Основы пентестинга с Flipper Zero: Базовый функционал

Практический курс по использованию мультитула Flipper Zero для тестирования безопасности без применения внешних модулей. Вы научитесь работать с радиосигналами, системами контроля доступа и HID-атаками, используя только встроенные возможности устройства.

1. Введение в Flipper Zero: обзор архитектуры, выбор прошивки и правовые аспекты использования

Введение в Flipper Zero: обзор архитектуры, выбор прошивки и правовые аспекты использования

Добро пожаловать в курс «Основы пентестинга с Flipper Zero». Мы начинаем погружение в мир портативного аудита безопасности. В этой первой статье мы разберем, что представляет собой это устройство, почему оно стало культовым среди специалистов по информационной безопасности, как подготовить его к работе и, что самое важное, как не нарушить закон в процессе обучения.

Что такое Flipper Zero?

Flipper Zero — это портативный мультитул для инженеров, гиков и пентестеров, выполненный в форм-факторе игрушки, напоминающей тамагочи. Однако за дружелюбным интерфейсом с дельфином скрывается мощная аппаратная платформа, способная взаимодействовать с цифровым миром вокруг нас.

В отличие от классических инструментов хакера, которые часто требуют ноутбука, внешних антенн и сложной настройки, Flipper Zero автономен. Он спроектирован так, чтобы объединить различные радиоинтерфейсы и протоколы в одном карманном устройстве.

> Flipper Zero — это швейцарский нож для исследования радиопротоколов, систем контроля доступа и аппаратных интерфейсов. Официальный сайт проекта

Архитектура и аппаратные возможности

Чтобы эффективно использовать устройство, необходимо понимать, из чего оно состоит. Flipper Zero работает на базе микроконтроллера STM32WB55. Это двухъядерный процессор, который управляет как логикой работы устройства, так и радиостеком.

Рассмотрим ключевые модули, встроенные в «тушку» дельфина, которые мы будем использовать в рамках этого курса без подключения внешних плат.

!Схема расположения внутренних модулей и антенн Flipper Zero

1. Sub-GHz (Радиомодуль)

Это «сердце» Флиппера для работы на больших расстояниях. Модуль построен на чипе CC1101 и позволяет принимать и передавать радиосигналы в диапазоне до 1 ГГц. Основные частоты, с которыми вы столкнетесь:

* 433.92 МГц — самая популярная частота для брелоков от ворот, шлагбаумов и беспроводных звонков. * 868 МГц — часто используется в системах сигнализации и более современном оборудовании. * 315 МГц — старый стандарт, часто встречающийся в автомобильных брелоках (особенно в США и Азии).

Для понимания физики процесса важно помнить зависимость длины волны от частоты:

где — длина волны (в метрах), — скорость света (примерно м/с), а — частота сигнала (в Герцах).

Чем ниже частота, тем длиннее волна и тем больше требуется антенна для эффективной передачи. Встроенная антенна Flipper Zero является компромиссом между компактностью и эффективностью, поэтому радиус действия обычно ограничен 50–100 метрами.

2. RFID 125 kHz (Низкочастотные метки)

Антенна расположена на задней крышке устройства. Этот модуль работает со старыми, «глупыми» картами доступа, такими как EM-Marin или HID Prox. Эти карты часто используются в домофонах и офисных турникетах старого образца. Они не имеют криптографической защиты и просто передают свой ID при попадании в поле считывателя.

3. NFC 13.56 MHz (Высокочастотные метки)

Этот модуль также находится на задней панели. В отличие от RFID 125 kHz, технология NFC (Near Field Communication) намного сложнее. Она используется в банковских картах, проездных (Тройка, Podorozhnik) и современных пропусках (Mifare). Flipper умеет читать, эмулировать и, в некоторых случаях, клонировать такие метки, хотя работа с зашифрованными секторами требует дополнительных ключей.

4. Инфракрасный порт (Infrared)

Расположен на торце устройства. Позволяет считывать сигналы с пультов управления (телевизоры, кондиционеры) и воспроизводить их. Это один из самых простых и безопасных способов начать знакомство с перехватом сигналов.

5. iButton (1-Wire)

Контактная площадка на задней части устройства («пупырышки»). Предназначена для чтения ключей-таблеток, популярных в домофонах (Dallas, Cyfral, Metakom).

6. BadUSB

При подключении к компьютеру через USB-C, Flipper может притвориться клавиатурой (HID-устройством) и выполнить заранее написанный скрипт. Это мощный вектор атаки, позволяющий выполнять команды на компьютере жертвы за доли секунды.

Выбор прошивки: Официальная vs Кастомная

«Мозг» вашего дельфина — это прошивка. От нее зависит функционал и ограничения устройства.

Официальная прошивка

Поставляется с устройством «из коробки». Она стабильна, красива, но имеет ряд ограничений, наложенных производителем для соблюдения законодательства разных стран:

* Региональные блокировки: Нельзя передавать сигнал на частотах, запрещенных для гражданского использования в вашем регионе. * Отсутствие сохранения динамических кодов: Официальная прошивка не позволяет сохранять и воспроизводить перехваченные коды с динамическим шифрованием (Rolling Code), чтобы предотвратить угон автомобилей. * Ограниченные базы ключей: В ней нет предустановленных баз данных для брутфорса (подбора) паролей.

Альтернативные (кастомные) прошивки

Сообщество энтузиастов разрабатывает собственные версии ПО. Самые известные из них — Unleashed и Xtreme (проект Xtreme был закрыт, но его форки, такие как Momentum, продолжают жить).

Преимущества кастомных прошивок:

  • Снятие региональных ограничений: Позволяет передавать сигнал на любых частотах, которые поддерживает чип CC1101.
  • Расширенные инструменты анализа: Дополнительные приложения для анализа протоколов.
  • BadBT: Возможность использовать BadUSB через Bluetooth.
  • Игнорирование проверок безопасности: Возможность работы с динамическими кодами (на свой страх и риск).

    • > Важно: Для обучения в рамках этого курса мы рекомендуем начать с Unleashed Firmware. Она сохраняет стабильность официальной версии, но дает больше свободы для исследований. Установить её можно через веб-интерфейс или скопировав файлы на SD-карту.

    Правовые аспекты и этика пентестинга

    Прежде чем вы нажмете первую кнопку, вы должны усвоить главное правило: наличие инструмента не дает права нарушать закон.

    Принцип авторизации

    Пентестинг (тестирование на проникновение) отличается от киберпреступления только одним фактором: разрешением владельца.

    * Если вы копируете свой ключ от домофона — это исследование. * Если вы копируете ключ соседа без его ведома — это несанкционированный доступ. * Если вы выключаете телевизор в баре своим ИК-пультом — это хулиганство. * Если вы открываете шлагбаум чужого офиса — это может квалифицироваться как неправомерный доступ к компьютерной информации или самоуправство.

    Радиочастотный спектр

    Использование радиоэфира строго регулируется. В каждой стране есть государственная комиссия по радиочастотам (например, ГКРЧ в России или FCC в США).

    Засорение эфира помехами (Jamming) — это серьезное правонарушение. Flipper Zero технически не является «глушилкой», но непрерывная отправка сигналов может заблокировать работу легальных устройств (например, брелоков сигнализации на парковке). Никогда не используйте функции глушения вне экранированных помещений (клеток Фарадея).

    Уголовная ответственность

    В зависимости от юрисдикции, неправомерное использование Flipper Zero может подпадать под статьи:

    * Создание, использование и распространение вредоносных компьютерных программ. * Неправомерный доступ к компьютерной информации. * Нарушение тайны переписки (при перехвате пейджеров).

    > Золотое правило курса: Мы тестируем только те устройства, которыми владеем сами, или на которые у нас есть письменное разрешение владельца.

    Подготовка к работе

    Для начала работы вам потребуется:

  • Карта памяти microSD. Flipper Zero не имеет встроенной памяти для хранения данных пользователя. Рекомендуется использовать качественные карты объемом от 4 до 32 ГБ (больше не нужно, но поддерживается). Класс скорости 10 или UHS-I вполне достаточен.
  • Приложение qFlipper. Это официальный десктопный клиент для обновления прошивки, управления файлами и вывода экрана устройства на монитор. Скачайте его с официального сайта.
  • Мобильное приложение. Позволяет управлять устройством по Bluetooth и обновлять его «по воздуху».

    • Первый запуск

  • Вставьте SD-карту в слот (контактами вверх, к экрану).
  • Подключите Flipper к ПК через USB.
  • Запустите qFlipper и следуйте инструкциям по обновлению прошивки.
  • После обновления вы увидите главное меню. Поздравляем, ваш инструмент готов к работе.

    • В следующей статье мы перейдем к практике и разберем работу с простейшими радиосигналами на частоте 433 МГц.

    2. Анализ радиоэфира Sub-GHz: перехват, декодирование и воспроизведение сигналов пультов и шлагбаумов

    Анализ радиоэфира Sub-GHz: перехват, декодирование и воспроизведение сигналов пультов и шлагбаумов

    В предыдущей статье мы познакомились с архитектурой Flipper Zero и подготовили его к работе. Теперь настало время перейти к самой популярной и захватывающей функции этого устройства — работе с радиодиапазоном Sub-GHz. Именно этот модуль позволяет взаимодействовать с шлагбаумами, воротами, дверными звонками, умными розетками и даже датчиками метеостанций.

    В этой статье мы разберем, как устроен радиоэфир, чем отличаются статические коды от динамических, почему нельзя бездумно копировать брелоки от чужих машин и как выполнить свою первую атаку повторного воспроизведения (Replay Attack) в лабораторных условиях.

    Основы радиосигналов: Модуляция и Частота

    Прежде чем нажимать кнопки на Флиппере, нужно понять, что именно мы пытаемся поймать. Радиосигнал — это электромагнитная волна, которая переносит информацию. Чтобы передать нули и единицы (данные) через радиоволну, используется процесс, называемый модуляцией.

    Flipper Zero (чип CC1101) поддерживает основные виды модуляции, используемые в бытовой электронике:

  • AM (Amplitude Modulation) / ASK (Amplitude Shift Keying): Амплитудная модуляция. Это самый простой способ: если сигнал есть (высокая амплитуда) — это 1, если сигнала нет (низкая амплитуда) — это 0. Этот метод дешев в реализации, но чувствителен к помехам. Используется в большинстве простых шлагбаумов и звонков.
  • FM (Frequency Modulation) / FSK (Frequency Shift Keying): Частотная модуляция. Здесь амплитуда постоянна, но меняется частота. Одна частота кодирует 0, другая (немного сдвинутая) — 1. Это более надежный способ, часто применяется в автосигнализациях.

    • !Визуальное различие между амплитудной и частотной модуляцией радиосигнала

    Частотный диапазон

    Как мы обсуждали ранее, основные частоты — это 433.92 МГц и 868.35 МГц. Однако, точная частота может немного «плавать» из-за дешевых компонентов в брелоках. Flipper Zero имеет функцию Frequency Analyzer (Анализатор частоты), которая позволяет определить, на какой именно частоте вещает устройство рядом с вами.

    Инструментарий Sub-GHz в Flipper Zero

    Зайдите в меню Sub-GHz. Вы увидите несколько пунктов. Разберем ключевые из них, которые понадобятся нам для анализа.

    1. Frequency Analyzer (Анализатор частоты)

    Этот инструмент слушает эфир и показывает частоту самого сильного сигнала поблизости.

    Как использовать:

  • Выберите Frequency Analyzer.
  • Поднесите пульт (брелок), который хотите исследовать, вплотную к левой части Флиппера.
  • Нажмите и удерживайте кнопку на пульте.
  • На экране появится значение, например, 433.920.

    • Это первый шаг любой атаки: разведка. Мы узнаем, на какой частоте работает цель.

    2. Read (Чтение и декодирование)

    Это «умный» режим. В этом режиме Flipper не просто записывает шум эфира, а пытается распознать протокол передачи данных. Если протокол известен (находится в базе прошивки), устройство декодирует сигнал и покажет вам понятные данные: тип ключа, серийный номер и команду.

    Настройка: Перед чтением нужно зайти в Config и выбрать: * Frequency: Частота, которую мы узнали анализатором. * Modulation: Обычно AM650 (для большинства ворот) или FM238 (для некоторых автосигнализаций).

    3. Read RAW (Сырое чтение)

    Если Flipper не знает протокол (например, это редкий китайский звонок), режим Read ничего не покажет. В этом случае используется Read RAW. Он записывает радиоэфир «как есть», подобно диктофону, записывающему звук.

    > Важно: RAW-записи занимают больше места и могут содержать много шума, но они позволяют воспроизвести сигнал, даже не понимая, что в нем зашифровано.

    Статические и Динамические коды

    Это самый важный теоретический блок статьи. От понимания разницы между статикой и динамикой зависит, откроете ли вы шлагбаум или сломаете оригинальный пульт.

    Статический код (Static Code)

    В старых или дешевых системах (шлагбаумы CAME, простые звонки) пульт всегда посылает одну и ту же последовательность бит.

    Представим это математически как функцию передачи сигнала , которая зависит только от идентификатора ключа и команды :

    где — передаваемый сигнал, — уникальный номер пульта, а — код нажатой кнопки.

    Уязвимость: Если вы перехватили этот сигнал один раз, вы можете воспроизводить его бесконечно. Шлагбаум не увидит разницы между вашим Флиппером и оригинальным пультом. Это классическая Replay Attack.

    Динамический код (Rolling Code)

    Более современные системы (Nice Flor-S, DoorHan, все автосигнализации) используют защиту от перехвата. Каждый раз при нажатии кнопки пульт генерирует новый код.

    Внутри пульта и внутри приемника (шлагбаума) есть счетчик нажатий. Упрощенная модель генерации кода выглядит так:

    где: * — зашифрованная посылка, отправляемая в эфир при -ном нажатии. * — криптографическая функция шифрования. * — серийный номер пульта. * — текущее значение счетчика нажатий. * — секретный ключ шифрования (известен пульту и шлагбауму).

    После каждого нажатия счетчик увеличивается:

    где — следующее значение счетчика, а — текущее значение, увеличенное на единицу ().

    Проблема перехвата: Если вы перехватите код , он сработает один раз. Но пока вы его сохраняли, владелец мог нажать кнопку еще раз, и счетчик в шлагбауме ушел вперед (). Ваш записанный код стал невалидным («протух»).

    !Принцип работы динамического кода и синхронизации счетчиков

    > Опасность рассинхронизации: Если вы перехватите сигнал своего брелока с динамическим кодом и воспроизведете его Флиппером, приемник (ворота) примет этот код и увеличит свой счетчик. Ваш оригинальный физический брелок останется со старым значением счетчика. Приемник может перестать реагировать на оригинальный брелок, посчитав его старым или поддельным. Никогда не тестируйте Rolling Code на важных пультах без необходимости!

    Практика: Атака повторного воспроизведения (Replay Attack)

    Для этого упражнения вам понадобится простейшее устройство на 433 МГц: беспроводной дверной звонок или старый пульт от люстры. Убедитесь, что устройство ваше.

    Шаг 1: Анализ

  • Откройте Sub-GHz -> Frequency Analyzer.
  • Нажмите кнопку на пульте.
  • Убедитесь, что частота 433.92 (или близкая к ней).

    • Шаг 2: Перехват

  • Перейдите в Sub-GHz -> Read.
  • Установите частоту 433.92 и модуляцию AM650.
  • Нажмите кнопку на пульте звонка.
  • Если Flipper распознал протокол, вы увидите название (например, Princeton), длину ключа и Hex-код.
  • Светодиод мигнет зеленым, раздастся звук.

    • Шаг 3: Сохранение и Эмуляция

  • Нажмите кнопку Save (на Флиппере это обычно кнопка Back или Left для вызова меню сохранения, следуйте подсказкам на экране).
  • Дайте имя сигналу, например Doorbell_Test.
  • Теперь откройте сохраненный файл в меню Sub-GHz -> Saved.
  • Направьте Flipper на звонок и нажмите центральную кнопку Send (Emulate).
  • Звонок должен зазвонить.

    • Поздравляем! Вы только что совершили цифровую копию физического ключа.

    Работа с неизвестными сигналами (RAW)

    Если на шаге 2 Flipper ничего не показал, но вы видите всплески на графике RSSI (шкала силы сигнала), значит протокол неизвестен.

  • Перейдите в Sub-GHz -> Read RAW.
  • Нажмите REC (центральная кнопка).
  • Нажмите кнопку на пульте.
  • Нажмите Stop.
  • Нажмите Send для проверки.

    • В режиме RAW мы просто воспроизводим записанный радиошум. Это работает почти всегда для статических кодов, даже если мы не знаем, как они зашифрованы.

    Этические ограничения и защита

    Теперь, когда вы знаете, как легко скопировать сигнал, вы понимаете, почему системы со статическим кодом считаются небезопасными. Любой школьник с Flipper Zero может скопировать ключ от шлагбаума, просто постояв рядом с въездом.

    Как защититься? Использовать системы с надежным шифрованием (AES) и динамическим кодом, где счетчик синхронизируется сложным образом, а окно валидности кодов минимально.

    В следующей статье мы углубимся в мир RFID и NFC, чтобы понять, как работают бесконтактные карты и почему пропуск в офис скопировать сложнее, чем ключ от домофона.

    3. Взлом систем контроля доступа: чтение, эмуляция и клонирование карт RFID (125 kHz) и меток NFC

    Взлом систем контроля доступа: чтение, эмуляция и клонирование карт RFID (125 kHz) и меток NFC

    В предыдущей статье мы исследовали радиоволны Sub-GHz и научились открывать шлагбаумы. Однако современный город — это не только ворота парковок. Это офисные турникеты, домофоны подъездов, ключи от гостиничных номеров и проездные билеты. Все эти системы объединяет технология бесконтактной передачи данных.

    В этой статье мы разберем два физически разных мира, которые часто путают новички: низкочастотный RFID (125 kHz) и высокочастотный NFC (13.56 MHz). Мы узнаем, почему одни карты можно скопировать за секунду, а другие требуют сложных криптографических атак, и как Flipper Zero справляется с этими задачами.

    Физика процесса: Индукция и Резонанс

    В отличие от пультов для ворот, в картах доступа нет батареек. Как же они передают информацию? Ответ кроется в явлении электромагнитной индукции. Считыватель (турникет) постоянно генерирует магнитное поле. Когда карта попадает в это поле, в её антенне (катушке) возникает электрический ток, который питает микрочип.

    Для эффективной передачи энергии считыватель и карта должны быть настроены на одну частоту. Это описывается формулой резонансной частоты колебательного контура (формула Томсона):

    где — резонансная частота (Герц), — математическая константа (примерно 3.14), — индуктивность катушки (Генри), а — ёмкость конденсатора (Фарад).

    Если частота считывателя совпадает с резонансной частотой карты, происходит передача энергии. Flipper Zero имеет две разные антенны на задней крышке именно потому, что для разных частот требуются разные физические параметры контура ( и ).

    !Расположение антенн RFID и NFC внутри корпуса Flipper Zero

    Часть 1: RFID 125 kHz — Наследие прошлого

    Диапазон 125 кГц (Low Frequency, LF) — это старая, простая и крайне небезопасная технология. Такие метки часто выглядят как толстые пластиковые карты (Clamshell), брелоки-капли или браслеты в фитнес-клубах.

    Основные протоколы

  • EM-Marin (EM4100): Самый популярный и примитивный формат в СНГ. Используется в 90% домофонов и офисных турникетов эконом-класса.
  • HID Prox: Американский стандарт, часто встречается в корпоративных офисах западных компаний.
  • Indala: Старый стандарт от Motorola, отличается хаотичным сигналом, сложным для копирования простыми клонаторами, но не для Флиппера.

    • Уязвимость: Отсутствие защиты

    Главная проблема карт 125 кГц — они «глупые». В них нет процессора, нет шифрования и нет аутентификации. Как только карта получает питание от поля считывателя, она начинает циклично выкрикивать свой серийный номер (ID).

    Это означает, что любой человек, прошедший мимо вас с мощным считывателем (или Флиппером вплотную), может узнать ID вашей карты, записать его и создать клон.

    Практика: Чтение и Эмуляция

    Чтение:

  • Зайдите в меню 125 kHz RFID.
  • Выберите пункт Read.
  • Приложите карту к задней крышке устройства (по центру).
  • Через секунду Flipper определит протокол (например, EM4100) и покажет ID карты в HEX-формате (например, 1A 2B 3C 4D 5E).

    • Эмуляция: После чтения вы можете нажать Emulate. Flipper начнет генерировать поле, притворяясь картой. Если приложить его к домофону, дверь откроется. Вы можете сохранить этот ключ (Save), дать ему имя и использовать в будущем вместо брелока.

    Клонирование на пустую болванку

    Эмуляция — это удобно, но иногда нужно сделать физическую копию ключа (например, для родственника). Flipper Zero умеет записывать данные на специальные перезаписываемые болванки.

    Самая популярная болванка — чип T5577. Это универсальный чип-хамелеон, который может притвориться картой EM-Marin, HID или Indala.

  • Считайте оригинальный ключ и сохраните его.
  • Зайдите в Saved, выберите ключ.
  • Выберите пункт Write.
  • Приложите пустую болванку T5577 к Флипперу.
  • Через пару секунд копия готова.

    • Часть 2: NFC 13.56 MHz — Умные технологии

    NFC (Near Field Communication) работает на высокой частоте (High Frequency, HF). Это технология, лежащая в основе банковских карт, Apple Pay, проездных «Тройка» и современных биометрических паспортов. Антенна NFC расположена по периметру задней части корпуса.

    В отличие от RFID 125 кГц, метки NFC — это не просто «память с антенной», а полноценные микрокомпьютеры. Они поддерживают двустороннее общение и криптографию.

    Структура памяти: UID и Сектора

    Важно различать два понятия:

  • UID (Unique Identifier): Уникальный серийный номер чипа. Он не зашифрован и считывается любым устройством (даже телефоном). Часто используется для простейшего контроля доступа (вход в офис по UID).
  • Данные (Data): Внутренняя память карты, разделенная на сектора. Доступ к данным закрыт ключами шифрования.

    • Mifare Classic — Король офисов

    Самый распространенный стандарт карт доступа — Mifare Classic 1K. Память этой карты разделена на 16 секторов. Каждый сектор защищен двумя ключами: Key A и Key B.

    !Структура памяти карты Mifare Classic

    Чтобы прочитать данные из сектора, считыватель должен «представиться» карте, предъявив правильный ключ. Если ключ неверный, карта выдаст мусор или ошибку.

    Практика: Чтение NFC

  • Зайдите в меню NFC -> Read.
  • Приложите карту.
  • Flipper прочитает UID мгновенно.
  • Далее он попытается прочитать сектора, используя встроенный словарь стандартных ключей (FFFFFFFFFFFF, A0A1A2A3A4A5 и т.д.).

    • Если ключи стандартные (как часто бывает в дешевых системах), Flipper прочитает все данные и скажет «All sectors read». Такую карту можно полностью эмулировать.

    Если ключи уникальные, вы увидите сообщение вроде «12/32 keys found». Это значит, что часть данных осталась закрытой. Эмуляция такой карты может не сработать, если считыватель проверяет именно закрытые сектора.

    Атака на ключи (Mfkey32)

    Что делать, если Flipper не знает ключей? В старых картах Mifare Classic есть уязвимость в генераторе случайных чисел. Flipper Zero может провести атаку, но ему нужна помощь считывателя.

  • Выберите NFC -> Detect Reader.
  • Приложите Flipper к турникету (не к карте!).
  • Турникет попытается опросить Flipper, используя свои секретные ключи.
  • Flipper запишет эти попытки (nonce) и сохранит их.
  • Затем, используя мобильное приложение Flipper или ПК, можно вычислить ключи на основе этих данных (функция Mfkey32).
  • Полученные ключи добавляются в пользовательский словарь, и теперь карту можно прочитать полностью.

    • Клонирование NFC: Магия UID

    В отличие от 125 кГц, где болванки дешевы и просты, с NFC все сложнее. У настоящих карт Mifare UID «зашит» на заводе и его нельзя изменить. Это защита от клонирования: даже если вы скопируете все данные на другую карту, считыватель увидит, что UID отличается, и не пустит вас.

    Для создания полных клонов используются специальные «Китайские магические карты» (Magic Cards), также известные как UID Changeable.

    * Gen1 (UID Changeable): Позволяют менять UID, но требуют специальных команд для записи (Backdoor command). Flipper умеет писать на них через функцию «Write to Magic Card». * Gen2 (CUID): Работают как обычные карты, UID меняется стандартной командой записи в блок 0. Они обходят фильтры некоторых считывателей, которые блокируют Gen1.

    Банковские карты (EMV)

    Flipper Zero может прочитать банковскую карту через NFC. Вы увидите номер карты, срок действия и иногда список последних транзакций. Однако скопировать банковскую карту невозможно.

    Чип банковской карты содержит закрытый ключ, который никогда не покидает устройство. При оплате терминал посылает запрос, а карта подписывает его этим ключом. Flipper не может извлечь этот ключ, поэтому эмуляция банковских карт для оплаты (как Apple Pay) невозможна.

    Этические аспекты и безопасность

    Теперь вы понимаете, что безопасность многих офисов держится на честном слове. Карты 125 кГц копируются за секунду. Карты Mifare Classic с дефолтными ключами — тоже.

    Как защититься? Использовать современные стандарты, такие как Mifare DESFire. В них используется шифрование AES/3DES, и на данный момент взломать их с помощью Flipper Zero практически невозможно (без знания ключей администратора).

    Важное напоминание: Клонирование чужих пропусков без разрешения владельца является незаконным. Используйте полученные знания для аудита собственных систем безопасности или создания резервных копий своих ключей.

    В следующей статье мы перейдем к контактным методам взлома: разберем ключи iButton (домофонные «таблетки») и познакомимся с мощнейшей атакой BadUSB.

    4. Атаки BadUSB: основы DuckyScript и автоматизация ввода команд для Windows, Linux и macOS

    Атаки BadUSB: основы DuckyScript и автоматизация ввода команд для Windows, Linux и macOS

    Мы продолжаем наш курс «Основы пентестинга с Flipper Zero». В прошлых статьях мы исследовали невидимые волны радиоэфира и бесконтактные карты. Мы научились перехватывать сигналы шлагбаумов и клонировать пропуска, находясь на расстоянии от цели. Теперь пришло время подойти вплотную.

    Сегодня мы разберем BadUSB — атаку, которая превращает ваш Flipper Zero в «злую клавиатуру». Это один из самых эффективных методов социальной инженерии и физического пентестинга, позволяющий получить контроль над компьютером жертвы за считанные секунды, пока вы просто «заряжаете» свой гаджет.

    Что такое BadUSB и почему это работает?

    В основе атаки лежит фундаментальная уязвимость протокола USB (Universal Serial Bus), связанная с доверием. Когда вы подключаете устройство к компьютеру, происходит процесс перечисления (enumeration). Устройство сообщает операционной системе свой класс и возможности.

    Если вы подключите флешку, компьютер увидит класс Mass Storage. Если подключите веб-камеру — Video Device. Но если устройство скажет: «Привет, я клавиатура (Human Interface Device — HID)», компьютер поверит ему безоговорочно.

    !Схематичное изображение принципа работы BadUSB, где устройство эмулирует клавиатуру.

    Операционные системы (Windows, macOS, Linux) спроектированы так, чтобы принимать ввод с клавиатуры без лишних вопросов. Это сделано для удобства пользователя (Plug and Play). Flipper Zero использует это доверие: он подключается к USB-порту, представляется клавиатурой и начинает «нажимать» клавиши с нечеловеческой скоростью.

    > BadUSB — это атака, при которой USB-устройство эмулирует клавиатуру для ввода вредоносных команд. Компьютер не может отличить команды хакера от действий легитимного пользователя.

    Язык DuckyScript: Синтаксис и команды

    Для программирования атак BadUSB используется простой скриптовый язык DuckyScript. Изначально он был разработан для устройства USB Rubber Ducky от Hak5, но Flipper Zero полностью поддерживает его синтаксис (версии 1.0).

    Скрипты — это обычные текстовые файлы с расширением .txt, которые нужно положить в папку badusb на SD-карте Флиппера.

    Разберем основные команды:

    1. Комментарии (REM)

    Команда REM (Remark) используется для заметок. Всё, что написано после неё, игнорируется устройством.

    2. Задержка (DELAY)

    Самая важная команда. Компьютеры работают быстро, но графический интерфейс (появление окон, меню) может тормозить. Если Flipper начнет печатать раньше, чем откроется окно, атака провалится.

    DELAY задает паузу в миллисекундах.

    3. Ввод текста (STRING)

    Команда STRING печатает указанный текст.

    4. Специальные клавиши

    Вы можете нажимать любые клавиши клавиатуры: * ENTER * SPACE * TAB * DOWN, UP, LEFT, RIGHT (стрелки) * ESCAPE

    5. Модификаторы и сочетания клавиш

    Для управления ОС нам понадобятся сочетания клавиш. В DuckyScript это делается просто:

    * GUI или WINDOWS — клавиша Win (на Windows) или Command (на macOS). * SHIFT, ALT, CTRL — модификаторы.

    Примеры:

    Создание первого пейлоада (Payload)

    Пейлоад — это полезная нагрузка, то есть скрипт, который выполняет целевое действие. Давайте напишем классический «Hello World» для Windows.

    Сценарий атаки:

  • Открыть окно «Выполнить» (Run). 2. Запустить Блокнот (Notepad). 3. Написать приветствие.

    • Код:

    Разбор полетов:

  • DELAY 1000 в начале обязателен. Когда вы втыкаете Flipper в USB, компьютеру нужно время (1–3 секунды), чтобы определить драйвер клавиатуры. Без этой паузы первые команды уйдут в пустоту.
  • GUI r вызывает диалог запуска программ.
  • STRING notepad пишет имя программы.
  • ENTER подтверждает запуск.
  • DELAY 1000 дает время Блокноту открыться.
  • STRING ... печатает текст.

    • Особенности разных операционных систем

    Главная проблема BadUSB — кроссплатформенность. Команды, работающие на Windows, не сработают на macOS или Linux, потому что там другие горячие клавиши и инструменты.

    Windows

    Основной вектор атаки — окно «Выполнить» (Win + R) или меню Пуск (Win). Через них запускаются cmd (Командная строка) или powershell.

    Пример запуска PowerShell:

    macOS

    На маках нет клавиши Windows, но команда GUI автоматически интерпретируется как Command (⌘). Основной вектор — Spotlight Search (Cmd + Space).

    Пример запуска Терминала:

    Linux

    Здесь всё сложнее, так как окружения рабочего стола (GNOME, KDE, XFCE) имеют разные шорткаты. Универсальный способ часто отсутствует. Однако, комбинация ALT F2 часто вызывает окно запуска команд (аналог Win+R) во многих дистрибутивах (Ubuntu, Fedora).

    Проблема раскладки клавиатуры (Layout)

    Это самый коварный момент, о который спотыкаются новички.

    Flipper Zero не знает, какая раскладка включена на компьютере жертвы. Он просто посылает скан-коды клавиш.

    Представьте, что вы хотите напечатать STRING cmd. * Если на компьютере английская раскладка (EN), напечатается cmd. * Если на компьютере русская раскладка (RU), клавиша c превратится в с, m в ь, d в в. В итоге в окно ввода попадет сьв, и команда не сработает.

    Как решать проблему раскладки?

  • Принудительное переключение: В начале скрипта можно добавить комбинацию клавиш для переключения языка (например, ALT SHIFT или GUI SPACE), но вы не знаете, какая именно комбинация настроена у жертвы.
  • ALT-коды (только Windows): Можно вводить символы, зажимая ALT и набирая код на NumPad. Это работает независимо от раскладки, но требует, чтобы Flipper эмулировал NumPad (поддерживается не во всех прошивках).
  • Социальная инженерия: Подключать устройство, когда вы видите, что пользователь работает на английском языке.

    • Автоматизация и сложные атаки

    Просто открыть блокнот — это весело, но пентестеры используют BadUSB для более серьезных задач:

  • Reverse Shell: Flipper открывает терминал, вводит команду, которая заставляет компьютер жертвы подключиться к серверу хакера, предоставляя удаленный доступ.
  • Exfiltration (Кража данных): Скрипт копирует файлы с компьютера на... куда? Flipper не может быть одновременно клавиатурой и флешкой в стандартном режиме BadUSB. Однако, можно быстро загрузить данные на внешний FTP-сервер или Pastebin, набрав соответствующую команду в консоли.
  • Создание пользователя: Добавление нового администратора в систему для последующего входа.

    • Пример концепта для скачивания и запуска файла (Windows):

    Примечание: Современные антивирусы (Windows Defender) блокируют такие очевидные команды. Для успешной атаки требуется обфускация (запутывание) кода.

    Защита от BadUSB

    Как защититься от устройства, которому компьютер доверяет по умолчанию?

  • Физическая безопасность: Не вставляйте незнакомые устройства в USB-порты. Не оставляйте компьютер разблокированным без присмотра.
  • USBGuard (Linux): Программное обеспечение, которое позволяет создавать белые списки USB-устройств. Если подключится новая клавиатура, она будет заблокирована до одобрения администратором.
  • Групповые политики (Windows): Можно запретить установку новых HID-устройств, хотя это может создать неудобства для легитимных пользователей.

    • Заключение

    BadUSB на Flipper Zero — это мощный инструмент демонстрации того, насколько хрупка безопасность, основанная на слепом доверии к «железу». Вам не нужны сложные эксплойты нулевого дня, чтобы взломать систему — достаточно просто попросить компьютер выполнить команды, притворившись его верным другом-клавиатурой.

    В следующей части курса мы отойдем от готовых скриптов и погрузимся в программирование GPIO, чтобы научить Flipper взаимодействовать с реальным миром электроники напрямую.

    5. Работа с устаревшими и бытовыми интерфейсами: клонирование ключей iButton и управление через инфракрасный порт

    Работа с устаревшими и бытовыми интерфейсами: клонирование ключей iButton и управление через инфракрасный порт

    Мы подходим к финалу нашего курса «Основы пентестинга с Flipper Zero». В предыдущих статьях мы научились перехватывать радиосигналы шлагбаумов, клонировать бесконтактные карты и даже превращать устройство в «злую клавиатуру» через BadUSB.

    Однако мир безопасности не ограничивается высокими технологиями. Огромный пласт инфраструктуры все еще держится на старых, проверенных временем, но уязвимых решениях. В этой статье мы разберем два интерфейса, с которыми вы сталкиваетесь ежедневно: контактные ключи от домофонов (iButton) и инфракрасные пульты управления бытовой техникой.

    Эти технологии объединяет простота реализации и практически полное отсутствие криптографической защиты, что делает их идеальными мишенями для изучения.

    iButton: Технология «таблетки»

    Каждый житель постсоветского пространства знаком с «таблеткой» от домофона. Технически этот стандарт называется iButton (или Touch Memory), а разработан он был компанией Dallas Semiconductor (ныне Maxim Integrated) еще в начале 90-х годов.

    В отличие от RFID, где энергия передается через магнитное поле, iButton требует физического контакта. Корпус ключа служит контактом «Земля» (Ground), а центральная часть — контактом «Данные» (Data).

    Протокол 1-Wire

    Обмен данными происходит по протоколу 1-Wire. Это уникальная шина, где питание и данные передаются по одному проводу. Когда вы прикладываете ключ к считывателю (или к контактам GPIO на задней панели Flipper Zero), цепь замыкается.

    Внутри ключа находится конденсатор, который заряжается от линии данных в моменты, когда напряжение на ней высокое (логическая единица). Этой энергии хватает, чтобы чип отправил ответный сигнал в моменты низкого напряжения.

    !Устройство ключа iButton и принцип контакта

    Типы ключей: Dallas, Cyfral, Metakom

    Не все «таблетки» одинаковы. Flipper Zero умеет работать с тремя основными типами, распространенными в СНГ:

  • Dallas (DS1990A): Самый популярный мировой стандарт. Ключ содержит уникальный 64-битный код (8 бит — код семейства, 48 бит — серийный номер, 8 бит — контрольная сумма CRC). Это цифровой ключ: он передает данные четкими импульсами.
  • Cyfral (DC-2000): Отечественная разработка. Работает на основе изменения тока потребления. Считыватель измеряет сопротивление ключа в разные моменты времени. Это создает сложности при копировании на универсальные болванки.
  • Metakom (TM-2002): Еще один аналоговый формат, работающий по токовому принципу, схожий с Cyfral, но имеющий другую кодировку.

    • Чтение и Эмуляция

    На задней панели Flipper Zero есть выступающие подпружиненные контакты (pogo pins). Они специально расположены так, чтобы имитировать лузу домофона.

    Процесс чтения:

  • Перейдите в меню iButton -> Read.
  • Приложите ключ к контактам на спинке Флиппера.
  • Устройство мгновенно определит тип ключа и покажет его ID (например, 01 D2 45 1A 00 00 00 98).

    • После чтения ключ можно сохранить. Функция Emulate позволяет использовать сам Flipper Zero вместо ключа. Вы выбираете сохраненный файл, прикладываете контакты Флиппера к считывателю домофона, и дверь открывается.

    > Важно: Для успешной эмуляции контакты должны плотно прилегать к считывателю. Иногда требуется немного покрутить устройство, чтобы пробить слой окислов или грязи на старом домофоне.

    Клонирование (Запись на болванки)

    Эмуляция — это удобно, но иногда нужно сделать физическую копию. Для этого используются перезаписываемые болванки (RW-ключи).

    Самая универсальная болванка — RW1990. Она полностью имитирует оригинальный Dallas DS1990A. Для ключей Cyfral и Metakom часто требуются специфические болванки (например, RW2000) или конвертация кода в формат Dallas (если домофон поддерживает универсальные коды).

    Процесс записи:

  • Считайте оригинальный ключ.
  • Выберите Write.
  • Приложите пустую болванку к контактам Флиппера.
  • Дождитесь надписи «Success».

    • Инфракрасный порт: Власть над бытовой техникой

    На верхнем торце Flipper Zero расположено темное окошко. За ним скрываются инфракрасный приемник и мощные передающие светодиоды. Это позволяет устройству работать как универсальный пульт дистанционного управления.

    Физика ИК-сигнала

    Пульты управления передают данные с помощью вспышек инфракрасного света (длина волны обычно 940 нм), невидимого для человеческого глаза. Чтобы приемник (телевизор) мог отличить сигнал пульта от солнечного света или лампы накаливания, сигнал модулируется несущей частотой.

    Связь частоты и периода колебаний описывается формулой:

    где — частота несущей (обычно 36, 38 или 40 кГц), а — период одного полного колебания (время, за которое светодиод успевает включиться и выключиться один раз).

    Приемник реагирует только на мерцание с этой конкретной частотой, отсеивая постоянный фоновый свет.

    !Структура модулированного ИК-сигнала

    Универсальный пульт (Universal Remote)

    Одна из самых популярных функций — Universal Remote. Это база данных кодов выключения (Power OFF) для тысяч моделей телевизоров, кондиционеров и аудиосистем.

    Когда вы запускаете этот режим, Flipper начинает перебирать коды один за другим:

  • Отправляет команду «Выключить» для телевизоров Samsung.
  • Ждет долю секунды.
  • Отправляет команду для LG.
  • Отправляет команду для Sony.

    • Этот процесс называется Brute-force (полный перебор). Это позволяет выключить практически любой телевизор в зоне видимости (например, в кафе или зале ожидания), даже не зная его модели.

    > Использование Universal Remote в общественных местах для выключения экранов может рассматриваться как мелкое хулиганство. Соблюдайте этические нормы.

    Обучение и сохранение пультов

    Если у вас есть редкое устройство (например, старый видеомагнитофон или светодиодная лента), которого нет в базе, вы можете обучить Flipper.

  • Зайдите в Infrared -> Learn New Remote.
  • Направьте оригинальный пульт на окошко Флиппера.
  • Нажмите кнопку на пульте.
  • Flipper перехватит сигнал, декодирует протокол (например, NEC, RC5, Samsung32) и предложит сохранить кнопку.

    • Если протокол неизвестен, Flipper сохранит сигнал в «сыром» виде (RAW). Это просто запись последовательности вспышек, которая занимает больше памяти, но работает для любых устройств, включая кондиционеры со сложными пакетами данных.

    Сравнение интерфейсов

    Чтобы закрепить материал курса, давайте сравним рассмотренные нами технологии доступа.

    | Характеристика | iButton (1-Wire) | RFID (125 kHz) | NFC (13.56 MHz) | Infrared | | :--- | :--- | :--- | :--- | :--- | | Среда передачи | Электрический контакт | Магнитное поле | Магнитное поле | Свет | | Дальность | 0 см (контакт) | 2–5 см | 2–4 см | 5–10 метров | | Питание ключа | Паразитное (от линии) | Индукция | Индукция | Батарейки (в пульте) | | Безопасность | Низкая (ID открыт) | Низкая (ID открыт) | Средняя/Высокая | Отсутствует | | Основное применение | Домофоны | Пропуска, карты | Банки, транспорт | Бытовая техника |

    Заключение курса

    Мы завершаем курс «Основы пентестинга с Flipper Zero». Мы прошли путь от распаковки устройства до клонирования цифровых пропусков и анализа радиоэфира.

    Главный урок, который вы должны вынести: безопасность — это иллюзия комфорта. Шлагбаумы открываются простым повтором сигнала, домофоны доверяют любому ключу с правильным серийным номером, а компьютеры слепо верят любому USB-устройству, назвавшемуся клавиатурой.

    Flipper Zero — это не отмычка для преступлений. Это инструмент, который делает невидимые процессы видимыми. Понимая, как работают эти уязвимости, вы сможете лучше защитить свои данные и свое имущество.

    Используйте полученные знания ответственно. Исследуйте мир, но не ломайте его.