先花费一些时间为蓝牙攻击做一些预先的准备工作,你会从这个实用的系统中收获很多,因为这个系统中有很多“拿出来不改即可用”(out-perform off-the-shelf)的组件(component)。在这部分中,我们会在选择蓝牙攻击设备和攻击技术上提供一些指导,以便读者能将这些设备和技术扩展到更大的使用范围。
7.2.1 选择传统蓝牙攻击设备
在准备你的“传统蓝牙”攻击军火库装备的时候,首选且最重要的决定是选择一个“传统蓝牙”的接口,以后,就是在这个接口上来发起你的攻击。这个决定可能看上去有些不值一提:随便挑一款老式蓝牙接口插到笔记本电脑上不就行了吗?的确,如果你真的这么草率地做的话,你的起步会非常顺利。然而,如果你足够幸运的话,尽管这个方法可能同实验室环境中的运行效果很类似,但在你攻击现实目标的实战中,你会有一种完全不同的感觉。
1.“传统蓝牙”接口的功率等级
“传统蓝牙”规范书中定义了三种功率等级,要求生产商在生产蓝牙无线接口的时候参照生产。在这些等级中,影响着“传统蓝牙”技术的使用效果的决定性因素是通过设备发射器的“最大输出功率”(maximum output power)来确定的。举例来说,一只“传统蓝牙”耳机设备的通信距离并不会太长,因为它一般是同用户口袋中或者就近桌子上的电话进行配对。所以,为了让蓝牙耳机的电池发挥最好的功效,生产商在设计耳机输出功率的时候,将其最大输出功率设计成远大于大家所需要的距离,这种设计思路很显然是不可取的,所以大部分的“传统蓝牙”耳机都会在无线接口中采用中等的输出功率。
为了满足不同“传统蓝牙”设备的需要,“蓝牙技术联盟”定义了三种不同的功率等级,范围从1~100mW(毫瓦)。功率等级是根据连接到“传统蓝牙”接口天线上的输出进行测量的,其有效的范围如表7-1所示。
表7-1 “传统蓝牙”接口的功率等级
然而,对于蓝牙的开发者,会根据他们设备特定应用所要求的功率,从或大或小的三种不同的蓝牙射频输出功率做出选择;但对于蓝牙的攻击者,则通常会选择最大的发射功率,以便获得最大的有效攻击范围。“第1级”(Class 1)设备的发射功率是100mW,它的功率覆盖范围和Wi-Fi无线设备的功率覆盖范围相似,并且通过配备外置天线(external antenna)还可以再扩大它的功率覆盖范围。幸运的是,作为蓝牙攻击产品的销售团队意识到了这个商机,所以他们会在产品的外包装上标明:该设备接口可以提供“第1级”的功率覆盖范围。
对于攻击者来说什么时候“功率覆盖范围不是黑客的首选考虑因素”?
在某些情况下,能够提供最大覆盖范围的蓝牙接口反而不是我们最想要的。比如说,考虑一种情况,那就是假设你想要建立一个蓝牙攻击实验,在这个实验中,负责攻击的“目标蓝牙设备”将用来开发攻击技能、进行攻击研究和试验。如果这个“实验蓝牙设备”在物理距离上越来越靠近我们的“目标蓝牙设备”,即“实验蓝牙设备”已经进入到“目标蓝牙设备”的功率覆盖范围内,但“目标蓝牙设备”还没有进入“实验蓝牙设备”的功率覆盖范围内,那么同样无法完成后续的各项攻击任务。但与此同时,你可能会不经意间扰乱,甚至攻击了该未被授权的设备。同样,蓝牙在2.4GHz的波段中使用了“跳频扩频”技术,所以一个高功率的适配器可能会和许多Wi-Fi设备进行交互,这会导致其他的发送器占用拥挤的波段。
如果这些情况都是你所在的机构遇到的问题,那么我们就需要一个“加密狗”来限制其功率发射范围,因为一个“传统蓝牙”加密狗可以将其发射功率调到第2级。如果缩小了功率覆盖范围,但问题仍然存在的话,那么就考虑再加一个“射频阻断”(RF-blocking)设备吧,比如“法拉第笼”[1]就可以达到这样的效果。
2.扩展蓝牙的功率覆盖范围
对于一个蓝牙攻击接口来说,一个非常渴望的属性就是能够扩展通信的有效覆盖范围。这个不难想象,通常情况下,攻击者会选择一个“第1级”加密狗,它的传输能力有100mW,但即使在没有任何干扰的情况下,它也只能传到100米的范围,如果我们还是期待它能有更好的性能。要实现更大的覆盖范围,你可以使用“定向天线”来指定从蓝牙攻击接口发出的射频辐射方向图(RF radiation pattern)。
因为蓝牙设备和IEEE 802.11g设备一样,都是工作在2.4GHz的波段,所以有很多种天线都是可以选择使用。你可以从类似于http://www.fab-corp.com和http://www.netgate.com这样的网站上购买到拥有不同增益特性和传播特性的天线,它们的售价在25~140美元。
在商业上使用的“传统蓝牙”适配器,只有其中的少数几种可以使用外天线连接器(external antenna connector),这些具有连接器的适配器通常都是为了工业应用而设计的。其中的一