Bluetooth security (in Hungarian)

Bluetooth biztonság

avagy te is fiam, Bluetooth?

Krasznay Csaba

[email protected]

Tartalom

• Általános áttekintés a bluetooth-ról• Hasonlóságok az internetes világgal• Konkrét sérülékenységek• Bluetooth hack-ek(?) a sajtóban• Tanulságok• Bemutató

Mi az a Kékfog?

• Eredetileg I. Harald, a X. században élt dán király beceneve

• Egyébként a vezeték nélküli PAN-ok (Personal Area Network) specifikációja

• Melyet 1999-ben a Sony Ericsson, az IBM, az Intel, a Toshiba és a Nokia által alapított szervezet menedzsel

• Célja, hogy különböző eszközöket olcsón, gyorsan és biztonságosan (?) kössön össze kis távolságon (max. 100 méter) belül

Bluetooth protokoll stack

Fogalmak

• MAC: Media Access Control, egy hálózat egy elemének egyedi, hardveres azonosító címe

• L2CAP: Logical Link Control and Adaptation Protocol, feladata a csomagok lebontása és felépítése

• SDP: Service Discovery Protocol, az elérhető szolgáltatások felderítése és ezek jellemzőinek megállapítása a feladata

Fogalmak

• RFCOMM: a soros portok emulációjára szolgál, a szállítási réteg protokollja

• OBEX: Object Exchange, olyan kommunikációs protokoll, mely bináris adatok átadására szolgál

• OPP: Object Push Profile, objektumok átadása két Bluetooth eszköz között OBEX fölött

Kulcsgenerálás a titkosításhoz

Felderítés

• Ami a hagyományos esetben pl. az fping parancs

• Az a bluetooth világban pl. a hcitool, a btscanner, stb.

• Egy bekapcsolt készüléket egyszerű megtalálni, ha látható (discoverable) módban van

• De ha nincs?

Felderítés

• Rejtett készülékek is megtalálhatók brute-force módszerrel

• Erre való a redfang vagy a bluesniff program

• Bár lassú és körülményes a használata

• Nem igaz az a mítosz, hogy a kapcsolat rejtése megvéd a támadástól

Azonosítás

• Ami a hálózatos világban pl. az nmap –O

• Az a bluetooth világban pl. a blueprint

• Egy készülékről megállapítható, hogy milyen gyártmány, ennek megfelelően lehet támadásokat találni ellene

• Az azonosítás a telefon MAC címének első 3 bájtja és az SDP rekordok lenyomata alapján történik

Portscannelés

• Ami a hálózatoknál pl. az nmap –sS

• Az a bluetooth esetén a bt_audit

• A gyártók különböző célokra nyitva hagynak portokat a bluetooth eszközön

• A bt_audit az L2CAP és az RFCOMM rétegeket vizsgálja

• Egyes esetekben hasznos lehet, de általában semmire nem megyünk vele.

Sniffelés

• Ami az IP világban az Ethereal

• Az a bluetooth esetén a hcidump

• Ez csak a saját gép bluetooth csomagjait képes tárolni

• A „levegőben” utazó csomagok elfogására van eszköz, de a gyakorlati haszna csekély a kis teljesítményű és ritka adás miatt

• Vagy mégsem?

Félelem és hackelés Las Vegasban

• A Bluesniper és Bluetoone eszközök nagy távolságról is el tudják érni a bluetooth eszközöket

• A 12. Defcon konferencián egy Yagi antennával 800m-ről, később egy 19 dBi-s antennával 1,73 km-ről sikerült megtámadni egy sérülékeny telefont

• Tanulság: a fizikát nehéz kicselezni, bármennyire próbálják ezt kommunikálni a gyártók

(Kék)fogas kérdések

• Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny

• A bluetooth protokoll (egyelőre) NEM sérülékeny• A hiba (eddig) mindig a megvalósításban volt

BlueJack

• Nem igazi támadás• Üzenetküldés

névjegykártyák segítségével névtelenül

• Lehetőséget nyújt pl. az ismerkedésre, spammelésre...

• Az Object Push Profile-t használja ki

• Korábbi telefonokon használható, ahol az OPP-hez nem szükséges autentikálás

BlueBug

• AT parancsok kiadása egy rejtett csatornán

• A sérülékeny telefonoknál engedély nélkül lehet kiadni ezeket a parancsokat

• Minden telefon AT parancs listája elérhető az Interneten

• Ezekkel a telefon összes érzékeny adatához hozzá lehet férni, hívásokat indítani, stb.

BlueSnarf

• Az OBEX protokoll megvalósítási hibáját kihasználó támadás

• Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki

• Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni

• Nem szükséges hozzá párosítás• A bluesnarfer alkalmazással a hiba egyszerűen

kihasználható• A Blooover nevű mobil java alkalmazással a támadás

mobiltelefonról is kezdeményezhető

BlueSnarf++

• Hasonló a BlueSnarf támadáshoz• Csak sokkal nagyobb károkat tud okozni• Teljes olvasás/írás hozzáférés a telefon

fájlrendszeréhez• A részletek nem publikusak• Az érintett készülékek gyártói dolgoznak a javításon

HeloMoto

• A BlueSnarf és a BlueBug támadások ötvözete• Elsőként Motorola telefonoknál fedezték fel• A megbízható, párosított eszközök hibáját használja

ki• A támadó egy OBEX Push parancsot indít, amit

időben megszakít• A hiba miatt a támadó készüléke bekerül a

megbízható eszközök közé• Ezután az AT parancsok engedélyek nélkül

kiadhatók

A betömött kékfogak esete

• A fenti támadásoknál az áldozatnak nem kellett engedélyeznie a behatolást

• A legtöbb bluetooth eszköznél azonban szükség van autentikációra

• Ez egy PIN kód szokott lenni• Ha sikerül valahogy a PIN kódos azonosítást

kijátszani, újra esély van az eszközbe való bejutásra

BlueBump

• Nem igazán „áldozatmentes” támadás• A támadó megbízható kapcsolatba kerül az

áldozattal pl. egy névjegy küldésével• A kapcsolat nyitva marad, de az áldozat gépén a

kapcsolati (link) kulcs törlődik• A támadó egy kulcs újragenerálást kér• Így egy új hiteles bejegyzés keletkezik, amiről az

áldozat nem tud

BlueDump

• Shaked és Wool PIN kód törési technikáját felhasználó támadás

• A támadó egy kulcs újragenerálást kényszerít ki a megbízható felek között

• Ennek forgalmát elfogja, majd brute force módszerrel kitalálja a felhasznált PIN kódot

• Ezután a titkosított forgalmat dekódolni tudja• Az egyik megbízható eszköz címét „spoofolva”, azaz

megszemélyesítve hozzá tud férni a másik eszközhöz.

Bluetooth-os támadások?

• Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek

• A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg

• Valójában a telefonja webes szinkronizálást használt, és ezt törték fel

Bluetooth-os támadások?

Bluetooth-os támadások?

• A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat

• A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre

• De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.

Bluetooth-os támadások?

Bluetooth-os támadások?

• A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik

• Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny

Bluetooth-os támadások?

Bluetooth-os támadások?

• A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével

• Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234)

• A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt

• A támadás a gyenge PIN kód beállítást használja ki

BlueSnarfing a gyakorlatban

Tanulságok

• A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el

• A hiba mindig a megvalósításban vagy a felhasználóban van

• Védekezni nagyon egyszerű:• Csak akkor használjuk a bluetooth-t ha muszáj• Állítsunk be „bonyolult” PIN kódot• Csak akkor fogadjunk bármit a telefonra, ha

biztosan tudjuk, hogy szükségünk van rá

Ajánlott oldalak

• www.trifinite.org• www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/• www.remote-exploit.org• www.betaversion.net/btdsd/• www.thebunker.net/security/bluetooth.htm

Köszönöm a figyelmet!

• Ha a technika ördöge nem szól közbe, lássuk a bemutatót!

• Elérhetőségem: [email protected]

• Az előadás letölthető a www.krasznay.hu oldalról