Радиочастотный спектр — это та же цифровая среда, только на уровень ниже привычного нам HTTP и TCP/IP. И следы здесь точно такие же материальные, как логи сервера или метаданные файла. Водопадная диаграмма, о которой любят писать радиоэнтузиасты, превращает невидимое в картинку, позволяет «услышать глазами» эфир. Но для расследователя это лишь первый слой. Дальше начинается работа с пакетами, идентификаторами и сигнатурами, знакомая любому специалисту по киберразведке.
На практике при анализе инцидентов мы все чаще уходим в беспроводные протоколы. Нужно понять, какие устройства находились в помещении, был ли там скрытый жучок, чей дрон пролетал, какие данные сливает IoT-датчик заказчика. И тут арсенал вполне конкретен. Пассивный Kismet с хорошей сетевой картой и GPS-привязкой позволяет без единого лишнего пакета в эфире собрать MAC-адреса, типы устройств и их координаты — по сути, цифровую карту излучателей, которая может лечь в материалы дела. Wireshark, которому уже четверть века, вскрывает эти захваты до байта: видно и рукопожатия, и содержимое незашифрованных сессий. А если нужен контролируемый эксперимент, Aircrack-NG покажет, как за секунду деаутентифицировать клиента и перехватить заветный handshake — именно так в тестовой лаборатории проверяют устойчивость периметра.
Отдельная история — обратная инженерия сигналов. Universal Radio Hacker работает на уровне битовых потоков, позволяя разбирать проприетарные протоколы устройств в диапазонах ISM, которые иначе не прочитать. Это уже не просто анализ, а полноценное восстановление логики работы неизвестного передатчика. Ну и HackRF One с портативным модулем Portapack — инструмент, который при скромной выходной мощности умеет практически всё: от записи спектра до воспроизведения и спама BLE-пакетами. Выглядит как игрушка, но именно такие «игрушки» при безответственном использовании приводят к серьезным инцидентам с подменой сигналов.
