Тема: Анализ закрытого Bluetooth

К вопросу анализа Bluetooth (Блютус), работающего в закрытом режиме. Нам задают его те, которые имели неосторожность приобрести устройства, которые якобы анализируют Bluetooth, не проверяя, как они работают реально. В итоге коллеги получили изделия, которые видят Bluetooth, где стоит галочка - сделать видимыми для других устройств. Как только она снята - устройство становится невидимым. В случае с DTest всё обстоит иначе. Причина? - мы не брали готовые импортные Bluetooth (Блютус) анализаторы и не втыкали их во внутрь своей аппаратуры. Анализом стандарта занимается именно наш комплекс с нашим же ПО, а ему безразлично - скрыто устройство или нет. Берём все сигналы с эфира от Bluetooth устройств и выдаём по ним информацию. Основное назначение анализатора - выявление закладок на основе Bluetooth технологии, которые не так просто обнаруживать, когда рядом работает множество легальных устройств.

Re: Анализ закрытого Bluetooth

В продолжение разговора о реальной работе по реальным BlueTooth устройствам, которые сделаны не на коленке и не работают в открытом режиме.

При работе с различными Bluetooth устройствами  были обнаружены BlueTooth устройства, работающие вне сетки стандартных частот BlueTooth. Такие BlueTooth устройства с помощью аппаратных средств анализа BlueTooth (контроллеры BlueTooth) обнаружить невозможно. Т.е. если на объекте появится такое Bluetooth устройство, то оно не будет обнаруженно не только по причине того, что оно работает в закрытом режиме, но и из-за того, что его частоты работы не попадут в сетку чипа, установленного в "цифровом анализаторе" Единственное средство надежного обнаружения и пеленгации по уровню сигнала - программная демодуляция IQ, записанных на произвольных частотах или с учетом смещения относительно сетки стандартных частот BlueTooth. Программное обеспечение опции DTest было доработано с учетом новых угроз и теперь может демодулировать BlueTooth сигналы на произвольных частотах или внутри сетки стандартных частот, но с более мелким шагом для поиска устройств использующих частотное смещение для маскировки своей работы".


Основные изменения в интерфейсе:
1. появилось условие выбора "Дополнительно, для каждой частоты выполнять поиск на частотах со сдвигом (доступно - 10, 20, 50, 100, 200 кГц)

2. появилось поле "Найдено BlueTooth".
По этому полю можно найти частоту, которую активно использует  BlueTooth-устройство и эту частоту задать в поле "Сканировать только частоту .."

3. появилось условие выбора "Сканировать только частоту". В этом поле устанавливается наиболее активно используемая частота и на ней выполняется пеленгация по уровню сигнала.

4. Изменен алгоритм накопления уровней и отображения уровней сигнала.  Значительно увеличено быстродействие отображения изменения уровней сигнала

Re: Анализ закрытого Bluetooth

Ну и ещё одно изменеие в интерфейсе - мы можем отображать MAC-адрес   - практическая польза из этого в основном заключается в том, что вы увидите в нашем софте и в своём телефоне один и тот же MAC адрес, а не короткий LAP адрес. Полезно для занесения своих устройств в список легальных. При поиске скрытых устройств не применимо - он дают только короткий LAP адрес

В новостях это прозвучало так:



"В модуль обнаружения BlueTooth устройств опции DTest добавлена возможность использовать активный поиск BlueTooth устройств. Активный поиск использует встроенный контроллер BlueTooth компьютера (работает только в случае наличия Bluetooth в компьютере, на котором работает RadioInspector. Обычно такой модуль встраивается в ноутбуки). С помощью активного поиска можно определять полноценный MAC адрес устройств, название и назначение устройств. Однако, необходимо отметить, что с помощью активного поиска возможно обнаруживать только устройства, которым пользователь разрешил "себя видеть" для подключения к другим устройствам и сетям BlueTooth."

Re: Анализ закрытого Bluetooth

В копилку знаний
Знаете что такое LAP-адрес ХХ:ХХ:ХХ:9E:8B:33 ?

Пользователи, которые работали с DTest наверняка не раз его видели. Его даёт блютус устройство, когда его включают в режим поиска других блютус устройств. Т.е. когда у нас работает активный тест - его выдаёт наш ноутбук. Если же устройства ищет допустим ваш смартфон, то этот пакет с этим LAP-адресом выдаёт смартфон.