ГлавнаяБлогРадио-хак: как перехватывать данные из воздуха с помощью SDR
Алгоритмы

Радио-хак: как перехватывать данные из воздуха с помощью SDR

Узнайте, как с помощью SDR за $30 перехватывать данные с умных датчиков, пейджеров и TPMS. Освойте радио-анализ на практике с Python.

Al
Редакция Algolitalgolit.ru
12 мин чтения11 июля 2026 г.

Зачем инженеру по безопасности смотреть в радиоэфир?

Современный инженер по безопасности практически слеп. Мы проводим жизнь, вглядываясь в уютную структурированную матрицу модели OSI. Мы аудируем рукопожатия TLS 1.3, настраиваем eBPF-зонды и зацикливаемся на политиках Kubernetes. Мы считаем Ethernet-кабель и Wi-Fi-кадр 802.11 абсолютной границей цифровой вселенной. Но прямо за вашим окном, в буквальном воздухе офисного парка или пригорода, разворачивается параллельный, хаотичный и абсолютно незашифрованный цифровой Дикий Запад. Умные счётчики транслируют потребление энергии. Гарнитуры в drive-thru прослушивают аудио. Муниципальные датчики трафика сообщают о заторах. Пожарные сигнализации, медицинские пейджеры, трекеры логистики и пульты гаражных ворот — все они кричат сырыми, неаутентифицированными данными в эфир. Они не используют Wi-Fi. Им плевать на IP-адреса. Они живут в субгигагерцовом (Sub-GHz) спектре — и они полностью голые. Если Wireshark научил нас шпионить за нервной системой интернета, то Software Defined Radio (SDR) — это способ шпионить за нервной системой физического мира. И лучшее: вы можете захватывать всё это, не касаясь стандартного сетевого интерфейса, с помощью USB-донгла стоимостью меньше хорошей бутылки виски.

Слепое пятно на 433 МГц

Почему это происходит? Из-за фундаментального недостатка в том, как индустрия смотрит на безопасность: если человек не может легко взаимодействовать со средой, инженеры предполагают, что хакеры тоже не будут. Десятилетиями радиочастотная инженерия была тёмным искусством. Чтобы сниффать или манипулировать сигналами за пределами стандартных Wi-Fi и Bluetooth, требовалось тысячи долларов специализированного оборудования: спектроанализаторы, осциллографы, специализированные микросхемы. Барьер входа был огромным финансовым рвом. Из-за этого рва разработчики встраиваемых систем обленились. Им нужно было передавать данные на большие расстояния с минимальным энергопотреблением, поэтому они обратились к свободным промышленным, научным и медицинским (ISM) радио-диапазонам. Конкретно — к субгигагерцовым: 315 МГц, 433 МГц, 868 МГц и 915 МГц. Они не внедряли шифрование, потому что криптография требует тактов, такты сажают батарею — и кто же будет строить кастомный приёмник ради декодирования метеостанции или водомера? А потом случилась революция SDR.

Как SDR изменил правила игры

Software Defined Radio полностью перевернул сценарий. Он перенёс всю сложную работу, традиционно выполняемую аналоговым железом (смесители, фильтры, усилители, демодуляторы), на CPU вашего ноутбука. Дешёвое устройство просто преобразует сырые аналоговые электромагнитные волны с антенны в цифровые потоки I/Q-данных. Всё остальное делает софт. Внезапно финансовый ров испарился. RTL-SDR — крошечная USB-флешка, изначально предназначенная для просмотра эфирного ТВ на компьютере, оказалась невероятно гибким широкополосным приёмником. За $30 любой может видеть, записывать и демодулировать сигналы от 500 кГц до 1,7 ГГц. Если вы хакер, который раньше работал только со стандартными IP-сетями, попадание в радиочастотное пространство ощущается как обнаружение секретного бэкдора в реальность.

Настройка вашего цифрового перископа

Чтобы начать сниффинг невидимого мира из-за стола, вам не нужно академическое образование в теории электромагнетизма. Нужны лишь правильные стёкла.

Выбор железа

Если вы только начинаете, возьмите RTL-SDR Blog V4. Он дёшев, отлично экранирован от USB-шума и идеален как входной наркотик. Если хотите что-то более автономное и опасное — HackRF One или Flipper Zero позволяют не только слушать, но и передавать (но сегодня мы сосредоточимся только на пассивном прослушивании, чтобы оставаться в рамках закона).

Программный стек

Думайте о SDR-софте как о GUI Wireshark. Популярные кроссплатформенные инструменты: GQRX (Linux/macOS), SDR++ (мультиплатформенный, лёгкий, быстрый), SDR# (Windows). Когда вы запускаете программу и нажимаете Play, вы видите FFT-график (график силы сигнала в реальном времени по частотам) и водопад. Водопад — это историческая запись спектра: время идёт вниз по вертикали, частота — по горизонтали, а цвет показывает силу сигнала. Увидеть водопад впервые — откровение для сетевого инженера. Это буквальная визуализация данных, режущих физическое пространство. Вы увидите короткие резкие вспышки на тёмно-синем фоне. Каждая такая вспышка — пакет. Ваша задача — поймать их.

«Hello World» радио-сниффинга: пейджеры и телеметрия

Давайте перейдём от теории к практике и посмотрим на реальную цель, которая почти наверняка плавает в вашей комнате прямо сейчас: сети пейджеров на протоколах FLEX и POCSAG. Вы думаете, пейджеры умерли в конце 90-х? Вы бы ошиблись. Пейджеры до сих пор активно используются в больницах для медперсонала, в экстренных службах для добровольных пожарных и на промышленных объектах для автоматических оповещений. Почему? Потому что один мощный субгигагерцовый передатчик может пробить толщу бетонных подвалов, где сотовый сигнал умирает. И они передают всё открытым текстом, постоянно.

Шаг 1: Поиск частоты

В зависимости от региона, сети пейджеров обычно обитают в диапазонах 138–174 МГц или 450–470 МГц. Откройте SDR-софт, установите модуляцию NFM (Narrowband FM) и прокручивайте эти диапазоны. Ищите характерный ритмичный, почти музыкальный скрежет, который идёт короткими всплесками. На водопаде это выглядит как толстый сплошной блок данных.

Шаг 2: Демодуляция потока

Раньше нужно было маршрутизировать аудиовыход SDR через виртуальный аудиокабель в программу декодирования. Сегодня инструменты вроде multimon-ng делают это тривиально. Можно использовать командную утилиту rtl_fm (из стандартного набора RTL-SDR), чтобы настроиться на частоту и отправить сырое аудио напрямую в multimon-ng.

rtl_fm -f 466.05M -s 22050 | multimon-ng -t raw -a POCSAG512 -a POCSAG1200 -a POCSAG2400 -f alpha -

Запустите эту команду — и ваш терминал начнёт выводить текстовые страницы. Вы увидите внутренние больничные оповещения, координаты транспортировки пациентов, статусы автоматизированной инфраструктуры и системные диагностики. Это ощущается глубоко инвазивно, потому что так и есть. Вы вытаскиваете сырые чувствительные данные прямо из воздуха, не взаимодействуя ни с одним сервером, аутентифицированным API или защищённым шлюзом.

Декодируем район с помощью rtl_433

Если взлом устаревших пейджеров кажется слишком индустриальным, посмотрим на нечто гораздо более близкое к дому. Буквально. Частоты 433,92 МГц и 915 МГц — это абсолютный Дикий Запад потребительской и коммерческой телеметрии. Почти каждый дешёвый беспроводной датчик, произведённый за последние двадцать лет, использует эти диапазоны для связи с базой. Существует open-source шедевр под названием rtl_433. Несмотря на название, он слушает не только 433 МГц — это мощный декодер для сотен различных субгигагерцовых протоколов. Это, по сути, tcpdump радио-мира. Подключите SDR-донгл, откройте терминал и просто запустите:

rtl_433 -f 433.92M

Через несколько минут ваш терминал, скорее всего, заполнится JSON-подобными блоками данных:

_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time    : 2026-07-06 17:42:12
model   : Nexus-TH
id      : 142
Channel : 1
Battery : OK
Temperature: 22.4 C
Humidity: 48 %
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
time    : 2026-07-06 17:43:01
model   : Schrader-EG53MA4
id      : 0A3F21B
Type    : TPMS
Pressure: 32.5 PSI
Temperature: 28.0 C
Flags   : 00

Посмотрите, что вы видите. Первый блок — метеостанция соседа, сообщающая точные показатели климата внутри или снаружи. Второй блок — датчик TPMS (система контроля давления в шинах) из машины, проезжающей мимо вашего дома. Каждый современный автомобиль имеет беспроводные датчики внутри вентилей шин. Они передают уникальный ID, текущее давление и температуру каждые несколько секунд в бортовой компьютер автомобиля. Задумайтесь о последствиях для безопасности на секунду. ID TPMS автомобиля статичен. Если вы установите дешёвый SDR-приёмник на перекрёстке, вы сможете отслеживать точное физическое перемещение и маршруты конкретных машин на основе незашифрованных радиомаяков, которые излучают их шины. Никаких считывателей номеров, никакой сложной инфраструктуры слежки. Просто сырая незашифрованная телеметрия, плавающая в общественном пространстве.

Разбираем протокол: мышление реверс-инженера

Что делать, если вы нашли на водопаде сигнал, который rtl_433 не распознаёт? Вот где начинается настоящий хак. Это переход от потребителя инструментов безопасности к создателю. Когда SDR захватывает сигнал, он записывает его в I/Q-формате. I/Q-данные представляют изменения амплитуды и фазы радиоволны во времени. Это абсолютный сырой формат. Чтобы реверс-инжинирить неизвестный сигнал, используйте open-source инструмент Universal Radio Hacker (URH).

Анатомия RF-пакета

Когда вы загружаете сырую запись сигнала в URH, вы видите осциллограмму. Применив цифровой демодулятор (обычно ASK или FSK), URH преобразует эту волнистую аналоговую линию в чистую цифровую последовательность единиц и нулей. Как и Ethernet-кадр, субгигагерцовый радиопакет имеет чёткую структуру:

  • Преамбула: предсказуемый чередующийся паттерн битов (например, 10101010), который говорит приёмнику: «Эй, проснись, идёт пакет, синхронизируй свои часы с моей скоростью».
  • Синхрослово: специфическая фиксированная последовательность битов (например, 0xD391), обозначающая точную границу начала полезной нагрузки.
  • Полезная нагрузка: собственно сообщение — показания датчиков, ID команд, статусы устройств.
  • Контрольная сумма (CRC): математическая строка для проверки целостности пакета.

Выравнивая разные пакеты от одного устройства в URH, вы можете заметить паттерны. Если нажать кнопку «Открыть» на пульте гаражных ворот пять раз, вы заметите, что 95% двоичной строки остаются идентичными, а крошечный участок меняется или инкрементируется. Если он не меняется — вы только что обнаружили устройство, уязвимое для простой атаки повторением (replay attack), когда повторение точной аудиозаписи передачи в эфир снова вызовет физическое действие.

Практический вывод: начните прямо сейчас

Смысл исследования субгигагерцового спектра не только в том, чтобы читать термометр соседа или шпионить за больничными пейджерами. Это разрушение иллюзии границ безопасности. Мы потратили миллиарды долларов на защиту интернета, укрепление прикладного уровня и строгий контроль доступа к видимым сетям. Но мы построили физический мир, который полностью зависит от массивного невидимого фундамента неаутентифицированных радиосвязей. Умные сети, автоматизированные заводы, муниципальная инфраструктура и физические системы контроля доступа постоянно сливают информацию о состоянии, телеметрию конфигурации и операционные команды в атмосферу. Единственное, что десятилетиями защищало эту инфраструктуру, — это неизвестность среды. Эта неизвестность полностью мертва. В следующий раз, открывая Wireshark, вспомните: настоящие данные уже летят за окном. Возьмите RTL-SDR, установите rtl_433 и увидите невидимое.

#SDR#радио-хак#субгигагерцовый спектр#безопасность#реверс-инжиниринг
Al
Редакция Algolit

Пишем про алгоритмы, подготовку к собеседованиям и карьеру в IT — так, чтобы было понятно и полезно.

Хочешь закрепить знания на практике?

Решай задачи на Algolit — интерактивная платформа для обучения

Начать бесплатно →