May 24, 2015
Tartalom
• Általános áttekintés a bluetooth-ról• Hasonlóságok az internetes világgal• Konkrét sérülékenységek• Bluetooth hack-ek(?) a sajtóban• Tanulságok• Bemutató
Mi az a Kékfog?
• Eredetileg I. Harald, a X. században élt dán király beceneve
• Egyébként a vezeték nélküli PAN-ok (Personal Area Network) specifikációja
• Melyet 1999-ben a Sony Ericsson, az IBM, az Intel, a Toshiba és a Nokia által alapított szervezet menedzsel
• Célja, hogy különböző eszközöket olcsón, gyorsan és biztonságosan (?) kössön össze kis távolságon (max. 100 méter) belül
Bluetooth protokoll stack
Fogalmak
• MAC: Media Access Control, egy hálózat egy elemének egyedi, hardveres azonosító címe
• L2CAP: Logical Link Control and Adaptation Protocol, feladata a csomagok lebontása és felépítése
• SDP: Service Discovery Protocol, az elérhető szolgáltatások felderítése és ezek jellemzőinek megállapítása a feladata
Fogalmak
• RFCOMM: a soros portok emulációjára szolgál, a szállítási réteg protokollja
• OBEX: Object Exchange, olyan kommunikációs protokoll, mely bináris adatok átadására szolgál
• OPP: Object Push Profile, objektumok átadása két Bluetooth eszköz között OBEX fölött
Kulcsgenerálás a titkosításhoz
Felderítés
• Ami a hagyományos esetben pl. az fping parancs
• Az a bluetooth világban pl. a hcitool, a btscanner, stb.
• Egy bekapcsolt készüléket egyszerű megtalálni, ha látható (discoverable) módban van
• De ha nincs?
Felderítés
• Rejtett készülékek is megtalálhatók brute-force módszerrel
• Erre való a redfang vagy a bluesniff program
• Bár lassú és körülményes a használata
• Nem igaz az a mítosz, hogy a kapcsolat rejtése megvéd a támadástól
Azonosítás
• Ami a hálózatos világban pl. az nmap –O
• Az a bluetooth világban pl. a blueprint
• Egy készülékről megállapítható, hogy milyen gyártmány, ennek megfelelően lehet támadásokat találni ellene
• Az azonosítás a telefon MAC címének első 3 bájtja és az SDP rekordok lenyomata alapján történik
Portscannelés
• Ami a hálózatoknál pl. az nmap –sS
• Az a bluetooth esetén a bt_audit
• A gyártók különböző célokra nyitva hagynak portokat a bluetooth eszközön
• A bt_audit az L2CAP és az RFCOMM rétegeket vizsgálja
• Egyes esetekben hasznos lehet, de általában semmire nem megyünk vele.
Sniffelés
• Ami az IP világban az Ethereal
• Az a bluetooth esetén a hcidump
• Ez csak a saját gép bluetooth csomagjait képes tárolni
• A „levegőben” utazó csomagok elfogására van eszköz, de a gyakorlati haszna csekély a kis teljesítményű és ritka adás miatt
• Vagy mégsem?
Félelem és hackelés Las Vegasban
• A Bluesniper és Bluetoone eszközök nagy távolságról is el tudják érni a bluetooth eszközöket
• A 12. Defcon konferencián egy Yagi antennával 800m-ről, később egy 19 dBi-s antennával 1,73 km-ről sikerült megtámadni egy sérülékeny telefont
• Tanulság: a fizikát nehéz kicselezni, bármennyire próbálják ezt kommunikálni a gyártók
(Kék)fogas kérdések
• Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny
• A bluetooth protokoll (egyelőre) NEM sérülékeny• A hiba (eddig) mindig a megvalósításban volt
BlueJack
• Nem igazi támadás• Üzenetküldés
névjegykártyák segítségével névtelenül
• Lehetőséget nyújt pl. az ismerkedésre, spammelésre...
• Az Object Push Profile-t használja ki
• Korábbi telefonokon használható, ahol az OPP-hez nem szükséges autentikálás
BlueBug
• AT parancsok kiadása egy rejtett csatornán
• A sérülékeny telefonoknál engedély nélkül lehet kiadni ezeket a parancsokat
• Minden telefon AT parancs listája elérhető az Interneten
• Ezekkel a telefon összes érzékeny adatához hozzá lehet férni, hívásokat indítani, stb.
BlueSnarf
• Az OBEX protokoll megvalósítási hibáját kihasználó támadás
• Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki
• Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni
• Nem szükséges hozzá párosítás• A bluesnarfer alkalmazással a hiba egyszerűen
kihasználható• A Blooover nevű mobil java alkalmazással a támadás
mobiltelefonról is kezdeményezhető
BlueSnarf++
• Hasonló a BlueSnarf támadáshoz• Csak sokkal nagyobb károkat tud okozni• Teljes olvasás/írás hozzáférés a telefon
fájlrendszeréhez• A részletek nem publikusak• Az érintett készülékek gyártói dolgoznak a javításon
HeloMoto
• A BlueSnarf és a BlueBug támadások ötvözete• Elsőként Motorola telefonoknál fedezték fel• A megbízható, párosított eszközök hibáját használja
ki• A támadó egy OBEX Push parancsot indít, amit
időben megszakít• A hiba miatt a támadó készüléke bekerül a
megbízható eszközök közé• Ezután az AT parancsok engedélyek nélkül
kiadhatók
A betömött kékfogak esete
• A fenti támadásoknál az áldozatnak nem kellett engedélyeznie a behatolást
• A legtöbb bluetooth eszköznél azonban szükség van autentikációra
• Ez egy PIN kód szokott lenni• Ha sikerül valahogy a PIN kódos azonosítást
kijátszani, újra esély van az eszközbe való bejutásra
BlueBump
• Nem igazán „áldozatmentes” támadás• A támadó megbízható kapcsolatba kerül az
áldozattal pl. egy névjegy küldésével• A kapcsolat nyitva marad, de az áldozat gépén a
kapcsolati (link) kulcs törlődik• A támadó egy kulcs újragenerálást kér• Így egy új hiteles bejegyzés keletkezik, amiről az
áldozat nem tud
BlueDump
• Shaked és Wool PIN kód törési technikáját felhasználó támadás
• A támadó egy kulcs újragenerálást kényszerít ki a megbízható felek között
• Ennek forgalmát elfogja, majd brute force módszerrel kitalálja a felhasznált PIN kódot
• Ezután a titkosított forgalmat dekódolni tudja• Az egyik megbízható eszköz címét „spoofolva”, azaz
megszemélyesítve hozzá tud férni a másik eszközhöz.
Bluetooth-os támadások?
• Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek
• A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg
• Valójában a telefonja webes szinkronizálást használt, és ezt törték fel
Bluetooth-os támadások?
Bluetooth-os támadások?
• A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat
• A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre
• De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.
Bluetooth-os támadások?
Bluetooth-os támadások?
• A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik
• Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny
Bluetooth-os támadások?
Bluetooth-os támadások?
• A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével
• Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234)
• A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt
• A támadás a gyenge PIN kód beállítást használja ki
BlueSnarfing a gyakorlatban
Tanulságok
• A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el
• A hiba mindig a megvalósításban vagy a felhasználóban van
• Védekezni nagyon egyszerű:• Csak akkor használjuk a bluetooth-t ha muszáj• Állítsunk be „bonyolult” PIN kódot• Csak akkor fogadjunk bármit a telefonra, ha
biztosan tudjuk, hogy szükségünk van rá
Ajánlott oldalak
• www.trifinite.org• www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/• www.remote-exploit.org• www.betaversion.net/btdsd/• www.thebunker.net/security/bluetooth.htm
Köszönöm a figyelmet!
• Ha a technika ördöge nem szól közbe, lássuk a bemutatót!
• Elérhetőségem: [email protected]
• Az előadás letölthető a www.krasznay.hu oldalról