Чому Bluetooth? Технологія Bluetooth

Нові технології стрімко проникають у всі сфери життєдіяльності людини. Ми вже не можемо уявити життя без тих пристроїв, які ще зовсім недавно були тільки у фантастичних фільмах.


Розробка технології була розпочата фірмою Ericsson в 1994 році. У 1998 Ericsson, IBM, Nokia, Intel і Toshiba утворили консорціум SIG, який розробив стандарт Bluetooth. В даний час велика кількість мобільних телефонів і периферійних пристроїв комп’ютерів оснащуються інтерфейсом Bluetooth, деякі виробники побутової техніки також використовують цю технологію.


На ринку вже з’явилися трансивери, що дозволяють використовувати Bluetooth з пристроями, спочатку не обладнаними їм, наприклад, підключати телефон до музичного центру, щоб закачувати на телефон mp3-файли або слухати mp3-файли прямо з телефону. Bluetooth-навушники,-гарнітури, автомобільні набори carkits – це далеко не повний перелік застосування Bluetooth у побуті.


Поширеність, а також новизна явища (адже справжнього хакера приваблює все нове і незвідане) зробили свою справу. На Bluetooth і пов’язані з ним проблеми в області безпеки хакери звернули увагу ще на початку 2000-х років. Роботи дослідних груп @ stack і shmoo дали поштовх в цьому напрямку.


Для антивірусної індустрії ця тема також стає актуальною. Bluetooth став технологією, за допомогою якої поширюються черв’яки. Наприклад, Cabir, Lasco, Comwar – всі вони працюють на операційній системі Symbian і поширюються через Bluetooth. Тому уразливості Bluetooth і можливість передавати з його допомогою файли становлять практичний інтерес.


Спочатку Bluetooth був призначений для того, щоб позбутися від проводів між пристроями. Наприклад, якщо підключити до ноутбука миша, принтер, мобільний телефон і, наприклад, gps-приймач за допомогою проводів, то переносити його буде не так вже зручно, та й необхідних інтерфейсів може не вистачити.


Але з часом Bluеtooth став вторгатися і в сферу бездротових локальних мереж. Деякі вважають, що він може створити альтернативу Wi-Fi, хоча, на мій погляд, ці технології доповнюють один одного і мають хоча і суміжні, але все ж таки різні області застосування.


Основу Bluetooth складає пікосеть (piconet), що складається з одного головного і до семи підлеглих вузлів, розташованих у радіусі 10 м. Пікосеті можуть об’єднуватися в розсіяні мережі (scatternet). Зв’язок можлива тільки між головним і підлеглим вузлом; між підлеглими вузлами прямого зв’язку немає.



Рис. 1

Bluetooth-пристрої працюють в неліцензіруемом діапазоні частот від 2.4 до 2.4835 ГГц. Для уникнення конфліктів з іншими пристроями, що працюють в цьому діапазоні, використовується алгоритм стрибкоподібного зміни частоти: 1600 стрибків частоти в секунду.


Час роботи на певній частоті називається time-slot і становить 625 мкс. Вузли, об’єднані в пікосеть, перебудовують частоту одночасно по команді від майстер-вузла по псевдовипадковому алгоритмом. Весь частотний діапазон розбитий на 79 каналів шириною по 1 МГц. Дані передаються кадрами, які можуть складатися з 1, 3 або 5 тактів.


Існує два типи з’єднань: ACL (asynchronous connectionless – асинхронний без встановлення з’єднань) та SCO (synchronous connection oriented – синхронний з встановленням зв’язку).


Перший тип використовується для передачі даних, які можуть з’явитися в довільний момент часу. У підлеглого вузла може бути тільки одне ACL-з’єднання з головним вузлом.


Другий використовується для передачі даних в реальному режимі часу, наприклад при передачі мови. Підлегле пристрій може мати до трьох SCO-з’єднань з головним, з пропускною здатністю 64 КБ.


Специфікація визначає три класи пристроїв



Більшість пристроїв відносяться до 2-го і 3-го класів.


Стек протоколів:



Рис. 2

Для більш глибокого вивчення Bluetooth можна звернутися до Bluetooth-специфікації.


Механізми захисту


Як зазначено в специфікації, інформація користувача може бути захищена шляхом шифрування переданих даних, в той час як код доступу та заголовок пакета передаються у відкритому вигляді. При шифруванні використовується потоковий шифр E0.


Таким чином стає очевидною можливість атак на рівні каналу зв’язку.


Bluetooth може працювати в одному з трьох режимів безпеки.



Основою, на якій базується безпека Bluetooth, є генерація ключів, яка виробляється на основі PIN-коду. Довжина PIN-коду може бути від 1 до 16 байт. В даний час більшість пристроїв використовує 4-байтовий код.


Спочатку на основі PIN-коду по алгоритму E2 генерується 16-байтовий Link Key.


А потім за алгоритмом E3 на базі Link Key обчислюється Encryption Key.


Перший ключ використовується для аутентифікації, а другий для шифрування.



Рис. 3

Аутентифікація відбувається за наступною схемою:



  1. Пристрій, ініційоване з’єднання, посилає свою адресу (BD_ADDR). (Цей 48-бітний адреса є унікальним, як MAC-адресу мережевої карти. За адресою можна визначити виробника пристрою.)
  2. У відповідь надсилається випадкова 128-я послідовність AU_RAND (challenge).
  3. На основі BD_ADDR, Link Key і AU_RAND обидва пристрої генерують шіфропоследовательность SPES.
  4. Пристрій, запитуюча з’єднання, відправляє свою SPES.
  5. Запитувана пристрій порівнює отриману та свою SPES і при їх співпадінні встановлює з’єднання.


Рис. 4

Хоча PIN-код у відкритому вигляді не передається, він може бути зламаний виходячи з перехоплених BD_ADDR, AU_RAND і SPES.


Види атак на Bluetooth


BlueBug


Дана уразливість дозволяє атакуючому виконувати з пристроями з включеним Bluetooth неавторизовані дії.


В ідеальному випадку атака може бути виконана всього за кілька секунд. Радіус її дії обмежується радіусом дії пристроїв класу 2, тобто, як ми згадували раніше, 10-15 метрами. Щоб збільшити це відстань, можна використовувати спрямовану антену.


Так як деякі телефони підтримують можливість запуску AT-команд, то атакуючий може виконати наступні дії:



А також багато іншого.


Blueprinting


Blueprinting дозволяє отримати детальну інформацію про віддалений пристрої. Як вже зазначалося раніше, кожне Bluetooth-пристрій має унікальну Bluetooth-адресу. Ця адреса складається з 6 байт і зазвичай представляється, подібно MAC-адресою, у форматі MM: MM: MM: XX: XX: XX. Перші три байти, позначені як M, містять відомості про виробника мікросхеми. На жаль, з рештою трьома байтами X не все так просто, і модель пристрою можна визначити однозначно.


Кожне Bluetooth-пристрій надає ті чи інші сервіси. Які саме, можна дізнатися через SDP (service discovery protocol). На запит про надані сервісах можна отримати інформацію певного формату, на основі відповіді можна обчислити конкретну модель устрою.


BlueSmack


DoS-атака, яка може бути здійснена за допомогою утиліт, що входять до складу Linux Bluez.


Дана атака – подоба відомої атаки на ранні версії Windows 95. На рівні L2CAP існує можливість послати запит на відгук іншого Bluetooth-пристрою.


Ідея такого запиту, як і у випадку ICMP ping, полягає в перевірці з’єднання і вимірюванні часу відгуку на встановлене з’єднання. За допомогою утиліти l2ping, яка поширюється в дистрибутиві BlueZ, користувач може задавати довжину посилаються пакетів. Для отримання бажаного ефекту необхідно через опцію-s вказати розмір близько 600 байт.


BlueSnarf


Мабуть, це найвідоміша Bluetooth-атака. Атакуючий використовує OBEX Push Profile (OPP), який служить для обміну бізнес-картами та іншими об’єктами. У більшості випадків цей сервіс не вимагає аутентифікації. BlueSnarf виконує OBEX GET запит до відомих файлів, наприклад, telecom / pb.vcf (адресна книга) або telecom / cal.vcs (календар). У разі недбалої реалізації firmware атакуючий може отримати доступ до всіх файлів.


BlueSnarf++


Дуже схожа на BlueSnarf. Основна відмінність в тому, як атакуючий отримує доступ до файлової системи. BlueSnarf + + дає атакуючому повний доступ на читання і запис через OBEX Push Profile. Якщо на пристрої запущений OBEX FTP сервер, то через OBEX Push сервіс можна з’єднатися без установки довірчих відносин (pairing).


Атакуючий може переглядати вміст файлової системи (через команду ls) або, наприклад, видаляти файли (команда rm). Можливі дії з будь пам’яттю, в тому числі і з картами розширення memory stick або SD.


HelloMoto


Являє собою комбінацію атак BlueSnarf і BlueBug.


Використовує неправильну обробку “trusted device” на телефонах Motorola.


Атакуючий ініціює з’єднання через OBEX Push Profile, симулюючи посилку vCard. Потім відбувається переривання процесу відсилання, після чого пристрій атакуючого зберігається в списку довірених пристроїв на телефоні атакується. Завдяки запису в цьому списку атакуючий має можливість з’єднання з headset profile без аутентифікації. Встановивши з’єднання, атакуючий має можливість управляти пристроєм за допомогою AT-команд.


BlueBump


Дана атака вимагає від атакуючого застосування методів соціальної інженерії. Ідея полягає в установці довірчих відносин атакуючого і жертви. Цього можна досягти посилкою бізнес-карти, щоб змусити атакується справити аутентифікацію. Атакуючий зберігає з’єднання відкритим, але просить жертву видалити ключ для аутентифікації атакуючого. Жертва не здогадується, що з’єднання ще відкрито, в цей момент атакуючий запрошувати регенерацію ключа. Після подібних дій атакуючий отримує новий запис без аутентифікації. З цього моменту атакуючий має доступ до пристрою, поки ключ не буде видалений.


Атака на BlueDump


Link Key. В даному випадку атакуючий повинен знати BDADDR paired пристроїв. Атакуючий підміняє адресу одного з пристроїв і від його імені з’єднується з іншим. У атакуючого немає ключа аутентификации, і на запит жертви про аутентифікації він відповідає “HCI_Link_Key_Request_Negative_Reply”. У частині випадків це призводить до того, що жертва видаляє власний ключ аутентифікації і встановлює pairing режим.


BlueChop


Спрямована на руйнування piconet-мережі пристроєм, що не входять до складу мережі. В основі атаки лежить можливість того, що master-пристрій має підтримувати декілька з’єднань для освіти розширених мереж (scatternet). Атакуючий випадковим чином підміняє адреси пристроїв з piconet і з’єднується з master “ом, що призводить до руйнування piconet.


Результати досліджень, або Новорічний War-nibbling


Перед Новим роком все людство охоплює святкова лихоманка, в цей період люди проводять в магазинах величезна кількість часу в пошуках подарунків для своїх близьких. Торгові центри стають хорошим місцем для проведення досліджень на тему, як багато можна виявити користувачів різних пристроїв з Bluetooth-інтерфейсом у відкритому режимі в публічних місцях. А також яка частина цих пристроїв схильна тим чи іншим вразливостям. Тим більше що цим можна займатися, не відриваючись від процесу пошуку подарунків.


Поклавши в сумку ноутбук з Bluetooth-адаптером, ми з товаришем вирушили по магазинах. Для прогулянки використовувалися:



  1. Ноутбук Sony vaio fxa 53.
  2. SuSE 10.0 OSS.
  3. PCMCIA Bluetooth-адаптер.
  4. btscanner 2.1

Відвідавши кілька торгових центрів, ми зібрали деяку інформацію що представлена ​​нижче.


Пристрої (мобільні телефони, кишенькові комп’ютери) можуть працювати в discoverarable і not-discoverable режимах. Сканування not-discoverable-пристрої можливо шляхом перебору адрес (bruteforce). В нашому скануванні ця техніка не застосовувалася і сканувалися тільки відкриті discoverable-пристрої.



Рис. 5

Всього було знайдено 194 пристрої. В основному це були мобільні телефони, на рис. 6 представлена ​​розбивка по виробниках. Лідерами (і це не новина, результати підтверджуються й іншими дослідженнями) є Nokia і Sony Ericsson.



Рис. 6

Рис. 7

Пристрої цих виробників є самими популярними, але в той же час вони піддаються найпоширенішим видам атак на Bluetooth. Btscanner визначив, що з усіх просканованих пристроїв 25% схильні snarf-атаці.



Рис. 8

Крім того, чверть власників пристроїв прийняли файли, відправлені з віддаленого відстані.


Це навіває дуже сумні думки. По-перше, більшість користувачів не тільки не приділяють належної уваги безпеці своїх мобільних пристроїв, але навіть жодного разу не замислювалися про це. Тільки після того як людина стає жертвою чиєїсь злої жарти або шахрайства, він починає розуміти всю серйозність проблеми.


З часом це може виявитися навіть небезпечним, адже вже зараз існують автомобілі з Bluetooth, і нескладно уявити, що проникнення в бортовий комп’ютер автомобіля може створити загрозу для життя як пасажирів, так і оточуючих.


По-друге, незахищеність мобільних пристроїв веде до моментального поширення шкідливого коду.


Методи захисту



  • Відключення discoverable-режиму.



  • Включення аутентифікації на основі PIN-ключів.



  • Антивірусне ПЗ.


    Провідні антивірусні компанії вже випускають продукти для мобільних пристроїв. У “Лабораторії Касперського” є також є такі продукти: Kaspersky Mobile для Symbian-смартфонів і Kaspersky Security для PDA.



  • Використання додаткового ПЗ (Blooover, Blooover II, BT Audit).


    Blooover є безкоштовним додатком, що написано на Java. Для його використання необхідно, щоб телефон підтримував J2ME MIDP 2.0 VM c JSR-82 API. Таким вимогам задовольняють, наприклад, телефони Nokia 6600, Nokia 7610, Sony Ericsson P900, Siemens S65. За своєю суттю Blooover – це сканер вразливостей, призначений для перевірки мобільних телефонів на предмет схильності деяким атакам. Вперше Blooover був представлений широкій громадськості в грудні 2004. З тих пір він був викачаний 150 000 разів. У грудні 2005 року з’явився Blooover II, в який було додано детектування додаткових атак.


    BT Audit сканує відкриті RFCOMM-канали та L2CAP PSM і видає звіт про їх стан.

  • Схожі статті:


    Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

    Коментарів поки що немає.

    Ваш отзыв

    Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    *

    *