Menu

Funkcjonariusz: platforma open source do szybkiej eksfiltracji danych z komputerów, serwerów, telefonów, tabletów, aparatów cyfrowych i innych urządzeń USB.

kontakt@funkcjonariusz.com

Szukasz polecanych modeli dysków zewnętrznych USB i pen drive'ów? Przejdź na tą stronę.

Funkcjonariusz Mobilny może być uruchomiony na absolutnie dowolnym sprzęcie, który:

  • ma co najmniej 2 działające porty USB (a pod pewnymi warunkami nawet 1 port USB)
  • da radę uruchomić dowolną wersję Debiana, Ubuntu, Kali, Raspbiana (lub innego klona Debiana) wydaną po 2016 (a dokładnie, z systemd w wersji 229 lub wyższej)

Może więc to być Raspberry Pi albo jego klony (jeśli oczekujesz przede wszystkim dyskrecji i mobilności), albo dowolny laptop lub komputer stacjonarny (jeśli oczekujesz większej mocy obliczeniowej). Poniżej znajdziesz nasze przemyślenia i porady dotyczące wyboru sprzętu, który najlepiej spełni Twoje indywidualne potrzeby.

Najważniejsze czynniki przy wyborze sprzętu

Wybierając właściwy sprzęt, powinieneś zwrócić uwagę na 8 głównych czynników:

  • Twój sposób działania (determinuje to całą resztę):
    • mobilny, ukryty
    • mobilny, jawny
    • stacjonarny
  • zasilanie (pobór mocy, stabilność przy zbyt słabym zasilaniu, współpraca z power bankami)
  • wydajność procesora i I/O
  • liczba dostępnych portów USB 3.0 lub nowszych
  • jakie są możliwości sygnalizacji zdarzeń (w przypadku wersji mobilnej)
  • nacisk na standaryzację i wymienność, czy maksymalizację parametrów (w przypadku wersji mobilnej)
  • temperatura pracy i kwestie chłodzenia (w przypadku wersji mobilnej)
  • możliwość zaszyfrowana dysku (w przypadku wersji stacjonarnej)

Sprzęt mobilny do działań w ukryciu - co wybrać i dlaczego?

Jeśli chcesz działać w ukryciu (i zarazem w pełni mobilnie), laptop - nawet mały i lekki - nie będzie właściwym wyborem. To czego szukasz, to platforma Raspberry Pi, oraz różne inspirowane nią klony.

  • "oryginalne" Raspberry Pi to postawienie na standaryzację (jest to sprzęt bardzo znany i popularny, łatwo dostępny i łatwo wymienny, a poszczególne odsłony są ze sobą z grubsza kompatybilne)
  • poszczególne klony (a jest ich naprawdę wiele) idą w bardzo różnych kierunkach i wnoszą bardzo różne możliwości: mniejsze rozmiary, większa wydajność, dodatkowe interfejsy, zintegrowany modem GSM itp. - ceną jest jednak niestandardowy sprzęt (którego może nagle zabraknąć w sklepach), niestandardowy system operacyjny (z różnymi autorskimi dodatkami od producenta), czy różne niespodziewane niedoróbki, które często wychodzą dopiero po zakupie

W przypadku Funkcjonariusza Mobilnego i działań w ukryciu, Raspberry Pi 4 nie będzie dobrym wyborem - owszem, jest to relatywnie wydajny sprzęt, ma jednak 2 poważne problemy:

  • z temperaturą pracy (niezbędne jest aktywne chłodzenie, które wymusza otwarty obieg powietrza wokół urządzenia, przez co nie da się go schować, a wentylatory o tak małej średnicy są relatywnie łatwo słyszalne)
  • z zasilaniem (pobór mocy rzędu 3A ogranicza jego zastosowanie do raptem kilku najmocniejszych power banków i zasilaczy stacjonarnych - nawet popularne zasilacze od telefonów są zbyt słabe)

Niezłym wyborem - jeśli chcesz iść w kierunku standaryzacji - wydaje się starszy model Raspberry Pi 3B, który ma wprawdzie kilka razy mniejszą wydajność, ale nie ma powyższych problemów - może więc pracować w ukryciu. Najlepszym wyborem zdaje się jednak być platforma NanoPi, której dwa warianty przedstawiamy niżej.

Ile portów USB i do czego są potrzebne

Na samym początku tego tekstu była mowa o przynajmniej 2 działających portach USB. Tak naprawdę wymagana ilość portów zależy od zastosowania. Porty USB (pomijając już port zasilający) potrzebne są do trzech zastosowań:

  1. Podłączenie eksfiltrowanego nośnika:
    • preferowany jest tu port USB 3.0, a w przypadku działań stacjonarnych, opcjonalnie nawet nowszy (i szybszy)
    • zależnie od mocy obliczeniowej rozważanego sprzętu, może się przydać więcej takich portów (do eksfiltracji kilku nośników równolegle)
  2. Podłączenie Twojego docelowego nośnika na dane - tu również przyda się port USB 3.0, natomiast w przypadku działań ukrytych można się zdecydować na eksfiltrację bezpośrednio na kartę pamięci, wówczas port ten nie jest niezbędny.
  3. Podłączenie wyświetlacza USB, np. BlinkStick Strip - w przypadku Raspberry Pi podstawowym typem wyświetlaczy są te z interfejsem GPIO (nakładane na złącze szpilkowe), wówczas port ten jest zbędny - natomiast w niektórych przypadkach większy sens może mieć właśnie wyświetlacz USB.

Eksfiltracja danych na kartę pamięci - kiedy to ma sens?

Zarówno platforma Raspberry Pi jak i jej klony (w tym NanoPi) używa kart pamięci typu MicroSD do rozruchu systemu. Funkcjonariusz Mobilny może zapisywać eksfiltrowane dane albo na zewnętrznym dysku USB, albo na wewnętrznej karcie pamięci (tryb "fallback storage").

Z punktu widzenia funkcjonalnego, użycie wewnętrznej karty pamięci ma sens w trzech przypadkach:

  • prowadząc działania w trybie ukrytym, gdy zależy Ci na maksymalnym zakamuflowaniu sprzętu, za to proces eksfiltracji może trwać dużo dłużej
  • gdy niezbędna jest minimalizacja poboru prądu (gdy masz do dyspozycji tylko słaby power bank, bądź ładowarkę do telefonu)
  • jako pamięć zapasowa, na wypadek braku miejsca na dyskach zewnętrznych, ich awarii

Wadą kart pamięci jest niewielka wydajność zapisu w porównaniu z dyskami SSD, jak również niewielka trwałość, gdy zacznie się je intensywnie zapisywać. Dlatego wszystkie te przypadki powinieneś rozpatrywać w kategoriach sytuacji awaryjnych - na które warto być przygotowanym, ale w miarę możliwości powinno się użyć zewnętrznego dysku SSD.

Natomiast w przypadku działań stacjonarnych, gdy system jest uruchamiany z normalnego dysku SSD, a nie karty pamięci, tryb "fallback storage" jest jak najbardziej bezpieczny - pamiętaj jednak o ograniczonej ilości miejsca.

Polecany przez nas sprzęt

Poniżej kilka naszych rekomendacji z podziałem na sposoby działania.

Do działania w pełnym ukryciu: NanoPi-NEO2 + BakeBit NanoHat OLED

  • absolutnie najmniejszy model (tylko 40 x 40 mm)
  • niewielka wydajność transferu danych - porównywalna do Raspberry Pi 3B
  • tylko 2 porty USB 2.0
  • tylko 512 MB RAM, co w zupełności wystarczy do eksfiltracji danych, ale ogranicza ewentualne przyszłe zastosowania (np. rozpoznawanie obrazu)
  • bardzo niewielkie zużycie energii, działa stabilnie na większości power banków, tanich ładowarek do telefonów itp. (oficjalne zapotrzebowanie 2A, realnie dużo mniejsze), nie przegrzewa się
  • zmodyfikowana wersja Ubuntu 16.04 LTS
  • 8-liniowy wyświetlacz tekstowy OLED, pokazujący bieżące aktywności
  • zintegrowane wyjście dźwiękowe mini-jack, 3 programowalne przyciski, elegancka obudowa - łatwy do charakteryzacji jako odtwarzacz mp3
  • cena poniżej 300 zł brutto

Świetny wybór, jeśli eksfiltracja ma być prowadzona w pełnym ukryciu (urządzenie musi być schowane, np. wszyte w grube ubrania) i bez nadzoru, za to nie ma ograniczeń czasowych. Platforma NanoPi jest jedną ze najstabilniejszych platform, jakie testowaliśmy.

Do działania w kamuflażu: NanoPi-NEO3

  • nadal jeden z najmniejszych modeli (tylko 48 x 48 mm)
  • tylko 1 port USB 3.0 (wymaga albo huba USB i wyświetlacza BlinkStick, albo działania w trybach headless i fallback storage)
  • szybki procesor i 2 GB RAM, co pozwala zarówno na eksfiltrację danych, jak i w przyszłości na dodatkowe zastosowania
  • niewielkie zużycie energii, działa stabilnie na większości power banków, tanich ładowarek do telefonów itp., nie przegrzewa się
  • zmodyfikowana wersja Ubuntu 20.04 LTS
  • w porównaniu z poprzednikiem, brak wbudowanego wyświetlacza, przycisków i układu dźwiękowego, oraz plastikowa obudowa (mimo to dobrej jakości) zamiast aluminiowej
  • cena poniżej 400 zł brutto

Przewagą tego modelu nad poprzednikiem jest dużo większa wydajność (a więc szybkość eksfiltracji danych). Model ten powinien świetnie sprawdzić się wszędzie tam, gdzie możliwe jest wbudowanie któregoś z wyświetlaczy BlinkStick w jakąś większą konstrukcję - np. w deskę rozdzielczą samochodu.

Do działania jawnego, ale częściowo mobilnego: Raspberry Pi 400

  • najszybsza obecnie wersja Raspberry Pi, z rozwiązanym problemem przegrzewania się znanym z Raspberry Pi 4
  • 6-7x większa wydajność od Raspberry Pi 3B i NanoPi-NEO2
  • 2 porty USB 3.0 + 1 port USB 2.0
  • bardzo prądożerne, wymaga zasilacza USB o mocy 3A lub większej (tego typu zasilacze i power banki oczywiście istnieją, ale są dość masywne, co w terenie może być problematyczne - często prościej jest użyć po prostu laptopa)
  • przetestowane z power bankiem Anker PowerCore Select 20000 mAh z wyjściem 3A (waga 390g), w trybie idle pracuje ponad 20h
  • 2 porty HDMI, do podłączenia 2 monitorów - zakładając, że atak będzie prowadzony w miejscu, gdzie są dostępne monitory ze złączem HDMI, ten sprzęt jest mniejszy, lżejszy i tańszy od laptopa
  • kompatybilne z większością rozszerzeń dla Raspberry Pi, w tym z Pimoroni Blinkt (Funkcjonariusz Mobilny może na nim sygnalizować bieżące aktywności za pomocą wielokolorowych diod LED, więc monitor nie jest niezbędny)
  • kompatybilne z systemami Raspbian Buster i Ubuntu 20.04 LTS w wersji dla procesorów ARM (z wersjami 32- i 64-bitowymi)
  • cena poniżej 400 zł brutto

Dobry wybór, jeśli działasz w pełni jawnie i nie musisz ukrywać ani kamuflować sprzętu, natomiast zależy Ci na przynajmniej częściowej mobilności.

Do działania w pełni stacjonarnego: Dell Optiplex 7040 Micro

  • ten konkretny model ma aż 6 portów USB 3.0, zewnętrzny zasilacz i obudowę na tyle niewielką, aby mimo wszystko pozwolić na pewien stopień mobilności
  • procesor Intel Core i5-6500T CPU zapewnia wydajność absolutnie nieporównywalną ze wszystkimi powyższymi modelami
  • Debian Stretch/Buster, Ubuntu 18.04 / 20.04 LTS, albo dowolna dystrybucja pochodna (Mint, Mate, Kubuntu, Kali itd.)
  • cena 1200-1550 zł brutto (zależna od dokładnej konfiguracji, używany, poleasingowy, w stanie idealnym)

Dobry wybór, jeśli prowadzisz eksfiltrację danych na większą skalę, w warunkach stacjonarnych (np. laboratorium policyjne).