовать так: сотовый телефон с голубым зубом

БЕЗОПАСНЫЙ WEB-СЕРФИНГ

www.triumphpc.com/proxy-server/ - Отличный анонимный proxyсервер, автоматически отключающий скрипты и блокирующий cookie. К сожалению, это не полноценный HTTP-Proxy, а онлайновая web-служба, так что SSH через него работать не будет. Тем не менее, для хакерских атак он подходит.

подкладывается в кучу мусора посреди пустыря (естественно, с предварительно протертыми "пальчиками"), а хакер сидит с ноутбуком на порядоч- ном расстоянии от кучи мусора (в радиусе прямой видимости с направленной антенной голубой зуб держит устойчи- вую связь в пределах километра) и при появлении непрошеных "гостей" сматывает удочки и уезжает.

Кто-то может спросить: "Зачем все эти сложности, когда можно просто зайти в любое интернет-кафе, подключиться к телефонной "лапше" на лестничной площадке и т.д.?" На самом деле все эти способы небезопасны и ненадежны. Сколько хакеров на этом погорело - не пересчитать! Но и выбрасывать телефон после каждой атаки получается слишком накладно. Так никаких телефонов не напасешься. С некоторой долей риска можно ограничиться тем, чтобы после каждой атаки изменять идентификационный номер на другой, и тогда уничтожать телефон будет необязательно. Спецслужбы все равно не смогут ни- чего отследить. При желании можно перепрограммировать и SIM-карту, однако хлопоты не стоят того.

ВНУТРИ СОТОВОГО ТЕЛЕФОНА

Идентификационный номер состоит из двух частей: ESN (Electronic Serial Number – электрический серийный номер) и MIN (Mobile Identification Number – мобильный идентификационный номер). Обычно они обознача- ются как ESN/MIN и у наших зарубежных хакерских коллег называются парой (pair).

Конструктивно MIN хранится в модуле NAM (Number Assignment Module – модуль назначения номеров) - микросхеме постоянной памяти c емкостью не менее 32 байт, которая облачена в пластиковую или керамическую "обертку" и расположена на пе- чатной плате. Обычно это EEPROM (то есть многократно перепрограммируемое ПЗУ) или PROM (однократно программируемое ПЗУ). Отождествить эту микросхему очень просто - эдакий мелкий таракан с восемью ногами. Помимо MIN'а, здесь находится SIHD и другая служебная информация, при- »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				Ä Å Í Ü Ã È
								Ä Å Í Ü Ã È
								Ì Î Á È Ë Ü Í Û Å

Как ни странно, мобильный телефон - луч- шее средство обеспечения анонимности.

Будь осторожен: быстрые анонимные proxy могут контролировать и спецслужбы.

Почти все провайдеры давно ходят под надзором СОРМ.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
	Ä Å Í Ü Ã È			-xcha
	Ä Å Í Ü Ã È

hang

NOW!

CODING & HACKING

БЕЗОПАСНЫЙВЗЛОМЧЕРЕЗGPRS

BUY

w Click

СЕКРЕТНЫЙ СЕРФИНГ С КОМФОРТОМ

-x cha

Программа Secret Surfer предназначена для автоматического построения цепочки анонимных proxy. Чем больше серверов будет задействовано, тем выше безопасность, однако риск оказаться пойманным все же очень велик. А что если первый сервер в цепоч- ке принадлежит ФБР?

Ì Î Á È Ë Ü Í Û Å

Общий принцип GPRS-связи

При выходе в Сеть твой мобильник передает сведения, достаточные для того, чтобы тебя вы- числили.

Простой способ частично избавиться от истории - купить телефон с рук, хотя и в этом случае цепоч- ку могут отследить.

близительный формат которой приведен в таблице.

Некоторые мобильники позволяют перепрограммировать NAM прямо с клавиатуры телефона! Впрочем, коли- чество циклов перепрограммирования обычно очень невелико (от трех до 20-ти в зависимости от настроения производителя) - за это отвечает микропроцессорная прошивка, также называемая firmware. Ресурс самой микросхемы намного больше и практи- чески неограничен. Но для долговременного хакерствования такой способ решительно не годится, и приходится искать обходные пути.

Одни хакеры выпаивают микросхему и перепрограммируют ее на программаторе вручную (хотя выпаивать микросхему для этого в общем-то необязательно), другие - модифицируют прошивку, запрещая ей блокировать NAM. Первое требует умения держать паяльник в руках, второе - дизассемблера.

Исследование прошивок – это высший пилотаж хакерства, требующий

обширных познаний и высочайшей квалификации. Для начала необходимо опознать процессор. Даже если оригинальная маркировка микросхемы не была "заботливо" уничтожена производителем телефона, не факт, что описание машинных команд удастся найти в Сети. Техническая документация на многие мобильные процессоры засекречена или распространяется только по подписке, то есть за деньги (причем физические лица отдыхают).

GPRS-МОДЕМЫ VS. СОТОВЫЕ ТЕЛЕФОНЫ

Кроме сотовых телефонов, для мобильного выхода в Сеть можно воспользоваться GPRSмодемами, которые бывают двух типов. Первые предстают собой крошечную "мыльницу", подключающуюся по USB, вторые - PCI-плату расширения. Для взлома последние наиболее предпочтительны. Они намного дешевле и удобнее для экспериментов. Плотность монтажа на PCI-карте намного ниже, чем в USB-модеме или сотовом телефоне, что позволяет производителю использовать более доступные серийные компоненты. К тому же, если над продажей сотовых телефо-

нов установлен жесткий контроль, то GPRS-модемы отгружаются бочками и продаются без предъявления паспорта или иных удостоверений личности.

Тем не менее, системные команды многих процессоров довольно похожи, и при достаточной настойчивости разобраться в них можно и без описания. Но что это дает? Любая прошивка буквально нашпигована командами взаимодействия с портами ввода/вывода, управляющими электронной на- чинкой телефона. За что они отвеча- ют, непонятно. Это сплошное нагромождение головоломок, и на анализ своей "первой" прошивки можно потратить целый год. Двенадцать месяцев, триста шестьдесят пять дней и никак не меньше!

Перепрограммирование микросхемы "вживую" намного проще, хотя и обладает намного более скромными возможностями. К тому же существует риск необратимо испортить свой телефон. Но охота пуще неволи. Прежде

Микросхема EEPROM на плате сотового телефона Nokia, хранящая идентификационные данные

ХАКЕРСПЕЦ 07(56) 2005

hang

NOW!

BUY

w Click

ЧТО ТАКОЕ SIDH

-xcha

Аббревиатура SIDH расшифровывается как System Identification for Home System (система идентификации для домашних систем) и чаще всего называется просто SID. Система идентификации сообщает: сотовой станции, каким оператором обслуживается твой телефон, что используется для роуминга. SIDH-код представляет собой 15-битный идентификатор, общий для всего региона и ничего не говорящий о конкретном абоненте, поэтому изменять его не надо. Другими словами, SIDH-код никак не влияет на анонимность атакующего.

чем выпаивать микросхему, хакер определяет ее тип. Большинство производителей используют серийные чи- пы, модель которых легко опознается по разводке даже при полностью уничтоженной маркировке. Основные используемые микросхемы перечислены во врезке. Остается только достать программатор, который можно приобрести на радиорынке или спаять самостоятельно.

Прежде чем изменять что-то в NAM, необходимо научиться рассчитывать контрольную сумму. Чтобы не делать этого вручную, используй простенький скрипт для дизассемблера IDA Pro, исходный текст которого приведен ниже:

auto a; auto b; b=0; PatchByte(MaxEA()-1, 0); for(a=MinEA();a<MaxEA();a++)

{

b = (b + Byte(a)) & 0xFF;

}

ПЗУ БЫВАЮТ РАЗНЫЕ

Хирургические операции с сотовым телефоном

b = (0x100 - b) & 0xFF ; Message("\n%x\n",b); PatchByte(MaxEA()-1, b);

С таким скриптом ничего не стоит захачить MIN по полной программе. С формальной точки зрения, MIN представляет собой 34-битное число, разделенное на две половинки. Младшие 10 бит обознаются MIN2 и отвечают за хранение кода области (area code), оставшиеся 24 бита - личный номер мобильного устройства.

POM (Read-Only Memory - память только на чтение) - классическое ПЗУ, программируемое на аппаратном уровне в процессе производства микросхемы. Не может быть изменено программным путем, но в сотовых телефонах и не применяется.

PROM (Programmable Read-Only Memory - программируемая память только на чтение) - однократно программируемое ПЗУ, информация в которое заносится на специальном устройстве, называемом программатором. В сотовых телефонах широкого распространения не получило.

EPROM (Erasable Programmable Read-Only Memory - ñтираемая программируемая память только на чтение) - многократно перепрограммируемое ПЗУ, очищаемое ультрафиолетовыми лучами и требующее программатора. Легко опознается по характерному "окошку". По слухам, применяется в некоторых типах телефонов, но никто живьем его не видел.

EEPROM (Electrically Erasable Programmable Read-Only Memory - электрически стираемая программируемая память только на чтение) - многократно перепрограммируемое ПЗУ, очищаемое электрическим разрядом. Обычно требует программатора, но теоретически может обходиться и без него. Широко применяется в сотовых телефонах.

FLASH-EEPROM - разновидность электрически стираемого многократно перепрограммируемого ПЗУ, не требующее программатора. Применяется во многих сотовых телефонах.

адрес	áèòû	назначение
00	14-8	SIDH

01	7-0	SIDH

02		MIN
03	33-28	MIN2

04	27-24	MIN2
05	23-20	MIN1
06	19-12	MIN1

07	11-4	MIN1
08	3-0	MIN1

09	3-0	SCM

0A	10-8	IPCH
0B	7-0	IPCH

0C	3-0	ACCOLC

0D	0-7	PS
0E	3-0	GIM

0F	0-7	LOCK DIGIT 1,2
10	0-7	LOCK DIGIT 3, LOCK SPARE
10	0-7	BITS
		BITS

11	0-7	EE (END TO END SIGNALING),
11	0-7	REP (REPERTORY)
		REP (REPERTORY)

12	0-7	HA (HORN ALERT), HF
12	0-7	(HANDS FREE)
		(HANDS FREE)

13		зависит от производителя

…
1D

1E	0-7	для выравнивания

1F	0-7	контрольная сумма

Приблизительная схема заполнения NAM'a

Код области хранится в упакованном двоично-десятичном формате и, чтобы привести его к естественной форме отображения, к каждому десятич- ному разряду нужно прибавить цифру 9, разделить результат на 10 и записать остаток. В частности, зоне 213 будет соответствовать следующий MIN2: (2 + 9) % 10 = 1; (1 + 9) % 10 = 0; (3 + 9) % 10 = 2. Объединив все вместе, полу- чим: 102 или 0001100110 в двоичном представлении. Именно такое число будет содержаться в микросхеме.

Следующие 24 бита (MIN1) кодируются чуток сложнее. Личный идентификационный номер телефона для удобства разбит на две части, которые записываются приблизительно так: 376-0111. Но это только с точки зрения неискушенного пользователя. В действительности же есть три части: первые 10 бит MIN1 содержат три левых разряда (в данном случае - 111), которые кодируются так же, как и MIN2. Следующие четыре бита содер- »

Дизассемблирование прошивки

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i	r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha				Ä Å Í Ü Ã È
								Ä Å Í Ü Ã È
								Ì Î Á È Ë Ü Í Û Å

Руководство по вычислению MIN и некоторых других идентификационных данных: www.3gpp2.org /Public_html/Mi sc/C.P0006D_v1.8_cdma20 00_Analog- V&V_text_Due_ 3_June2005.pdf.

Еще одно руководство вы- числения MIN и некоторых других идентификационных данных: www.tiaonline.o rg/standards/sf g/imt2k/cdma2 000/TIA-EIA- IS-2000-6- A.pdf

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
	Ä Å Í Ü Ã È			-xcha
	Ä Å Í Ü Ã È

78 CODING & HACKING БЕЗОПАСНЫЙВЗЛОМЧЕРЕЗGPRS

ПРОСМОТР IMEI-НОМЕРА ТЕЛЕФОНА

Acer (Motorola T191, T205): набери "*#300#", затем нажми зеленую клавишу с трубкой.

Alcatel: набери "*#06#", на экране появится IMEI и версия прошивки.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Ì Î Á È Ë Ü Í Û Å

Bosch:

набери

"*#3262255*8378#"

(ïî

буквам

*#DANCALL*TEST#).

Ericsson: набери ">*<<*<*", где "<" и ">" - кнопки со стрелками вле-

Разобравшись с NAM'ом, перейдем к

ESN - 11-значному 32-битному уникаль-

во/вправо.

ному номеру. В GSM-устройствах он

LG: Набери "*#07#, 8060#*".

называется IMEI (International Mobile

Equipment Identity - международный

Mitsubishi: удерживая "*", набери "5806".

идентификатор мобильного устрой-

ства) и занимает 15 знаков, что на че-

Motorola: в тестовом режиме набери код "19#".

тыре знака больше, чем ESN, но это

Nokia: набери "*#0000#".

уже формальности.

Стандарты беспроводной связи тре-

Panasonic: набери "*#9999#".

буют от производителей невозмож-

ности изменения ESN/IMEI програм-

Samsung: набери "*#9999#".

мным путем, однако далеко не все

производители выполняют это требо-

Sagem: находясь в основном меню, нажми звездочку, в появив-

вание. Часто ESN/IMEI хранятся в

NAM, что является вопиющим нару-

шемся меню - самый первый пункт.

шением, а в некоторых случаях пе-

Siemens: набери "*#06#".

репрограммируются прямо с клавиа-

туры. Впрочем, даже если ESN зашит

Sony: набери "*#7353273#" (по буквам *#release#).

в PROM (однократно программируе-

мое ПЗУ), микросхему можно выпаять

Поможет не

с платы и заменить на свою собствен-

ную. Чтобы телефон не сдох и печат-

только краде-

кодируемые так же, как и в MIN2. Та-

ные проводники не оборвались от

ный телефон с

ким образом, поле MIN1 для нашего

постоянно перегрева, имеет смысл ус-

подставной

SIM'êîé, íî è

идентификационного номера будет

тановить панельку, и тогда операция

осуществление

выглядеть так: 265-10-000 (или

замены микросхемы займет несколь-

работы уда-

0100001001 1010 0000000000 â äâî-

ко секунд. Знатоки дизассемблера до-

ленно, когда

ичной форме).

рабатывают прошивку так, чтобы

можно вовремя

замести следы.

ESN/IMEI не считывался с ПЗУ, а вво-

ПЕРЕПРОГРАММИРОВАНИЕ NAM'А С КЛАВИАТУРЫ

Последовательность нажатий клавиш

Идентификаци-

для перепрограммирования NAM'а не

онный номер

стандартизована и варьируется в зависи-

мобильника

состоит из

мости от модели телефона. К примеру,

двух частей:

Samsung i300 может быть перепрограм-

ESN (Electronic

Serial Number)

мирован так:

è MIN (Mobile

Identification

01. жмешь "#907*9#0" до появления на

Number).

Внешний вид программатора

экране "ENTER LOCK";

жат четвертую цифру идентификаци-

02. вводишь "OTKSL";

03. в появившемся "SVC"-меню нажима-

онного номера, записанную в двоич-

åøü "1";

ной форме "как есть". При этом 0

(ноль) записывается как 10 (1010 в

04. вводишь 10-значный MIN-номер и на-

двоичной форме). Оставшиеся 10

жимаешь "SAVE";

старших бит содержат три первых

05. нажимаешь "SAVE" еще раз;

цифры идентификационного номера,

06. жмешь "3" и нажимаешь "SAVE" шесть раз;

07. вводишь "HOME SID" и нажимаешь "SAVE" один раз;

08. дважды нажимаешь "END";

09. теперь NAM изменен!

Инструкцию по перепрограммированию остальных телефонов

можно найти на сайте www.cdma-ware.com/codes.html. Если твоего

телефона там нет, набираешь в Google что-то вроде "NAM+pro-

gramming+модель телефона" и прочесываешь интернет в поисках

необходимой информации.

Принципиальная схема несложного программатора

ХАКЕРСПЕЦ 07(56) 2005

<<< < Предыдущая 1 2 3 4 5 6 78 / 148 9 10 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.20248.45 Mб13Специальный выпуск 51_Optimized.pdf
#
20.04.20249.27 Mб15Специальный выпуск 52_Optimized.pdf
#
20.04.20249.18 Mб15Специальный выпуск 53_Optimized.pdf
#
20.04.202410.95 Mб15Специальный выпуск 54_Optimized.pdf
#
20.04.202411.28 Mб15Специальный выпуск 55_Optimized.pdf
#
20.04.202411.84 Mб16Специальный выпуск 56_Optimized.pdf
#
20.04.202411.64 Mб20Специальный выпуск 57_Optimized.pdf
#
20.04.202410.89 Mб15Специальный выпуск 58_Optimized.pdf
#
20.04.20248.1 Mб14Специальный выпуск 59_Optimized.pdf
#
20.04.20248.56 Mб15Специальный выпуск 60_Optimized.pdf
#
20.04.20245.33 Mб13Специальный выпуск 61_Optimized.pdf