Чому Bluetooth Технологія Bluetooth, Безпека ПЗ, Security & Hack, статті на
Нові технології стрімко проникають у всі сфери життєдіяльності людини. Ми вже не можемо уявити життя без тих пристроїв, які ще недавно були тільки у фантастичних фільмах.
Поширеність, а також новизна явища (адже справжнього хакера приваблює все нове та незвідане) зробили свою справу. На Bluetooth та пов'язані з ним проблеми в галузі безпеки хакери звернули увагу ще на початку 2000-х років. Роботи дослідницьких груп @stack та shmoo дали поштовх у цьому напрямі.
Для антивірусної промисловості ця тема також стає актуальною. Bluetooth став технологією, за допомогою якої розповсюджуються хробаки. Наприклад, Cabir, Lasco, Comwar – всі вони працюють на операційній системі Symbian і поширюються через Bluetooth. Тому вразливість Bluetooth і можливість передавати з його допомогою файли становлять практичний інтерес.
Але згодом Bluеtooth почав вторгатися і у сферу бездротових локальних мереж. Деякі вважають, що він може створити альтернативу Wi-Fi, хоча, на мій погляд, ці технології доповнюють один одного і мають хоч і суміжні, але все ж таки різні сфери застосування.
Основу Bluetooth складає пікомережа (piconet), що складається з одного головного і до семи підлеглих вузлів, розташованих у радіусі 10 м. Пікосети можуть об'єднуватися в розсіяні мережі (scatternet). Зв'язок можливий лише між головним і підлеглим вузлом; між підлеглими вузлами прямого зв'язку немає.
Bluetooth-пристрої працюють у діапазоні частот, що не ліцензується, від 2.4 до 2.4835 ГГц. Для уникнення конфліктів з іншими пристроями, що працюють у цьому діапазоні, використовується алгоритм стрибкоподібної зміни частоти: 1600 стрибків частоти на секунду.
ЧасРобота на певній частоті називається time-slot і становить 625 мкс. Вузли, об'єднані в пикосеть, перебудовують частоту одночасно за командою від майстер-вузла за псевдовипадковим алгоритмом. Весь частотний діапазон розбитий на 79 каналів завширшки по 1 МГц. Дані передаються кадрами, які можуть складатися з 1, 3 чи 5 тактів.
Існує два типи з'єднань: ACL (asynchronous connectionless - асинхронний без встановлення з'єднань) і SCO (synchronous connection oriented - синхронний із встановленням зв'язку).
Перший тип використовується для передачі даних, які можуть з'явитись у довільний момент часу. У підлеглого вузла може бути лише одне ACL-з'єднання з основним вузлом.
Другий використовується передачі даних у реальному режимі часу, наприклад під час передачі промови. Підлеглий пристрій може мати до трьох SCO з'єднань з головним, з пропускною здатністю 64 КБ.
Специфікація визначає три класи пристроїв
- Клас 1 - 100 mW - 100 m
- Клас 2 - 2.5 mW - 10m
- Клас 3 – 1 mW – 10m
Більшість пристроїв відносяться до 2-го та 3-го класів.
Для більш глибокого вивчення Bluetooth можна звернутися до специфікації Bluetooth.
Механізми захисту
Як зазначено в специфікації, інформація користувача може бути захищена шляхом шифрування переданих даних, в той час як код доступу і заголовок пакета передаються у відкритому вигляді. Під час шифрування використовується потоковий шифр E0.
Таким чином стає очевидною можливість атак на рівні каналу зв'язку.
Bluetooth може працювати в одному із трьох режимів безпеки.
Режим 1 – незахищений (no security).
У цьому режимі не працює ні шифрування, ні аутентифікація, а сам пристрій працює внерозбірливому - широкомовному режимі (promiscuous).
Режим 2 - захищений на рівні програми/служби (application/service based (L2CAP))
У такому режимі після встановлення з'єднання менеджер безпеки (Security Manager) здійснює автентифікацію, що дозволяє обмежити доступ до пристрою.
Режим 3 - захищений лише на рівні каналу зв'язку (link-layer PIN authentification/ MAC address encryption).
Аутентифікація провадиться до встановлення з'єднання; застосовується прозоре шифрування, але навіть у такому режимі пристрій може бути зламано.
Основою, на якій базується безпека Bluetooth, є генерація ключів, яка виготовляється на основі PIN-коду. Довжина PIN-коду може бути від 1 до 16 байт. В даний час більшість пристроїв використовує 4-байтовий код.
Спочатку на основі PIN-коду за алгоритмом E2 генерується 16-байтовий Link Key.
А потім алгоритм E3 на базі Link Key обчислюється Encryption Key.
Перший ключ використовується для автентифікації, а другий – для шифрування.
Аутентифікація відбувається за такою схемою:
Хоча PIN-код у відкритому вигляді не передається, він може бути зламаний виходячи з перехоплених BD_ADDR, AU_RAND та SPES.
Види атак на Bluetooth
В ідеальному випадку атака може бути виконана лише за кілька секунд. Радіус її дії обмежується радіусом дії пристроїв класу 2, тобто, як згадувалося раніше, 10-15 метрами. Щоб збільшити цю відстань, можна використовувати спрямовану антену.
А також багато іншого.
Blueprinting
Кожен Bluetooth-пристрій надає ті чи інші сервіси. Які саме можна дізнатися через SDP (service discovery protocol). На запит про сервіси можна отримати інформаціюпевного формату, з урахуванням відповіді можна обчислити конкретну модель пристрою.
DoS-атака, яка може бути здійснена за допомогою утиліт, що входять до складу Linux Bluez.
Ця атака - подібність відомої атаки на ранні версії Windows 95. На рівні L2CAP існує можливість надіслати запит на відгук іншого Bluetooth-пристрою.
Ідея такого запиту, як і у випадку ICMP ping, полягає у перевірці з'єднання та вимірі часу відгуку на встановлене з'єднання. За допомогою утиліти l2ping, яка поширюється в дистрибутиві BlueZ, користувач може задавати довжину пакетів, що посилаються. Для отримання бажаного ефекту необхідно за допомогою опції -s вказати розмір близько 600 байт.
Дуже схожа на BlueSnarf. Основна відмінність у тому, як атакуючий отримує доступ до файлової системи. BlueSnarf++ дає атакуючому повний доступ на читання та запис через OBEX Push Profile. Якщо у пристрої запущено OBEX FTP сервер, через OBEX Push сервіс можна з'єднатися без встановлення довірчих відносин (pairing).
Атакуючий може переглядати вміст файлової системи (через команду ls) або, наприклад, видаляти файли (команда rm). Можливі дії з будь-якою пам'яттю, у тому числі з картами розширення memory stick або SD.
Є комбінацією атак BlueSnarf і BlueBug.
Атака на BlueDump
Результати досліджень, або Новорічний War-nibbling
Перед Новим роком все людство охоплює святкову лихоманку, у цей період люди проводять у магазинах величезну кількість часу у пошуках подарунків для своїх близьких. Торгові центри стають гарним місцем для проведення досліджень на тему, як багато можна виявити користувачів різних пристроїв з Bluetooth-інтерфейсом у відкритому режимі у публічнихмісцях. А також яка частина цих пристроїв схильна до тих чи інших уразливостей. Тим більше, що цим можна займатися, не відриваючись від процесу пошуку подарунків.
Поклавши в сумку ноутбук із Bluetooth-адаптером, ми з товаришем вирушили по магазинах. Для прогулянки використовувалися:
- Ноутбук Sony VAIO FXA 53.
- SuSE 10.0 OSS.
- PCMCIA Bluetooth-адаптер.
- btscanner 2.1
Відвідавши кілька торгових центрів, ми зібрали інформацію, яка представлена нижче.
Пристрої цих виробників є найпопулярнішими, але в той же час вони зазнають найпоширеніших видів атак на Bluetooth. Btscanner визначив, що з усіх просканованих пристроїв 25% схильні до snarf-атаки.
Крім того, чверть власників пристроїв прийняли файли відправлені з віддаленої відстані.
Це навіює дуже сумні думки. По-перше, більшість користувачів не тільки не приділяють належної уваги безпеці своїх мобільних пристроїв, але навіть жодного разу не замислювалися про це. Тільки після того, як людина стає жертвою чийогось злого жарту чи шахрайства, він починає розуміти всю серйозність проблеми.
Згодом це може виявитися навіть небезпечним, адже вже зараз існують автомобілі з Bluetooth, і неважко уявити, що проникнення в бортовий комп'ютер автомобіля може створити загрозу життю як пасажирів, так і оточуючих.
По-друге, незахищеність мобільних пристроїв веде до моментального поширення шкідливого коду.
Методи захисту
Увімкнення аутентифікації на основі PIN-ключів.
Використання додаткового програмного забезпечення (Blooover, Blooover II, BT Audit).
BT Audit сканує відкриті RFCOMM-канали та L2CAP PSM і видає звіт про їхній стан.