«Дельфин-тамагочи» от Flipper Devices Inc. не нуждается в представлении, но хайп вокруг этого хакерского мультитула уже поутих. Теперь пользователи разделились на два лагеря: одни считают Flipper Zero крутым инструментом, другие не понимают, зачем его купили.
Один из наших пентестеров и социальных инженеров согласился поделиться впечатлениями от использования этого устройства. Он честно рассказал, полезен ли Flipper для проведения тестов на проникновение, какие задачи позволяет выполнять на объектах клиентов и стоит ли устройство своих денег. Рассмотрим плюсы и минусы девайса, с которыми приходится сталкиваться в «полевых» условиях.
А зачем вообще может понадобиться Flipper?
Не все киберпреступники орудуют по ту сторону монитора: некоторые под разными предлогами проникают в офисы компаний, оставляют там закладки и уходят незамеченными. Поэтому тесты на физическое проникновение — важное направление нашей работы.
Для таких «полевых» операций приходится клонировать пропуска. Узнав о Flipper Zero, я, конечно, заинтересовался девайсом. Прежде всего меня привлекла возможность работы с бесконтактными картами — наличие модулей RFID 125 кГц и NFC 13,56 МГц. Тогда я пользовался Proxmark3 и россыпью маленьких безымянных китайских дубликаторов, но они работали нестабильно и порядком устарели. Так, однажды я проник в здание, склонировав RFID-пропуск, но не смог попасть в серверную, поскольку дубликатор не поддерживал копирование HID iClass.
Создавалось впечатление, что Flipper сможет заменить все эти устройства. Отдельно я обратил внимание на потенциальную возможность копирования радиокнопок. Полноценный SDR — это слишком заметно, поэтому с кнопками мы вообще не работали, хотя они широко применяются для доступа в серверные. Также заинтересовал режим BadUSB.
Конечно, я не рассчитывал на Скелетный Ключ, отпирающий все двери, но действительно надеялся получить эффективный инструмент. С такими мыслями мы с коллегами заказали три устройства на отдел и ещё одно я купил для себя лично.
Первые впечатления
Пришла посылка, настал момент истины. Я взял служебный пропуск, по которому каждый день прохожу на работу, и попытался клонировать его при помощи Flipper. Ничего не вышло: устройство не распознало метку.
Ещё попытка и ещё, другой пропуск, другая СКУД — результат тот же. Полное разочарование. На тот момент из коробки Flipper умел копировать только сильно устаревшие типы пропусков. Немногим больше пользы было от него и в быту. Я пару раз открывал шлагбаумы на парковках, скопировав радиометку едущего впереди водителя, управлял телевизорами и кондиционерами через ИК-порт и только. Покупка толком не окупалась, и устройство отправилось на полку.
Так значит, мы зря потратили деньги?
Первый вердикт был именно таков. Дельфины коллег тоже пылились в офисе, пока в дело не вступило комьюнити.
Flipper Devices спроектировала свой мультитул в московском хакспейсе, подняла 4,8 миллионов долларов на кикстартер и реально изготовила свое устройство. Но самое удивительное в этой истории то, что команде удалось собрать вокруг крутое сообщество. Разработчики пилили кастомные прошивки с кучей доработок и со временем реализовали поддержку новых типов пропусков. Если сравнивать Flipper на момент, когда мы его приобрели, и сегодня, то можем смело сказать: это устройства разного уровня.
Как мы применяем Flipper
Вскоре прошивку Flipper доработали настолько, что его стало возможно применять на объектах клиентов.
В принципе, внезапно включив телевизор на ресепшн, можно ненадолго отвлечь сотрудников и проскользнуть мимо, но я по-прежнему редко пользуюсь ИК-портом. И GPIO тоже, хотя Павел Жовнер показывает, что с помощью гребенки можно даже вскрывать некоторые сейфы. Энтузиасты постоянно придумывают новые хаки, и я точно не опишу вам все возможные сценарии применения Flipper. В основном на практике мы решаем с его помощью три типа задач.
Клонирование пропусков
Перечень карт, которые можно записывать и эмулировать на девайсе, значительно увеличился.
Конечно, клонирование пропусков остается тем еще приключением даже с Flipper Zero. Такие метки нельзя считать на большом расстоянии, поэтому приходится подбираться к «жертве» практически вплотную. Типичная ситуация: заходишь в лифт вместе с обладателем пропуска и встаешь поближе. В рукаве спрятан Flipper, заранее переведенный в режим мониторинга. Выбрав момент, как бы невзначай прикасаешься устройством через куртку к пластиковой карте на шее или поясе у сотрудника.
Вроде не раз все проверил, но всё равно боишься, что забыл выключить вибрацию и звуковой сигнал. Рискованно, но это самый простой способ проникнуть в офис или даже прямо в серверную, если получится скопировать пропуск-вездеход главного админа.
Эмуляция радиокнопок
Это второй по частоте сценарий применения Flipper в нашей команде: так мы уже открыли десятки защищенных помещений. Правда, и здесь всё не так просто. Сперва нужно перевести устройство в режим мониторинга. Затем — дождаться, пока кто-нибудь активирует радиокнопку. Flipper поймает сигнал, определит частоту и модуляцию, на которые затем нужно настроиться вручную. На этом кружок юных радиолюбителей прослушивание эфира не заканчивается. Только когда кто-нибудь снова применит радиокнопку, можно будет записать точную копию сигнала.
Остается надеяться, что кнопку используют часто, иначе можно целый день ошиваться у ближайшего кулера и ничего не добиться
Демонстрация уязвимостей заказчикам
Такая возможность предоставляется редко, но метко. Если обстоятельства складываются благоприятно, то получается эффектно выступить перед заказчиком.
Так, однажды мы с коллегами приехали в офис потенциального клиента на встречу с топ-менеджерами. На всякий случай я прихватил с собой Flipper: видимо, сработало «паучье чутье». Получив гостевой пропуск, клонировал его на ходу ради эксперимента. После встречи начальник СБ задал вопрос на засыпку: могу ли я найти пробелы в их системе безопасности невооруженным взглядом? Я сдал пластиковую карту охраннику, вышел с проходной и тут же зашёл обратно по скопированному пропуску на глазах изумленного топ-менеджера.
Потом пришлось долго рассказывать про современные СКУД и учет временных «проходок». Самое важное — не просто забирать, а деактивировать карту сразу после ухода гостя и до момента выдачи новому посетителю.
Преимущества Flipper с точки зрения пентестера
Получается, что у нас довольно прозаичные способы использования Flipper. К сожалению, у меня нет безумных историй вроде взлома вибраторов. Но успешность пентеста скорее зависит от базовых функций по работе с метками и радиокнопками, и в них Flipper демонстрирует ряд преимуществ по сравнению с упомянутыми клонаторами и даже более функциональными хакерскими гаджетами.
Большое количество видов пропусков
Пока что Flipper Zero справлялся практически со всеми RFID и NFC-ключами, которые встречались нам на объектах заказчиков. Это не значит, что ему по зубам любые карты, но для физических пентестов в российских условиях его возможностей хватает в 99% случаев.
Кастомные прошивки и постоянное расширение функциональности
Лично я опробовал уже три прошивки. Быстро сменил базовую на кастомную — Unleashed — со снятыми региональными ограничениями, новым частотным анализатором, плагинами LFRFID и iButton Fuzzer, дополнительными ключами Mifare Classic, постоянными обновлениями и внедрением новых фич.
Например, реализованы дополнительные сценарии применения Bluetooth. Раньше по нему можно было лишь подключать мультитул к смартфону. Сейчас Flipper Zero умеет работать с Bluetooth на аппаратном уровне. Можно зафлудить устройства на iOS Bluetooth-пакетами, будто рядом сошел с ума Apple TV или обнаружились сотни AirPods.
Unleashed полностью устраивала меня с точки зрения клонирования и записи пропусков, но потом я перешел на Extreme, так как она позволяет запаролить девайс. Это важно с точки зрения безопасности клиентов, пропусками которых я временно пользуюсь.
Легкая модификация
На GitHub легко найти самые разные приложения для Flipper. Причем, как правило, они ставятся без танцев с бубном. Нужно только залить исполняемый файл в соответствующую папку на SD-карте. Скажем, если это скрипт для работы с радиодиапазоном — в Sub-GHz. Такие дополнения автоматически отображаются в меню как новые application.
Аппаратная платформа Flipper Zero позволяет с легкостью коннектить его со всевозможными платами и самодельными устройствами через пины GPIO. Так, у меня в планах приобрести усилитель для увеличения радиуса работы с радиокнопками с 15 до 60 метров. Пожалуй, более опенсорсного устройства я еще не встречал.
Высокая автономность
Трудно вспомнить, чтобы уровень зарядки моего Flipper опускался ниже 90%. И это после трех или четырех пентестов, когда устройство постоянно сопряжено со смартфоном по Bluetooth и подолгу работает в режиме мониторинга.
Работа в связке со смартфоном
Чтобы не привлекать внимания, Flipper можно спрятать в карман или рюкзак, а управлять им через приложение на смартфоне. Например, так удобно сканировать радиодиапазон.
Стабильность работы
Серьезных багов в работе практически не возникает. Если же такое случается, выручает сообщество. Главное — подробно описать возникшую ошибку, чтобы ее можно было воспроизвести. Как правило, найденные баги устраняются разработчиками прошивок в течение пары недель.
Отсутствие проблем с законом
Казалось бы, Flipper — неоднозначное устройство в плане законности, за рубежом его продажу даже пытаются запрещать. Но Российская Фемида не обращает на Flipper особого внимания, как на всевозможные «шпионские» ручки и скрытые трекеры. Не нужно никаких разрешений или специального учета.
Возможно, дело в региональных ограничениях на работу с некоторыми радиочастотами, установленных в базовой прошивке. И не важно, что они легко снимаются. Как бы там ни было, наши служебные Flipper Zero ни разу не вызывали неудобных вопросов у правоохранительных органов.
Минусы Flipper Zero c точки зрения пентестера
Конечно, у Flipper есть ограничения и недостатки, с которыми мы также столкнулись во время физических пентестов.
Flipper не всемогущ
Возможно, я многого хочу, но Flipper пока не по силам клонировать наиболее защищенные пропуска с динамическим ключом. Не справляется он и с некоторыми чипами Mifare. Сейчас мы с коллегами разрабатываем подходы, которые помогут обойти эти ограничения.
Похожая ситуация с Wi-Fi. Да, в продаже есть платы расширения, которые позволяют атаковать этот тип беспроводных сетей, но они работают только с частотным диапазоном 2.4 ГГц, в то время как во многих компаниях уже перешли на 5 ГГц и используют стандарты Dart n, A/C или A/X. В то же время Жовнер разрабатывает и выпускает к Flipper то ли аэромышку, то ли ретроприставку.
Долгое копирование некоторых пропусков
Сразу оговорюсь, что «долгое» — это секунды, но в реальности нужно как можно скорее копировать метку и уйти в тень, пока не возникло подозрений. Даже пара мгновений может быть очень важной.
Накопив опыт, по одному только виду пропуска понимаешь, чего ожидать. Допустим, RFID-ы копируются сразу — едва коснулся «проходки» и можно ретироваться. В случае же с некоторыми NFC придется ухитриться, чтобы приложить девайс к карте хотя бы на пару секунд. Неловко и мне, и владельцу пропуска.
Узнаваемость устройства
Flipper Zero — не флешка: не всегда получается его как следует спрятать, да и характерный внешний вид и многочисленные тиктоки обеспечили довольно высокую узнаваемость. Выдать мультитул за игрушку-тамагочи все сложнее.
Кстати, именно из-за размеров и броскости дизайна мы не применяем его в режиме BadUSB. Rubber Ducky подходят для этого лучше.
Необходимость специфических знаний для работы с отдельными функциями
Flipper умеет автоматически подстраиваться под тип считываемой бесконтактной карты, однако пользоваться им для отправки радиосигналов на расстоянии сложнее.
Очень важно хорошо представлять, на каких диапазонах работает весь зоопарк современных гаджетов, чтобы отсеивать ненужные команды. Иначе рискуешь попасть впросак: скажем, вместо радиокнопки включить пожарную сигнализацию. Звучит комично, но «в поле» будет совсем не смешно.
Если подытожить, первое разочарование от Flipper Zero продлилось недолго. Это устройство быстро развивается как платформа, и, пожалуй, сейчас я был бы готов заплатить за него даже больше, чем пару лет назад.
Не скажу, что этот гаджет нужен всем и каждому. Я так и не нашел ему достойного применения в повседневной жизни. Да и специалистам, которые ломают веб, он вряд ли пригодится. Но для физического проникновения на объекты клиентов это инструмент из серии must have. Только не воспринимайте Flipper как панацею: нужно трезво оценивать его возможности и ограничения.
Если остались вопросы, или вы хотите поделиться своими кейсами применения Flipper Zero в ИБ и в жизни — пишите в комментариях.
