11 września 2010
Bluetooth: Opo{wieść o niebieskim} kle
Zapraszam do zapoznania się z pierwszym artykułem biorącym udział w Urodzinowym Konkursie HCSL, zorganizowanym przez serwis HARD CORE SECURITY LAB oraz firmę Securitum.Autorką poniższego opracowania jest Joanna Subik (użytkownik Gmaila: frezjadg). Asia na co dzień pracuje w firmie WolaInfo jako trener Microsoft oraz konsultant ITSM z zakresu produktów Microsoft (począwszy od systemów serwerowych, klienckich, aż po serwery bazodanowe, z naciskiem na produkty System Center). Bezpieczeństwo jest jej konikiem od czasów studiów, dlatego zawsze chętnie opowiada kursantom i swoim klientom o nowościach z tego zakresu i oczywiście stara się być na bieżąco, m.in. czytając nasz serwis.
Integralną częścią poniższego artykułu są pliki PDF (zawierające szczegółowe omówienie praktycznych ataków testowych), do których odnośniki znajdują się w poszczególnych sekcjach opracowania.
Wstęp
Prawo
Uzyskiwanie dostępu do sieci bez zgody ich właściciela jest przestępstwem i nie należy stosować technik opisanych w niniejszym dokumencie do celów innych niż prowadzenie audytu bezpieczeństwa, testów penetracyjnych lub naukowych - po wcześniejszym uzyskaniu pisemnej zgody właściciela.
Kodeks karny
Art. 267.
§ 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym.
§ 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego.
Art. 268a.
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3.
§ 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego.
Omówienie
Nazwa Bluetooth pochodzi od przydomka duńskiego Króla Harolda Sinozębego (ang. Bluetooth), który zjednoczył Danię i Norwegię i wprowadził chrześcijaństwo w Skandynawii. Logo Bluetooth łączy znaki alfabetu runicznego, będące odpowiednikami liter alfabetu łacińskiego H i B.
Blutooth, czyli błyskawiczny Crash Course:
- Pracuje w paśmie 2.4 GHz, na 79 kanałach (oprócz Hiszpanii i Francji)
- Częstość przeskoków międzykanałowych to 3200/sec lub 1600/sec
- Parowanie jest mechanizmem ustanawiania długoterminowej relacji między dwoma urządzeniami BT
- Komendy AT są używane do kontroli urządzenia poprzez port RFCOMM
- Tryb wykrywalny – urządzenie chce zostać wykryte i odpowiada na zapytania pochodzące z innych urządzeń
Obecna wersja Bluetootha to 2.0+EDR (Enhanced Data Rate) umożliwia transfer do 3Mb/s, natomiast bezpieczeństwo od wersji 1.1 w dużym stopniu pozostało niezmienione. W listopadzie 2006 sprzedano miliardowe urządzenie z BT (dane SIG).
 |
| Procentowy udział urządzeń BT na rynku |
Jak wynika z powyższego wykresu, obecnie na świecie największy procentowy udział w produkcji urządzeń z modułem BT posiadają telefony komórkowe. Na drugim miejscu uplasowały się akcesoria do telefonów.
Schemat stosu protokołów Bluetooth
Wyróżniamy następujące warstwy stosu protokołów:
1. niższe warstwy grupy protokołów transportowych:
- Interfejs Radiowy
- Kontroler Połączenia i Pasmo Podstawowe
- Menedżer Połączenia
2. wyższe warstwy grupy protokołów transportowych:
- warstwa L2CAP (ang. Logical Link Control and Adaptation Protocol)
- interfejs sterujący hosta HCI (ang. Host Control Interface)
3. protokoły pośredniczące:
- protokół emulacji portu szeregowego RFCOMM (ang. Radio Frequency Communication)
- protokół wyszukiwania usług SDP (ang. Service Discovery Protocol)
- protokoły współpracy z IrDA (ang. Infrared Data Association)
- protokół zarządzania modemem AT – Commands
4. warstwa aplikacji:
- profile Bluetooth
Zależności pomiędzy poszczególnymi warstwami przedstawia poniższy rysunek:
Jak widać opisywana architektura jest złożona i niejednorodna. Wiele protokołów zaprojektowanych lub adaptowanych do potrzeb Bluetooth istnieje równolegle i są one przewidziane do pełnienia bardzo wielu różnorodnych funkcji. Kolejny, bardziej czytelny schemat protokołów został przedstawiony na poniższym rysunku. Prezentuje miejsce każdego protokołu w stosie i w przystępny sposób opisuje jego zastosowanie.
 |
| Schemat stosu protokołów Bluetooth. (Lopez Ugo: Hakowanie Bluetooth w: Hakin9 03/2007, str. 12) |
 |
| Struktura standardu Bluetooth (źródło: http://cygnus.tele.pw.edu.pl/~zkotulsk/seminarium/Bezpieczenstwo_technologii_Bluetooth.pdf) |
Sieci Bluetooth posiadają kilka zalet. Można do nich zaliczyć mobilność (telefony komórkowe, dostęp do sieci, zestawy do samochodów), brak okablowania (myszy, klawiatury, kamery, drukarki, odtwarzacze MP3 itp.) oraz otwartość, elastyczność, niski pobór prądu i niewygórowaną cenę. Warto wspomnieć, że Bluetooth pracuje w 3 trybach: wykrywalnym, z ograniczoną widzialnością (urządzenie jest widzialne tylko przez określony czas) i niewykrywalnym (nie odpowiada na próby wykrycia - teoretycznie).
Do producentów chipów Bluetooth można zaliczyć takie korporacje jak CSR, Broadcom, TI, Infineon oraz Ericsson natomiast najbardziej popularni wydawcy stosu BT to WIDCOMM, Toshiba, Micosoft, CSR, Extended Systems oraz Open Interface.
Ataki Bluetooth powodowane są przez niedokładne zabezpieczenie sieci oraz ubogą implementacją protokołu. Problemem stanowi także skomplikowany stos protokołów Bluetooth oraz brak szkoleń z dziedziny bezpieczeństwa BT dla developerów. Grupą, która wiedzie prym w publicznym ujawnianiu ataków Bluetooth jest trifinite.org.
Podstawy bezpieczeństwa
Niezależnie od wad w implementacji stosu protokołów Bluetooth, posiada on kilka mechanizmów obronnych. Można do nich zaliczyć proces „parowania”urządzeń (Bluetooth Pairing) przed rozpoczęciem transmisji, który jest oparty o kod PIN (4-16 cyfr). Klient jest uwierzytelniany poprzez zastosowanie algorytmu SAFER+, a samo połączenie – szyfrowane (algorytm E0). Istnieje również możliwość „ukrycia” urządzenia (ang. non-discoverable mode). Sieci Bluetooth są sieciami prywatnymi z ograniczonym zasięgiem (zwykle do 10 metrów), a podłączenie się do konkretnego kanału utrudniają częste przeskoki międzykanałowe. Niestety - jak zostanie udowodnione w poniższym dokumencie - zabezpieczenia te są niewystarczające do uzyskania pełnej ochrony dostępu do urządzenia.
Pierwszym, podstawowym problemem są domyślne ustawienia urządzenia BT, które powinny zostać zmienione. (w miarę możliwości). Należą do nich domyślnie włączony profil BT, domyślnie włączony tryb wykrywania, brak uwierzytelniania podczas przesyłania niektórych form wiadomości (np. vCardy w niektórych starszych modelach telefonów komórkowych). Dużym krokiem wstecz w dziedzinie bezpieczeństwa Bluetooth jest brak możliwości zmiany PINu (stosowanie sekwencji cyfr 0000 jako domyślnego kodu PIN) w niektórych słuchawkach BT, co pozwala na przeprowadzenie ataku Car Whisperer.
Mechanizmy bezpieczeństwa szyfrowania
Aby zaszyfrować dane konieczne jest wcześniejsze przeprowadzenie uwierzytelnienia, ponieważ klucz szyfrujący jest generowany na podstawie wspólnego klucza połączenia współdzielonego przez urządzenia. Szyfrowanie przeprowadzone jest przez opisany dalej algorytm SAFER+ z maksymalnie 128-bitowym kluczem szyfrującym. Domyślna wielkość klucza szyfrującego 128 bitów może w niektórych przypadkach być zmniejszona w związku z restrykcjami niektórych krajów dot. eksportu silnych algorytmów szyfrujących.
Niezależnie od wad w implementacji stosu protokołów Bluetooth, posiada on kilka mechanizmów obronnych. Można do nich zaliczyć proces „parowania”urządzeń (Bluetooth Pairing) przed rozpoczęciem transmisji, który jest oparty o kod PIN (4-16 cyfr). Klient jest uwierzytelniany poprzez zastosowanie algorytmu SAFER+, a samo połączenie – szyfrowane (algorytm E0). Istnieje również możliwość „ukrycia” urządzenia (ang. non-discoverable mode). Sieci Bluetooth są sieciami prywatnymi z ograniczonym zasięgiem (zwykle do 10 metrów), a podłączenie się do konkretnego kanału utrudniają częste przeskoki międzykanałowe. Niestety - jak zostanie udowodnione w poniższym dokumencie - zabezpieczenia te są niewystarczające do uzyskania pełnej ochrony dostępu do urządzenia.
Pierwszym, podstawowym problemem są domyślne ustawienia urządzenia BT, które powinny zostać zmienione. (w miarę możliwości). Należą do nich domyślnie włączony profil BT, domyślnie włączony tryb wykrywania, brak uwierzytelniania podczas przesyłania niektórych form wiadomości (np. vCardy w niektórych starszych modelach telefonów komórkowych). Dużym krokiem wstecz w dziedzinie bezpieczeństwa Bluetooth jest brak możliwości zmiany PINu (stosowanie sekwencji cyfr 0000 jako domyślnego kodu PIN) w niektórych słuchawkach BT, co pozwala na przeprowadzenie ataku Car Whisperer.
Mechanizmy bezpieczeństwa szyfrowania
Aby zaszyfrować dane konieczne jest wcześniejsze przeprowadzenie uwierzytelnienia, ponieważ klucz szyfrujący jest generowany na podstawie wspólnego klucza połączenia współdzielonego przez urządzenia. Szyfrowanie przeprowadzone jest przez opisany dalej algorytm SAFER+ z maksymalnie 128-bitowym kluczem szyfrującym. Domyślna wielkość klucza szyfrującego 128 bitów może w niektórych przypadkach być zmniejszona w związku z restrykcjami niektórych krajów dot. eksportu silnych algorytmów szyfrujących.
Standard Bluetooth do szyfrowania danych i uwierzytelniania urządzeń wykorzystuje algorytm kodowania SAFER+ (ang. Secure And Fast Encryption Routine). Algorytm ten został zaproponowany jako jeden z kandydatów do amerykańskiego standardu AES (ang. Advanced Encryption Standard), który miał zastąpić wysłużony już standard DES (ang. Data Encryption Standard).
Jako wejście dla tego algorytmu przewidziano następujące dane:
- dane do szyfrowania/deszyfrowania,
- adres urządzenia master,
- wartość zegara urządzenia master,
- tajny klucz wspólny dla obu urządzeń.
Oba komunikujące się urządzenia znają adres urządzenia master. Urządzenie slave zna przesunięcie czasowe względem czasu urządzenia master. W przypadku kodowania danych jako dane do szyfrowania są po prostu wprowadzane informacje, które należy przesłać. Klucz szyfrowania jest tworzony na podstawie klucza połączenia obu urządzeń i dlatego między innymi uwierzytelnienie musi poprzedzać szyfrowanie.
W przypadku procedury uwierzytelnienia sprawdzenie, czy oba urządzenia posiadają wspólny klucz poprzez przesłanie go mija się z celem, ponieważ klucz staje się łatwym łupem. Dlatego w takim przypadku generowane są losowe dane wejściowe, które są wysyłane następnie do maszyny proszącej o uwierzytelnienie, która odsyła te dane zakodowane swoim tajnym kluczem. Jeśli odesłane dane są identyczne z danych uzyskanymi z szyfrowania tych danych w urządzeniu weryfikującym to oznacza, że urządzenia współdzielą taki sam klucz tajny.
Wersja algorytmu adaptowana przez SIG operuje na 128-bitowych kluczach. Taką właśnie wielkość mają nie tylko klucze szyfrujące, ale również klucze połączenia i inne klucze tymczasowe. Schemat działania algrytmu SAFER+ przedstawiony został na poniższym rysunku.
 |
| Schemat szyfrowania algorytmem SAFER+, służącego do uwierzytelniania połączenia. (źródło: http://cygnus.tele.pw.edu.pl/~zkotulsk/seminarium/Bezpieczenstwo_technologii_Bluetooth.pdf ) |
Algorytm E0
E0 jest algorytmem strumieniowym używanym w protokole Bluetooth. Generuje sekwencję liczb pseudolosowych i łączy dane poprzez użycie operatora XOR. Generuje klucze zmiennej długości, ale zwykle ma on 128 bitów.
Podczas każdej iteracji, E0 generuje bity przy użyciu 4 rejestrów o zmiennej długości (25, 31,33,39 bitów) i 2 wewnętrzne stany, każdy o długości 2 bitów. Po każdym tyknięciu zegara, rejestry są przesuwane i 2 stany są aktualizowane do obecnego stanu. Algrotym XOR sumuje wartości w dwubitowym rejestrze. Pierwszy bit wyniku jest podawany na wyjście do zakodowania. E0 dzieli się na 3 części:
Podczas każdej iteracji, E0 generuje bity przy użyciu 4 rejestrów o zmiennej długości (25, 31,33,39 bitów) i 2 wewnętrzne stany, każdy o długości 2 bitów. Po każdym tyknięciu zegara, rejestry są przesuwane i 2 stany są aktualizowane do obecnego stanu. Algrotym XOR sumuje wartości w dwubitowym rejestrze. Pierwszy bit wyniku jest podawany na wyjście do zakodowania. E0 dzieli się na 3 części:
- generowanie bloku danych
- generowanie strumienia kluczy
- kodowanie
Błędy w implementacji stosu Bluetooth powodują:
Odsłanianie funkcjonalności, aby dokonać uwierzytelnienia – podstawa ataku Bluesnarf:
- komendy AT są wysyłane do telefonu i pozwalają pobrać książkę adresową
- telefon z kliku powodów uzna, ze wszystko jest OK i zezwoli na pobranie wszystkich danych
Możliwość wysłania pakietu śmierci:
- Bluesmack wysyła ogromny pakiet l2ping do urządzenia. Rezultat? Reset urządzenia.
Naruszanie bezpieczeństwa
1. Anteny kierunkowe – większy zasięg
2. BlueBug
BlueBug podobnie jak BlueSnarf bazuje na błędnej implementacji profilów aplikacji Bluetooth. W przeciwieństwie jednak do BlueSnarf nie opiera się na profilu OPP i protokole OBEX, ale na protokole RFCOMM i poleceniach sterujących modemem (ang. AT commands). A dokładniej na nie upublicznionych w rejestrze SDP serwerach bazujących na protokole RFCOMM. Do tych serwerów można się podłączyć emulatorem terminala i bez autoryzacji wydawać polecenia sterujące telefonem. Polecenia te, działające jako standard już w modemach podłączanych do komputerów, dzisiaj są standardem zaimplementowanym w każdym telefonie komórkowym i umożliwiają sterowanie niemal wszystkimi funkcjami telefonu.
2. BlueBug
BlueBug podobnie jak BlueSnarf bazuje na błędnej implementacji profilów aplikacji Bluetooth. W przeciwieństwie jednak do BlueSnarf nie opiera się na profilu OPP i protokole OBEX, ale na protokole RFCOMM i poleceniach sterujących modemem (ang. AT commands). A dokładniej na nie upublicznionych w rejestrze SDP serwerach bazujących na protokole RFCOMM. Do tych serwerów można się podłączyć emulatorem terminala i bez autoryzacji wydawać polecenia sterujące telefonem. Polecenia te, działające jako standard już w modemach podłączanych do komputerów, dzisiaj są standardem zaimplementowanym w każdym telefonie komórkowym i umożliwiają sterowanie niemal wszystkimi funkcjami telefonu.
Na opisywany atak podatne są szczególnie telefony firm Nokia i Sony Ericsson produkowane do 2005 roku. Odkrywcy luki podają jako przykład następujące modele:
- Nokia (6310, 6310i, 8910 8910i)
- Sony Ericsson T86i, T610
Udane przeprowadzenie tego ataku daje niemal nieograniczoną kontrolę nad funkcjami telefonu i jest wyjątkowo niebezpieczne. Zabezpieczenie się przed tego typu atakiem sprowadza się do aktualizacji oprogramowania sterującego telefonem komórkowym (jeśli aktualizacja została opublikowana) lub wymiany telefonu na nowszy model, odporny na atak. Rozwiązaniem połowicznym może być ustawienie telefonu w tryb niewidoczności lub włączanie Bluetooth tylko kiedy to jest absolutnie konieczne.
Narzędzia:
- Bluebugger
- BloooverII
- Bluediving
3. BluePrinting
Wykorzystywany do uzyskania informacji o urządzeniach z włączonym Bluetoothem. Każde urządzenie posiada unikatowy adres składający sie z 6 bajtów i zazwyczaj ma formę podobną do adresów MAC: MM:MM:MM:XX:XX:XX. Pierwsze trzy bajty adresu (lit. M), zawierają informacje o producencie chipsetu. Pozostałe trzy trudniej zdefiniować, wiec nie można w 100% określić modelu urządzenia. Listę usług oferowanych przez urządzenia można uzyskać poprzez SDP (Service Discovery Protocol). Znając ich rodzaje można ustalić model urządzenia.
Na opisany atak podatne jest prawie każde urządzenie Bluetooth Zabezpieczenie się przed tego typu atakiem sprowadza się do aktualizacji oprogramowania sterującego telefonem komórkowym (jeśli aktualizacja została opublikowana) lub wymiany telefonu na nowszy model, odporny na atak. Rozwiązaniem połowicznym może być ustawienie telefonu w tryb niewidoczności lub włączanie Bluetooth tylko kiedy to jest absolutnie konieczne.
Narzędzia:
- Blueprint
- Redfang
4. BlueSnarf
Opis: publicznie dostępne pliki na OBEX. Atak wykorzystuje brak uwierzytelniania przy przesyłaniu obiektów OPP na niektórych telefonach. Umożliwia uzyskanie książki adresowej, zdjęć czy wpisów z terminarza telefonu ofiary.Na opisany atak podatne są telefony prawie wszystkich producentów produkowane do 2005 roku. Odkrywcy luki podają jako przykład następujące modele:
- Ericsson R520m, T39m, T68
- Sony Ericsson T68i, T610, Z1010
- Nokia 6310, 6310i, 8910, 8910i
Według producentów nowe urządzenia pojawiające się na rynku już od dawna nie są podatne na tę lukę. Jednak jak wspomniano powyżej praktyczne badania udowadniają, że w użyciu jest jeszcze wiele urządzeń podatnych na to nadużycie.
Narzędzia: Każdy klient OBEX, np.:- Obexftp
- Obex-commander
Udane przeprowadzenie opisywanego ataku daje hakerowi dostęp do plików i prywatnych danych użytkowników. Ponieważ jednak należy z góry znać dokładną lokalizację tych plików i można je tylko odczytać bez możliwości zmiany czy usuwania nie jest to więc zbyt niebezpieczny atak.
Zabezpieczenie się przed tego typu atakiem sprowadza się do aktualizacji oprogramowania sterującego telefonem komórkowym (jeśli aktualizacja została opublikowana) lub wymiany telefonu na nowszy model, odporny na atak. Rozwiązaniem połowicznym może być ustawienie telefonu w tryb niewidoczności lub włączanie Bluetooth tylko kiedy to jest absolutnie konieczne.
5. BlueSmack
BlueSmack jest najprostszą wersją ataku DoS dla sieci Bluetooth. Pierwowzorem tego ataku jest doskonale znany z systemu Windows „Ping of Death”. Atak ten powodował zawieszenie się systemu Windows 95 poprzez wysłanie zbyt dużego pakietu ping. Pakiet taki przepełniał bufor systemu i w konsekwencji zawieszał cały system. BlueSmack jest dokładnie takim samym atakiem skierowanym w warstwę L2CAP standardu Bluetooth.
Narzędzia: l2ping
Opisany atak ma znaczenie historyczne. Według odkrywców luki szczególnie podatnymi urządzeniami na ten atak były palmtopy Compaq iPaq.
5. BlueSmack
BlueSmack jest najprostszą wersją ataku DoS dla sieci Bluetooth. Pierwowzorem tego ataku jest doskonale znany z systemu Windows „Ping of Death”. Atak ten powodował zawieszenie się systemu Windows 95 poprzez wysłanie zbyt dużego pakietu ping. Pakiet taki przepełniał bufor systemu i w konsekwencji zawieszał cały system. BlueSmack jest dokładnie takim samym atakiem skierowanym w warstwę L2CAP standardu Bluetooth.
Narzędzia: l2ping
Opisany atak ma znaczenie historyczne. Według odkrywców luki szczególnie podatnymi urządzeniami na ten atak były palmtopy Compaq iPaq.
Udane przeprowadzenie ataku BlueSmack powoduje zawieszenie atakowanego urządzenia i umożliwia dzięki temu skuteczne uniemożliwienie korzystania z urządzenia.
Zabezpieczenie się przed tego typu atakiem sprowadza się do aktualizacji oprogramowania sterującego urządzeniem (jeśli aktualizacja została opublikowana) lub wymiany urządzenia na nowszy model, odporny na atak. Rozwiązaniem połowicznym może być przejście w tryb ukryty lub włączanie Bluetooth tylko kiedy to jest absolutnie konieczne.
6. BlueBump
Utrzymanie otwartego polaczenia bez autoryzacji
Ten rodzaj ataku wykorzystuje socjotechnikę i polega na nawiązaniu z urządzeniem ofiary zaufanego połączenia. Osiąga sie to wysyłając cyfrową wizytówkę w celu nakłonienia odbiorcy do przeprowadzenia uwierzytelniania. Agresor utrzymuje połączenie w stanie otwartym lecz prosi ofiarę o usuniecie klucza Link Key dla atakującego urządzenia. Ofiara nie wie o tym, że połączenie jest w dalszym ciągu aktywne. Następnie agresor wysyła żądanie ponownego wygenerowania klucza Link Key. W rezultacie urządzenie agresora otrzymuje prawo do nawiązywania połączenia bez potrzeby uwierzytelniania. Agresor ma więc dostęp do urządzenia ofiary, aż do momentu usunięcia przez nią klucza Link Key.
7. BlueDump
Kasowanie istniejącego parowania po udanym spoofingu. Agresor musi znać BD_ADDR zestawu sparowanych urządzeń. Fałszuje adres jednego z nich i łączy sie z innym. Ze względu na to, że agresor nie posiada klucza Link Key, gdy urządzenie ofiary zażąda uwierzytelniania, urządzenie agresora odpowie komunikatem HCI_Link_Key_Request_Negative_Reply. W pewnych okolicznościach może to spowodować usunięcie klucza Link Key na urządzeniu ofiary i w efekcie - przejście w tryb parowania.
8. Car Whisperer
Umożliwia korzystanie z bezprzewodowego samochodowego zestawu głośnomówiącego ofiary (odbieranie danych dźwiękowych z mikrofonów, wysyłanie dźwięku do głośników). Bazuje na standardowych kodach PIN (0000) i zestawach które nie są sparowane. Eksperymenty prowadzone na niemieckich autostradach pokazały, że w praktyce wykonalna i możliwa jest komunikacja Bluetooth pomiędzy dwoma samochodami. W testowanym scenariuszu zespół jadący kilkaset metrów za ofiara był w stanie bez problemu podsłuchiwać rozmowy w śledzonym samochodzie za pomocą zainstalowanego fabrycznie zestawu głośnomówiącego Bluetooth.
W przypadku urządzeń posiadających fabryczny, niezmienialny PIN podatność jest wysoka.
Narzędzia: Bluediving
9. Podsłuchiwanie sieci
Podglądanie lokalnych pakietów transportowanych pomiędzy adapterem Bluetooth i komputerem jest relatywnie proste i sprowadza się do podglądania komunikatów protokołu HCI. W systemie Linux można wykorzystać do tego narzędzie hcidump będące częścią pakietu BlueZ. Program ten do działania potrzebuje praw administratora i potrafi dodatkowo dekodować pakiety wszystkich wyższych warstw będących częścią specyfikacji Bluetooth. Ponieważ dane wysyłane do innych urządzeń kodowane i dekodowane są już w adapterze, więc wykorzystując hcidump widać tylko nie zaszyfrowane dane. Program ten umożliwia przychwytywanie kodów PIN i innych poufnych informacji. Metoda ta pozwala oczywiście tylko podglądać dane wymieniane pomiędzy lokalnym komputerem, a innymi urządzeniami w sieci. Nie umożliwia jednak podsłuchu danych wymienianych przez inne urządzenia między sobą.
Narzędzie: HCITool (Linux)
Podatność: każde urządzenie
Udane przeprowadzenie opisywanych ataków podsłuchu umożliwia dostęp do wszystkich informacji przesyłanych z użyciem sieci Bluetooth włącznie z przesyłanymi plikami jak i możliwość podsłuchu rozmów. Umożliwia również odkrywanie urządzeń ukrytych. Jest to więc bardzo niebezpieczny typ ataków.
10. Bluejacking
Bluejacking nie jest formą ataku, ale sposobem komunikowania się użytkowników telefonów przy pomocy sieci Bluetooth poprzez wysyłanie sobie wiadomości. Chodzi mianowicie o takie przekazanie drugiej osobie wiadomości, aby mogła ją odebrać na urządzeniu nie mającym żadnego przeznaczonego do tego celu oprogramowania. Początkowo wiadomości przekazywano przez pole z nazwą urządzenia Bluetooth. Potem zaczęto używać elektronicznych wizytówek (ang. vCard) przygotowanych w taki sposób, że w nagłówku znajduje się wiadomość. Kolejną zmianą tej metody związaną z rozwojem telefonów komórkowych jest możliwość wysyłania obrazów i plików muzycznych. Forma takiej aktywności uprawiana jest przez użytkowników telefonów komórkowych, którzy przeszukują dostępne w pobliżu inne widoczne urządzenia Bluetooth. Celem jest zazwyczaj zabawa lub żart.
Narzędzia:
Ten rodzaj ataku wykorzystuje socjotechnikę i polega na nawiązaniu z urządzeniem ofiary zaufanego połączenia. Osiąga sie to wysyłając cyfrową wizytówkę w celu nakłonienia odbiorcy do przeprowadzenia uwierzytelniania. Agresor utrzymuje połączenie w stanie otwartym lecz prosi ofiarę o usuniecie klucza Link Key dla atakującego urządzenia. Ofiara nie wie o tym, że połączenie jest w dalszym ciągu aktywne. Następnie agresor wysyła żądanie ponownego wygenerowania klucza Link Key. W rezultacie urządzenie agresora otrzymuje prawo do nawiązywania połączenia bez potrzeby uwierzytelniania. Agresor ma więc dostęp do urządzenia ofiary, aż do momentu usunięcia przez nią klucza Link Key.
7. BlueDump
Kasowanie istniejącego parowania po udanym spoofingu. Agresor musi znać BD_ADDR zestawu sparowanych urządzeń. Fałszuje adres jednego z nich i łączy sie z innym. Ze względu na to, że agresor nie posiada klucza Link Key, gdy urządzenie ofiary zażąda uwierzytelniania, urządzenie agresora odpowie komunikatem HCI_Link_Key_Request_Negative_Reply. W pewnych okolicznościach może to spowodować usunięcie klucza Link Key na urządzeniu ofiary i w efekcie - przejście w tryb parowania.
8. Car Whisperer
Umożliwia korzystanie z bezprzewodowego samochodowego zestawu głośnomówiącego ofiary (odbieranie danych dźwiękowych z mikrofonów, wysyłanie dźwięku do głośników). Bazuje na standardowych kodach PIN (0000) i zestawach które nie są sparowane. Eksperymenty prowadzone na niemieckich autostradach pokazały, że w praktyce wykonalna i możliwa jest komunikacja Bluetooth pomiędzy dwoma samochodami. W testowanym scenariuszu zespół jadący kilkaset metrów za ofiara był w stanie bez problemu podsłuchiwać rozmowy w śledzonym samochodzie za pomocą zainstalowanego fabrycznie zestawu głośnomówiącego Bluetooth.
W przypadku urządzeń posiadających fabryczny, niezmienialny PIN podatność jest wysoka.
Narzędzia: Bluediving
9. Podsłuchiwanie sieci
Podglądanie lokalnych pakietów transportowanych pomiędzy adapterem Bluetooth i komputerem jest relatywnie proste i sprowadza się do podglądania komunikatów protokołu HCI. W systemie Linux można wykorzystać do tego narzędzie hcidump będące częścią pakietu BlueZ. Program ten do działania potrzebuje praw administratora i potrafi dodatkowo dekodować pakiety wszystkich wyższych warstw będących częścią specyfikacji Bluetooth. Ponieważ dane wysyłane do innych urządzeń kodowane i dekodowane są już w adapterze, więc wykorzystując hcidump widać tylko nie zaszyfrowane dane. Program ten umożliwia przychwytywanie kodów PIN i innych poufnych informacji. Metoda ta pozwala oczywiście tylko podglądać dane wymieniane pomiędzy lokalnym komputerem, a innymi urządzeniami w sieci. Nie umożliwia jednak podsłuchu danych wymienianych przez inne urządzenia między sobą.
Narzędzie: HCITool (Linux)
Podatność: każde urządzenie
Udane przeprowadzenie opisywanych ataków podsłuchu umożliwia dostęp do wszystkich informacji przesyłanych z użyciem sieci Bluetooth włącznie z przesyłanymi plikami jak i możliwość podsłuchu rozmów. Umożliwia również odkrywanie urządzeń ukrytych. Jest to więc bardzo niebezpieczny typ ataków.
10. Bluejacking
Bluejacking nie jest formą ataku, ale sposobem komunikowania się użytkowników telefonów przy pomocy sieci Bluetooth poprzez wysyłanie sobie wiadomości. Chodzi mianowicie o takie przekazanie drugiej osobie wiadomości, aby mogła ją odebrać na urządzeniu nie mającym żadnego przeznaczonego do tego celu oprogramowania. Początkowo wiadomości przekazywano przez pole z nazwą urządzenia Bluetooth. Potem zaczęto używać elektronicznych wizytówek (ang. vCard) przygotowanych w taki sposób, że w nagłówku znajduje się wiadomość. Kolejną zmianą tej metody związaną z rozwojem telefonów komórkowych jest możliwość wysyłania obrazów i plików muzycznych. Forma takiej aktywności uprawiana jest przez użytkowników telefonów komórkowych, którzy przeszukują dostępne w pobliżu inne widoczne urządzenia Bluetooth. Celem jest zazwyczaj zabawa lub żart.
Narzędzia:
- Freejack
- SMAN
- Mobiluck
- Easyjack
Należy pamiętać, że stosowane narzędzie zależy od stosowanego telefonu komórkowego.
Na opisywany typ ataków podatni są ludzie nie urządzenia. Jest to więc zbiór nadużyć nie zależnych od konkretnej specyfikacji czy standardu. Ponieważ zwykli użytkownicy zazwyczaj nie przykładają większej uwagi do zagadnień bezpieczeństwa więc statystyczna podatność na opisywane techniki jest bardzo duża.Metody przeciwdziałania: Zabezpieczenie się przed tego typu atakiem jest relatywnie proste dla użytkownika znającego zagadnienia bezpieczeństwa sieciowego i sprowadza się do obrony przed inteligentną manipulacją i wyrażaniem zgody na parowanie urządzeń tylko zaufanym użytkownikom. Oczywiście pozostawanie w trybie ukrytym utrudnia większość opisanych powyżej nadużyć.
11. Ataki wykorzystujące inżynierię społeczną
- Proste i krótkie kody PIN
- Podszywanie się pod serwisy
- Długie i nietypowe nazwy urządzeń
12. Uzyskiwanie dostępu do warstwy RF
- Gotowe analizatory (Rohde &Schwarzt)
- GNU Radio
- Pasywny sniffing sparowania
- Ataki statystyczne na E0
Ataki w praktyce: Windows Mobile
Omówienie dostępnych aplikacji.
Zgromadzone pogramy zostały podzielone na 2 kategorie: pierwsza z nich to narzędzia pozwalające na wykrywanie urządzeń posiadających nadajnik Bluetooth oraz pobieranie informacji o nich. Druga grupa to programy służące do przeprowadzania konkretnych ataków Bluetooth.
BTCrawler – jest skanerem Bluetooth dedykowanym dla urządzeń działających na platformie Windows Mobile. Aplikacja skanuje wszystkie urządzenia wyposażone w nadajnik Bluetooth, które znajdują się w jej zasięgu. Co więcej: za jej pomocą można wykonywać zarówno ataki Bluejacking, jak i Bluesnarfing. Jedno z najbardziej wydajnych narzędzi tego typu, dostępnych obecnie na wspomnianą platformę. Przykładowy atak krok po kroku:
BTCrawler – jest skanerem Bluetooth dedykowanym dla urządzeń działających na platformie Windows Mobile. Aplikacja skanuje wszystkie urządzenia wyposażone w nadajnik Bluetooth, które znajdują się w jej zasięgu. Co więcej: za jej pomocą można wykonywać zarówno ataki Bluejacking, jak i Bluesnarfing. Jedno z najbardziej wydajnych narzędzi tego typu, dostępnych obecnie na wspomnianą platformę. Przykładowy atak krok po kroku:
Bluezard – jak dotąd najlepsza aplikacja , jaka powstała na Windows Mobile w interesującej nas kategorii. Pozwala na:
a) Zdalne przeglądanie systemu plików, ściąganie, wysyłanie i kasowanie plików ze zdalnego urządzenia oraz tworzenie folderów
b) Kontrolowanie urządzenia poprzez komendy AT. Posiada wbudowany terminal, przeznaczony do tego celu.
c) Wysyłanie SMSów oraz pobieranie ich z atakowanego urządzenia
d) Pobieranie książki adresowej
e) Wysyłanie plików do zdalnego urządzenia kilka razy szybciej, niż zwykły manager plików
f) Odbierać pliki wysłane przez Bluetooth. Jest możliwość zapisywania plików bezpośrednio na karcie pamięci
g) Zapisywać pobieranie pliki w każde lokalizacji
h) Ustawianie filtrów pozwalających na automatyczne sortowanie plików
i) Pobieranie informacji na temat zdalnego urządzenia: producent Bluetooth, dostępne usługi, adres Bluetooth
j) Wykonanie ataku Bluesnarfing
k) Wykonanie ataku Hellomoto
l) Wykonanie ataku Bluejacking
Aby wykonać niektóre z opisanych funkcji, należy ustanowić połączenie, „ofiara” musi także potwierdzić połączenie z atakującym telefonem. Próba zaatakowania telefonu na platformie Windows Mobile nie przyniosła rezultatu – pomimo ustanowienia połączenia i sparowania telefonów, urządzenie odrzucało wszystkie próby ingerencji. Pozwoliło jedynie na wyświetlenie zakładki ze szczegółowymi informacjami. Jest to zabezpieczenie, stosowane w nowszych telefonach w celu obrony przed tego typu atakami.
b) Kontrolowanie urządzenia poprzez komendy AT. Posiada wbudowany terminal, przeznaczony do tego celu.
c) Wysyłanie SMSów oraz pobieranie ich z atakowanego urządzenia
d) Pobieranie książki adresowej
e) Wysyłanie plików do zdalnego urządzenia kilka razy szybciej, niż zwykły manager plików
f) Odbierać pliki wysłane przez Bluetooth. Jest możliwość zapisywania plików bezpośrednio na karcie pamięci
g) Zapisywać pobieranie pliki w każde lokalizacji
h) Ustawianie filtrów pozwalających na automatyczne sortowanie plików
i) Pobieranie informacji na temat zdalnego urządzenia: producent Bluetooth, dostępne usługi, adres Bluetooth
j) Wykonanie ataku Bluesnarfing
k) Wykonanie ataku Hellomoto
l) Wykonanie ataku Bluejacking
Aby wykonać niektóre z opisanych funkcji, należy ustanowić połączenie, „ofiara” musi także potwierdzić połączenie z atakującym telefonem. Próba zaatakowania telefonu na platformie Windows Mobile nie przyniosła rezultatu – pomimo ustanowienia połączenia i sparowania telefonów, urządzenie odrzucało wszystkie próby ingerencji. Pozwoliło jedynie na wyświetlenie zakładki ze szczegółowymi informacjami. Jest to zabezpieczenie, stosowane w nowszych telefonach w celu obrony przed tego typu atakami.
BTSpammer - program pozwala na szybkie wysyłanie wizytówek z urządzenia. Aplikacja jest darmowa.
O ile funkcja sama w sobie jest banalna, o tyle ciekawy jest sposób w jaki program rozsyła vCardy. Jest możliwość rozsyłania spamu wszystkich urządzeń, wykluczenia tych sparowanych, zmiana nazwy urządzenia, wysyłania wiadomości w formacie txt, vCard lub JPG. Ponadto spam może być rozsyłany w sposób ciągły lub w określonych odstępach czasowych. Program nie współpracuje z telefonami Motorola.
Podsumowanie
Wymienione aplikacje służące do uzyskiwania nieautoryzowanego (lub też nieświadomie autoryzowanego) dostępu do urządzenia to jedynie ułamek góry lodowej, jaką jest {nie}bezpieczeństwo Bluetooth. Są przecież jeszcze aplikacje na telefony z Symbian OS, aplikacje Java, aplikacje działające na platformie Linux… Poprzez sprawne zastosowanie metod socjotechniki oraz dedykowane oprogramowanie hacker jest w stanie uzyskać dostęp do urządzenia ofiary i możliwość wglądu w jego zasoby oraz konfigurację.
Ataki w praktyce: Aplikacje Java
W poprzedniej części opisano klika aplikacji pod Windows Mobile, które pozwalają na podglądanie i włamywanie do urządzeń posiadających moduł Bluetooth. Jak można było zauważyć – nie jest ich dużo. Dlaczego? Odpowiedź jest prosta: urządzenia z Windows Mobile zazwyczaj nie posiadają obsługi Bluetooth przez Javę, a co za tym idzie: przy instalacji specjalnie dedykowanych aplikacji pisanych pod Javę otrzymujemy błąd kompatybilności. Biorąc pod uwagę powyższe utrudnienia, aplikacje napisane na platformie Java postanowiono przetestować na telefonie Sony Ericsson k800i, na którym powyższe problemy nie występowały. Programów jest dużo – jedne oferują tylko pojedynczą funkcjonalność, inne –to cały pakiet narzędzi. W zestawieniu najciekawszych programów znalazły się tylko te najlepiej dopracowane i oferujące dużą funkcjonalność.
Omówienie aplikacji
SpyScan – Bluetoothowy skaner. Ciekawa opcją oferowaną przez tą niewielką aplikację jest możliwość skanowania w kilku trybach: single Scan, Autoscan (skanowanie trwa do chwili kiedy je zatrzymamy), AlertScan (skanowanie jedynie urządzeń zapisanych w lokalnej DB i posiadających przypisany Alert). Ciekawa aplikacja, jeśli chcemy znaleźć przyjaciół w szkole, na ulicy lub innych miejscach.
SpyScan – Bluetoothowy skaner. Ciekawa opcją oferowaną przez tą niewielką aplikację jest możliwość skanowania w kilku trybach: single Scan, Autoscan (skanowanie trwa do chwili kiedy je zatrzymamy), AlertScan (skanowanie jedynie urządzeń zapisanych w lokalnej DB i posiadających przypisany Alert). Ciekawa aplikacja, jeśli chcemy znaleźć przyjaciół w szkole, na ulicy lub innych miejscach.
Bluetooth (JABWT) Browser MIDlet - popularny BTBrowser – jest to J2ME MIDP MIDlet, pozwalający przeglądać techniczne specyfikacje urządzeń znajdujących się w zasięgu. Bardzo dobre narzędzie do sniffingu.
Uwaga techniczna: MIDlet pracuje na telefonach wspierających JSR-82 (JABWT lub Java Bluetooth). Przykłady to Nokia 6600 i SE P900.
Uwaga techniczna: MIDlet pracuje na telefonach wspierających JSR-82 (JABWT lub Java Bluetooth). Przykłady to Nokia 6600 i SE P900.
BTExplorer – w aplikacja działająca podobnie do BTBrowser. Przyjazna użytkownikowi, pozwala na łączenie się z urządzeniem Bluetooth. Wyszukuje wszystkie urządzenia w pobliżu i pozwala na podejrzenie konfiguracji danego urządzenia. Wykrywa usługi działające na zdalnym urządzeniu, OBEX file transfer, OBEX object push, sieci dial-up, FAX, dostęp do sieci LAN i komunikacje poprzez porty szeregowe. Ławo się przekonać, że przy użyciu tej aplikacji można uzyskać sporo informacji na temat atakowanego urządzenia.
BT Info – program znany także pod nazwą BT ftp. Jest to jedna z najpotężniejszych aplikacji do bluehackingu, stworzonych na platformie Java. Jej możliwości są spore i dobrze wykorzystane mogą stać się doskonałym narzędziem adeptów ciemnej strony mocy.
Możliwości aplikacji:
Możliwości aplikacji:
- Wydobywanie informacji o telefonie (stan baterii, numer, IMEI, wersja oprogramowania…)
- Włączenie dzwonków
- Wykonywanie połączeń telefonicznych z atakowanego urządzenia
- Zmiana języka
- Sterowanie wszystkimi klawiszami telefonu
- Przeglądanie książki telefonicznej
- Czytanie SMSów
- Wyłączenie telefonu, Master Reset
- Sterowanie Media Player'em,
- Itd.
The Bluetooth Hoover (Blooover)- narzędzie do tworzenia audytów bezpieczeństwa dla telefonów komórkowych. Symuluje różnego rodzaju ataki, a pod koniec testów tworzy raport.
Ataki w praktyce: Aplikacje linuksowe
Poprzednie dwie części dokumentu opisywały najbardziej funkcjonalne narzędzia służące do bluejackingu i bluehackingu, działające na platformie Windows Mobile i Java. Niewątpliwie ich zaletą jest łatwość instalacji i prostota użycia, stąd każdy początkujący adept sztuki podsłuchu urządzeń Bluetooth jest w stanie opanować ich obsługę. Nie można jednak zapominać o tym, iż aplikacje te mają godnych konkurentów w osobie aplikacji stworzonych na platformę linuksową. Linux, w założenia będący od samego początku systemem ukierunkowanym na sieciowość dostarcza nam w pełni funkcjonalnych narzędzi do przeprowadzania ataków i audytów. Dystrybucją najlepiej nadającą się do tego celu jest Backtrack, ponieważ posiada on większość potrzebnych narzędzi i niepotrzebna jest ich dodatkowa instalacja i konfiguracja.
Omówienie aplikacji
BTcrack – narzędzie do łamania Bluetooth Pass phrase (PIN) metodą Bruteforce. Jego celem jest rekonstrukcja Passkey’a oraz Link Key, które zostają przechwycone podczas parowania urządzeń. (Parowanie jest procesem, w czasie którego obydwa urządzenia wymieniają się kodem PIN).
Przykładowy scenariusz ataku:
a) Uzyskanie przez atakującego Master BD_ADDR i Slave BD_ADDR na 2 sposoby: pasywny (poprzez użycie sniffera) lub aktywny (za pomocą redfang’a)
b) Zmiana przez atakującego własnego BD_ADDR na ten który posiada urządzenie Slave
c) Atakujący prosi urządzenie Master o ponowne sparowanie pod pretekstem braku klucza – wtedy Master często usuwa poprzednie parowanie i żąda nowego klucza dla urządzenia Slave
d) Atakujący przechwytuje klucz przesyłany pomiędzy dwoma urządzeniami, podczas kiedy użytkownicy ponownie próbują nawiązać połączenie.
e) Atakujący ma teraz możliwość wyeksportowania danych do formatu CSV i zaimportowania do BTCracka
f) Za pomocą BTCracka atakujący uzyskuje dostęp do Master i Slave poprzez użycie scrackowanego Linkkey’a…
g) …i ma możliwość deszyfrowania komunikacji pomiędzy 2 urządzeniami
Warto zauważyć, że wspomniane narzędzie jest również dostępne na platformę windowsową.
Użycie BTCracka na platformie Windows obrazuje film dostępny pod tym adresem. Aby przechwycić sparowane dane na platformie Windows, konieczne jest posiadanie Professional Bluetooth Analyzer: FTE (BPA 100, BPA 105 itp.), Merlin itp.
Przykładowy scenariusz ataku:
a) Uzyskanie przez atakującego Master BD_ADDR i Slave BD_ADDR na 2 sposoby: pasywny (poprzez użycie sniffera) lub aktywny (za pomocą redfang’a)
b) Zmiana przez atakującego własnego BD_ADDR na ten który posiada urządzenie Slave
c) Atakujący prosi urządzenie Master o ponowne sparowanie pod pretekstem braku klucza – wtedy Master często usuwa poprzednie parowanie i żąda nowego klucza dla urządzenia Slave
d) Atakujący przechwytuje klucz przesyłany pomiędzy dwoma urządzeniami, podczas kiedy użytkownicy ponownie próbują nawiązać połączenie.
e) Atakujący ma teraz możliwość wyeksportowania danych do formatu CSV i zaimportowania do BTCracka
f) Za pomocą BTCracka atakujący uzyskuje dostęp do Master i Slave poprzez użycie scrackowanego Linkkey’a…
g) …i ma możliwość deszyfrowania komunikacji pomiędzy 2 urządzeniami
Warto zauważyć, że wspomniane narzędzie jest również dostępne na platformę windowsową.
Użycie BTCracka na platformie Windows obrazuje film dostępny pod tym adresem. Aby przechwycić sparowane dane na platformie Windows, konieczne jest posiadanie Professional Bluetooth Analyzer: FTE (BPA 100, BPA 105 itp.), Merlin itp.
Bluesmash - jest to aplikacja napisana w Pythonie, służąca do podsłuchiwania urządzeń Bluetooth. Wersja 1.* jest dedykowana dla telefonów korzystających z Bluetooth i jest wbudowana w Backtracka od wersji 2.0. Na skanowanie podatne są wszystkie urządzenia Bluetooth, bez względu na zabezpieczenia. Wynika to z faktu, iż skanowanie samo w sobie nie jest atakiem, lecz służy do analizy ruchu w sieci Bluetooth. Film prezentujący prezentację podsłuchu można odnaleźć pod tym adresem.
Bluebugger - program służy do wykonywania ataku Bluebag. Aplikacja jest implementacją techniki Bluebag, która została odkryta przez Martina Herfurta. Atak jest możliwy do przeprowadzenia na telefonach Nokia 6310(i) oraz Sony Ericsson T68i (częściowo). Odkrycie błędu w implementacji bezpieczeństwa Bluetooth w tych telefonach pozwala na nieautoryzowany dostęp do książki telefonicznej, listy kontaktów, wysyłanie i odczytywanie wiadomości SMS z atakowanego telefonu, przekazywanie połączenia, połączenie z Internetem itd.
Na opisywany atak podatne są telefony szczególnie firm Nokia i Sony Ericsson produkowane do 2005 roku. Odkrywcy luki podają jako przykład następujące modele [12]:
- Nokia (6310, 6310i, 8910 8910i,...)
- Sony Ericsson T86i, T610, ...
Blueprint - aplikacja dedykowana do blueprintingu, czyli zdalnego pobierania informacji na temat urządzeń korzystających z Bluetooth. Blueprinting jest używany do generowania statystyk o producentach oraz modelu urządzenia oraz sprawdzenia, czy urządzenie znajduje się w zasięgu. Adres urządzenia składa się z 6 bajtów i zazwyczaj ma formę podobną do adresów MAC: MM:MM:MM:XX:XX:XX. Pierwsze trzy bajty adresu, oznaczone jako M, zawierają informacje o producencie chipsetu. Niestety w przypadku pozostałych trzech bajtów sytuacja nie jest już taka prosta, nie można więc w 100% określić modelu urządzenia.
Wszystkie urządzenia z włączonym Bluetooth oferują szereg różnych usług. Listę takich usług można uzyskać poprzez SDP (Service Discovery Protocol). Znając rodzaje usług można ustalić model urządzenia.
Bluesnarfer - narzędzie do przeprowadzania ataku typ Bluesnafr. Jest to prawdopodobnie najpopularniejszy atak Bluetooth. Atakujący wykorzystuje OBEX Push Profile (OPP), zaprojektowany w celu wymiany wizytówek i innych obiektów. W większości przypadków usługa ta nie wymaga uwierzytelniania. Atak BlueSnarf polega na wysłaniu żądania OBEX GET dla znanych powszechnych plików, takich jak 'telecom/pb.vcf' (książka telefoniczna) lub 'telecom/cal.vcs' (kalendarz).
Drugim atakiem tego typu jest Bluesnarf++, przypomina atak typu BlueSnarf, od którego różni się głównie metodą zdobywania dostępu do systemu plików urządzenia ofiary. BlueSnarf++ pozwala agresorowi na uzyskanie pełnych uprawnień odczytu i zapisu poprzez usługę OBEX Push Profile. Jeżeli na urządzeniu uruchomiony jest serwer OBEX FTP, możliwe jest nawiązanie połączenia poprzez OBEX Push bez konieczności parowania urządzeń. Agresor może przeglądać wszystkie obiekty w systemie plików (za pomocą polecenia ls), a nawet je usuwać (polecenie rm). Możliwe jest również przeprowadzenie operacji na każdej zainstalowanej w urządzeniu pamięci, łącznie z kartami rozszerzającymi pamięci, takimi jak Memory Stick, SD czy Compact Flash.
Podatność na atak: większość telefonów produkowanych do 2005 roku, a w szczególności:
- Ericsson R520m, T39m, T68
- Sony Ericsson T68i, T610, Z1010
- Nokia 6310, 6310i, 8910, 8910i
Btscanner (wersja dla Windowsa, wersja dla Linuksa) - aplikacja służąca do skanowania urządzeń Bluetooth. Pobiera informacje na temat danego urządzenia i nie wymagania parowania. Szczegółowe informacje uzyskiwane za pomocą aplikacji dotyczą protokołów HCI oraz SDP, zarządzają i otwierają połączenie do monitoringu RSSI. BTscanner jest oparty na stosie BlueZ Bluetooth, który jest zaimplementowany w najnowszym jądrze Linuksa.
Carwhisperer - aplikacja typu Car Whisperer – umożliwia korzystanie z bezprzewodowego samochodowego zestawu głośnomówiącego ofiary (odbieranie danych dźwiękowych z mikrofonów, wysyłanie dźwięku do głośników). Bazuje na standardowych kodach PIN („0000”) i zestawach, które nie są „sparowane”. Ponieważ wielu producentów używa w słuchawkach Bluetooth standardowego kodu PIN do uwierzytelniania urządzeń wymagających połączenia, trudno jest zabezpieczyć się przez atakiem. W zasadzie jedyną metodą jest wyłączanie słuchawek Bluetooth w czasie ich niewykorzystywania oraz (jeśli jest taka możliwość) używania trudnych haseł PIN.
Frontline - narzędzie służące do przechwytywania ruchu w sieci Bluetooth oraz łamania link key’a. Przykładowy atak można odnaleźć pod tym adresem.
HCIDump - aplikacja służy do odczytywania surowego strumienia danych przychodzących i wychodzących z urządzeń Bluetooth. Dane można zapisać do pliku do późniejszej analizy.
Minicom - aplikacja jest tekstowym emulatorem terminala – bardzo użytecznym w wielu sytuacjach. Linuksowy odpowiednik Hyperterminala.
ObexFTP - aplikacja umożliwia przechowywanie i pobieranie dokumentów z pamięci telefonu. Pozwala na uzyskanie dostępu do książki telefonicznej, logo, dzwonków, mp3, obrazków i ogólnie plików przechowywanych obecnie w pamięci urządzenia.
Redfang - aplikacja służy do lokalizowania ukrytych urządzeń Bluetooth poprzez brute-forcing ostatnich 6 bajtów adresu Bluetooth urządzenia, a następnie tworzenia read_remote_name().
Ussp-Push – aplikacja służąca do wysyłania obiektów OBEX (OBEX object pusher) dedykowana na platformę linuksową i używającą stosu BlueZ BlueTooth. Oryginalna implementacja ussp-push wymagała przed użyciem połączenia z kanałami RFCOMM , co czyniło ją dosyć niewygodną w użyciu. Nowa wersja posiada rozpoznawanie nazw BlueTooth, usług SDP
Minicom - aplikacja jest tekstowym emulatorem terminala – bardzo użytecznym w wielu sytuacjach. Linuksowy odpowiednik Hyperterminala.
ObexFTP - aplikacja umożliwia przechowywanie i pobieranie dokumentów z pamięci telefonu. Pozwala na uzyskanie dostępu do książki telefonicznej, logo, dzwonków, mp3, obrazków i ogólnie plików przechowywanych obecnie w pamięci urządzenia.
Redfang - aplikacja służy do lokalizowania ukrytych urządzeń Bluetooth poprzez brute-forcing ostatnich 6 bajtów adresu Bluetooth urządzenia, a następnie tworzenia read_remote_name().
Ussp-Push – aplikacja służąca do wysyłania obiektów OBEX (OBEX object pusher) dedykowana na platformę linuksową i używającą stosu BlueZ BlueTooth. Oryginalna implementacja ussp-push wymagała przed użyciem połączenia z kanałami RFCOMM , co czyniło ją dosyć niewygodną w użyciu. Nowa wersja posiada rozpoznawanie nazw BlueTooth, usług SDP
Atshell - aplikacja służąca do wykonywana komend AT.
Bdaddr - aplikacja służąca do zmiany adresu urządzenia BlueTooth.
BSS - (Bluetooth Stack Smasher) jest warstwą L2CAP Fuzzer dla Linuksa, która jest rozprowadzana na zasadzie licencji GPL. BSS wymaga standardowych aplikacji Bluetooth.
Btftp - aplikacja służąca do przesyłania plików z wykorzystaniem połączenia Bluetooth. Używa połączenia klient – server. Tej komendy należy użyć na komputerze- hoście.
Btobex - aplikacja typu object push. Służy do uruchomienia server Obex i pozwala klientom na połączenia ftp do hosta. Btobex jest używana wymiennie z komendą btsrv i jest możliwość używania jej zamiast btobex.
Hcidump –crash - aplikacja pozwalająca na przeglądanie zrzutu HCI i jego analizę.
Hidattack - aplikacja demonstruje poważną słabość Bluetooth na poziomie protokołu. Hidattack pozwala na zdalną, zewnętrzną kontrolą nad bezprzewodową klawiatura Bluetooth, więc możliwe jest dokonywanie wpisów z podłączonego komputera.
Hstest - aplikacja pozwala na nagrywanie i odsłuchiwanie i odtwarzanie poprzez słuchawkowy zestaw Bluetooth.
ATAK: Bluediving, czyli {Przyczajony tygrys}...
Na dobrą sprawę wszystkie opisane powyżej programy można zastąpić jednym, o nazwie Bluediving.
Aplikacja ta, dedykowana dla systemów działających na platformie linuksowej napisana jest w Perlu i pozwala na korzystanie z szeregu dostępnych narzędzi. Jest prawdziwym kombajnem do przeprowadzania testów penetracyjnych. Oprócz rozbudowanych możliwości posiada w swojej implementacji większość znanych ataków Bluetooth, wliczając w to ich najnowsze wersje: Bluebug, BlueSnarf, BlueSnarf++, BlueSmack, narzędzia do spoofingu adresu Bluetooth, konsole AT, RFCOMM, zaimplementowane narzędzie do ataku carwhisperer, bss, generator pakietów L2CAP, skaner portów RFCOMM, oraz możliwość wykonywania skanowania za pomocą więcej niż 1 urządzenia HCI (greenplague mode).
Język: Perl
Wspierane systemy operacyjne : GNU Linux 2.4 / 2.6 i FreeBSD
Wymagania: BlueZ, Sox, obexftp, Gnu Readline library, XML:Simple
 |
| Główne menu programu prezentuje cała gamę możliwości dotyczących skanowania urządzeń. |
 |
| Oprócz skanowania program oferuje wykonanie całej gamy rozmaitych akcji. Każdą akcję wykonuje się poprzez wybranie z listy przyporządkowanego jej numeru. |
 |
| Aplikacja oferuje możliwość wykonania dużej liczby ataków |
 |
| Jeżeli potrzebujemy szczegółowych informacji na temat wykrytego urządzenia, wystarczy wejść do menu INFO. Dostępne tutaj narzędzia zadowolą nawet najbardziej wybrednego hackera |
 |
| Zwieńczeniem możliwości aplikacji Bluediving jest lista dostępnych narzędzi, które można użyć w celu uskutecznienia ataku |
Na podstawie programu przedstawiony zostanie przykładowy atak BlueBug z użyciem komend AT:
ATAK OBEXFTP, czyli {Ukryty smok}...
Pora na prezentację praktycznego ataku z wykorzystaniem aplikacji Obexftp, czyli programu umożliwiającego m.in. pobieranie dokumentów z pamięci telefonu:
73%użytkowników urządzeń mobilnych takich, jak notebooki, telefony komórkowe czy PDA nie zna zasad, jakimi powinni się kierować, aby ograniczyć ryzyko związane z atakiem poprzez Bluetooth.
Aby to potwierdzić, autor spędził łącznie 6 h w centrach handlowych zlokalizowanych w Dąbrowie Górniczej i Sosnowcu, dokonując prób penetracji urządzeń z włączonym Bluetooth. Stosując metodę Bluejackingu, a następnie odpowiednie metody socjotechniki, udało się uzyskać nieautoryzowany dostęp do większości atakowanych urządzeń. Część właścicieli urządzeń okazała się czujna i odrzuciła próbę autoryzacji, część nie usłyszała przychodzącego połączenia Bluetooth, ale pozostała część zaakceptowała połączenie przychodzące i zezwoliła na dostęp do swoich urządzeń...
Wnioski
Potwierdziło się stare porzekadło, iż: „Nasza sieć jest tak bezpieczna, jak jej najsłabsze ogniwo”. W tym przypadku najsłabszym ogniwem jest człowiek.
Kluczem do zabezpieczenia sieci Bluetooth jest stosowanie się do poniższych zaleceń:
- Włączanie Bluetooth w urządzeniu tylko wtedy, kiedy jest to konieczne – np. na czas wysyłania danych czy wymiany wizytówek. W przypadku telefonów pamiętanie o tym zmniejsza również pobór energii z baterii. Jest to najważniejsze i jedyne skuteczne zabezpieczenie.
- Zwracanie uwagi na aktywność komunikacji interfejsu Bluetooth. Urządzenia w niego wyposażone maja zazwyczaj diodę koloru niebieskiego, która pulsuje w trakcie trwania transmisji danych,
- Sprawdzanie, czy dany telefon komórkowy nie widnieje na liście modeli podatnych na ataki Bluetooth ; w razie dostępności nowej wersji oprogramowania usuwającego luki w działaniu Bluetooth należy zaktualizować firmware telefonu,
- Odrzucanie próby połączeń do Twojego telefonu czy PDA z nieznanych urządzeń,
- Zwracanie uwagi na długość i łatwość odgadnięcia PINu podczas procesu parowania urządzeń,
- Nieinstalowanie w telefonie bądź PDA oprogramowania pochodzącego z nieznanego czy wątpliwego źródła. Być może zawiera ono złośliwy kod, którego zamiarem jest umożliwienie nieautoryzowanego dostępu do urządzeń Bluetooth.
Prawa autorskie
Powyższe opracowanie zostało opublikowane na licencji Creative Commons Uznanie autorstwa-Użycie niekomercyjne 2.5 Polska. Możesz je więc wykorzystać w dowolnym serwisie (wyłącznie niekomercyjnym), jednak wymagamy, aby na początku bądź na końcu publikacji znalazł się następujący zapis:
"Źródło: Tytuł materiału linkujący do oryginalnego wpisu w HCSL (HARD CORE SECURITY LAB) Artykuł powstał w związku z konkursem zorganizowanym przez serwis HARD CORE SECURITY LAB oraz firmę Securitum."
"Źródło: Tytuł materiału linkujący do oryginalnego wpisu w HCSL (HARD CORE SECURITY LAB) Artykuł powstał w związku z konkursem zorganizowanym przez serwis HARD CORE SECURITY LAB oraz firmę Securitum."
Subskrybuj:
Komentarze do posta (Atom)