Najmniejsze centrum hakerskie, czyli jak hakować sieć niczym James Bond dzięki telefona oraz smartwatcha

W dzisiejszym artykule opiszemy dwa interesujące narzędzia, a w zasadzie przenośne laboratoria hakerskie, z których możemy kontrolować najmniejszy Kali Linux dzięki telefona oraz smartwatcha.

Już wielokrotnie pisaliśmy o różnych urządzeniach do hakowania. Najciekawsze z nich wrzuciliśmy do naszej kampanii Hackowanie Science-Fiction, dzięki której możesz poznać naprawdę intrygujące rozwiązania.

Kali Linux kontrolowany przez telefona

Pomysłów na urządzenia do hakowania wciąż przybywa, a kreatywność użytkowników sieci nie ma granic. Natrafiliśmy na interesujący post, opisujący urządzenie zasilane ze telefona, dzięki którego można atakować lub (jak kto woli) przeprowadzać testy penetracyjne sieci.

Urządzenie to nic innego jak zainstalowany Kali Linux Pi-Tail na Raspberry Pi Zero 2 W, sterowany i zasilany ze telefona, który zapewnia też graficzny interfejs użytkownika poprzez SSH lub VNC. To rozwiązanie można uznać za tanie, przenośne i kompaktowe „laboratorium hakerskie”, w pełni kontrolowane z dowolnego telefona.

Źródło: Mobile hacker

Jak twierdzi autor, „Brak konieczności użycia klawiatury, myszy czy ekranu sprawia, iż konfiguracja jest wyjątkowo wygodna do testów penetracyjnych Wi-Fi, takich jak skanowanie punktów dostępowych (AP) i klientów, ataki deautoryzacyjne, łamanie pinów WPS, ataki typu evil twin, przechwytywanie handshake’ów, skanowanie sieci i ocena podatności dzięki nmap, ataki brute-force, ataki na Bluetooth, socjotechnika, uruchamianie frameworka Metasploit, wardriving, proxy sieciowe dzięki Burp Suite, korzystanie z proxmark3, komunikacja z innym urządzeniem z Androidem dzięki poleceń ADB oraz dynamiczna analiza aplikacji iOS i Android dzięki Frida”.

Co jest potrzebne do budowy urządzania?

Minilaboratorium hakerskie zbudujemy z następujących komponentów:

Krok 1. Wymagany Sprzęt

• Raspberry Pi Zero 2 W,
• karta microSD (min. 16 GB),
• przewód OTG lub adapter USB do telefona,
• moduł Wi-Fi, jeżeli Pi Zero 2 W nie ma wbudowanego,
• kabel zasilający USB lub dodatkowa płytka USB-A,
• smartfon z zainstalowanymi aplikacjami SSH (Termux) i VNC (VNC Viewer dla Androida),
• obraz Kali Linux Pi-Tail.

Krok 2. Instalacja systemu Kali Linux:

• Pobierz obraz Kali Linux dla Raspberry Pi Zero z oficjalnej strony Kali.
• Zainstaluj obraz na karcie microSD dzięki narzędzia do tworzenia bootowalnych nośników, np. Balena Etcher.
• Skonfiguruj pliki SSH oraz Wi-Fi na karcie microSD, aby umożliwić zdalne połączenie bez monitora.

Krok 3. Konfiguracja telefona:

• Skonfiguruj hotspot na telefonie, aby Raspberry Pi mogło się z nim połączyć.
• Użyj aplikacji Termux lub dowolnego klienta SSH na telefonie, aby nawiązać połączenie z Raspberry Pi.
• Alternatywnie użyj klienta VNC, aby uzyskać dostęp do graficznego interfejsu Pi-Tail na telefonie.

Krok 4. Używanie narzędzi:

• Po skonfigurowaniu połączenia możesz używać narzędzi takich jak nmap, Metasploit, Burp Suite czy Frida do testów penetracyjnych, analizy bezpieczeństwa aplikacji i innych zadań.

Po udanej konfiguracji powinniśmy otrzymać urządzenie, które można nosić w kieszeni, a cały proces testów realizować przy użyciu telefona. Taki zestaw jest mały, tani, a jednocześnie funkcjonalny, co czyni go idealnym do mobilnych testów penetracyjnych. W Internecie dostępny jest też projekt obudowy na powyższe urządzenie, którą możesz wydrukować na drukarce 3D.

Źródło: Mobile hacker

Demo urządzenia możesz zobaczyć na poniższym filmie:

Hakowanie sieci z zegarka?

Pentester wśród swoich urządzeń posiada również zainstalowany Kali NetHunter na sflashowanym świeżym ROM zegarka TicWatch, którym poprzez podpięcie do komputera można wstrzykiwać polecenia z klawiatury oraz skanować sieć.

Źródło: Mobile hacker

Instalacja Kali NetHunter na zegarku TicWatch Pro 3 daje możliwość przenośnego, dyskretnego środowiska do testów penetracyjnych. Można je przeprowadzać niczym James Bond w filmach akcji:)

Proces instalacji wymaga odblokowania bootloadera, wgrania niestandardowego jądra i zainstalowania NetHuntera dzięki Magisk. Dzięki temu zegarek będzie mógł wykorzystywać zaawansowane narzędzia testowe, takie jak ataki bezprzewodowe, badanie sieci i urządzeń IoT.

Aby sposób zadziałał, należy odblokować bootloader TicWatch Pro 3 dzięki ADB i Fastboot, a następnie zainstalować Magisk, który umożliwia rootowanie urządzenia. Kolejnym krokiem jest wgranie jądra NetHuntera wspierającego funkcje takie jak tryb monitorowania i wstrzykiwanie pakietów dla ataków Wi-Fi, które można uruchamiać bezpośrednio z zegarka.

Po wgraniu NetHuntera możesz korzystać z narzędzi takich jak HID (Human Interface Device) oraz BadUSB do ataków fizycznych na inne urządzenia poprzez porty USB. Dzięki możliwości uruchomienia środowiska graficznego KeX na zegarku NetHunter oferuje również funkcje desktopowego Kali Linux.

Źródło: Mobile hacker

Podsumowanie

Jak widać na podstawie powyższych przykładów, warto pozostać czujnym na to, kto oraz z czym przychodzi do firmy. Już nie tylko komputer czy telefon mogą być zagrożeniem, ale choćby smartwatch. A tak na poważnie, liczą się porządne zabezpieczenia sieci w firmie niezależnie od przyniesionego urządzenia, gdyż Insider może czaić się wszędzie:) Na koniec chcielibyśmy przypomnieć, iż już w 2019 roku bawiliśmy się podobnym, najmniejszym backdoorem sterowanym zdalnie – Cyfrowym Koniem Trojańskim i pokazywaliśmy realne zagrożenie dla sieci.