Atak na Bluetooth(2)


Atak na Bluetooth
Atak
Ugo Lopez
stopień trudności
Bluetooth jest technologią, która powstała by ułatwić nasze
zdolności komunikowania się. Okazał się jednak także
technologią nadającą się do kradzieży danych. W tym artykule
przedstawimy Wam jak wykorzystać jego słabe punkty.
tóż nie pamięta czasów, nie tak znowu malże we wszystkich urządzeniach przeno-
odległych, kiedy to telefon komórkowy śnych (telefony komórkowe, słuchawki, nawi-
Kbył postrzegany z pewną dozą nieufno- gatory satelitarne, drukarki, itd.). Technologia
ści bądz zazdrości? Uznawany pierwotnie bar- ta pozwala tworzyć prawdziwe PAN (Personal
dziej za symbol statusu niż za narzędzie komu- Area Network) w sposób umożliwiający wza-
nikacji, telefon komórkowy stanowi już od dłuż- jemne korzystanie z zasobów pomiędzy urzą-
szego czasu nieodłączny element codzienne- dzeniami, nie koniecznie jednakowymi, czyniąc
go życia każdego z nas. maksymalnie prostym wpółdziałanie z użyt-
Technologia Bluetooth, powstała by poko- kownikiem.
nać ograniczenia portów na podczerwień IRDA Aktualnie istnieją 2 standardy stosowane w
(Infra Red Device Adapter) i FastIRDA, gdzie urządzeniach peryferyjnych obecnych na ryn-
urządzenia peryferyjne musiały być wzajemnie ku:
widoczne i oferowały niskie prędkości przesy-
łowe, rozwija się ponad wszelkie przewidywa-
Z artykułu dowiesz się...
nia. Jak w przypadku każdej rzeczy na polu in-
formatycznym, gdy postęp dokonuje się w spo-
" jakie są słabe punkty niektórych urządzeń Blu-
sób tak gwałtowny, bezpieczeństwo pozostaje
etooth i jak je wykorzystać.
daleko w tyle. Rzeczywiście, liczne są słabości
obecne w Bluetooth. Lecz po kolei, najpierw
Co powinieneś wiedzieć...
postarajmy się opisać w miarę szczegółowo tę
technologię.
" znajomość na poziomie użytkownika systemów
Windows,
Technologia Bluetooth
" znajomość na poziomie użytkownika systemów
Bluetooth powstał w 2003 roku. Z inicjatywy
Linux, zastosowanie powłoki shell,
wielu producentów stanowiących konsorcjum
" znajomość na poziomie użytkownika zaawan-
SIG (Ericsson, Nokia, Microsoft, Intel, Motoro-
sowanego mobilnych urządzeń Bluetooth.
la, Apple i innych), Bluetooth jest obecny nie-
hakin9 Nr 3/2007
2 www.hakin9.org
Atak na Bluettoth
" Core Specification 1.2  5 listo- mi standardami, zapewnia następu- " Host protocols: implementowane
pada 2003, jące usprawnienia: z motywów bez- na poziomie oprogramowania ko-
" Core Specification 2.0 + EDR pieczeństwa unika przeskakiwania munikują się, poprzez API, z apli-
 15 pazdziernika 2004. pomiędzy kanałami. Bezpieczeń- kacjami; obsługują funkcje wyż-
stwo zostaje zapewnione poprzez szego poziomu,
Oprócz nich istnieją również standar- algorytmy kryptograficzne, obsługu- " Controller protocols: obsługują
dy już zaniechane. A dokładniej: je zarówno multicast jak i broadcast, moduł radiowy.
Bluetooth 1.0 i 1.0B: wersje 1.0 i zwiększa szybkość transmisji do 2,1
1.0B nęka wiele problemów, przede Mbit/s (3 we wspomnianej wcze- Oba składniki komunikują się ze sobą
wszystkim związanych ze współdzia- śniej wersji z 15 pazdziernika 2004), poprzez HCI (Host Controller Interfa-
łaniem produktów odmiennych kon- wprowadza usługę obsługi jakości. ce), który jest odpowiedzialny za de-
struktorów. Pomiędzy tymi dwoma Wprowadza także protokół umożli- finiowanie zbioru wiadomości i zbioru
standardami dokonano zmian w pro- wiający dostęp do urządzeń współ- sposobów ich transportowania.
cesie weryfikacji adresu fizycznego dzielonych, redukuje zauważalnie Teraz przyjrzyjmy się bardziej
przypisanego każdemu urządzeniu: czasy odpowiedzi i zmniejsza o po- szczegółowo stosowi protokołów
stara metoda uniemożliwiła pozosta- łowę wykorzystywaną moc. (Rys. 2).
wanie anonimowym podczas komu- Jest już w fazie przygotowania no- Jest to schemat ostateczny stosu
nikacji, stąd jakiś złośliwy użytkow- wa wersja Bluetooth (o nazwie Lis- protokołów. W celu zapewnienia wy-
nik wyposażony w skaner częstotliwo- bon) przewidująca: Atomic Encryption miany z innymi protokołami jego za-
ści mógł przechwycić ewentualne po- Chance: okresowa zmiana hasła dla sadniczymi składnikami są:
ufne informacje. Wersja B przyniosła połączeń kodowanych, Extended In-
także zmiany związane z obsługą śro- quiry Response: dostarcza więcej in- " L2CAP (Logical Link Control and
dowiska Bluetooth usprawniając moż- formacji o urządzeniach usiłujących Adaptation Protocol): kapsuł-
liwość współdziałania, ustanowić połączenie, faworyzując kuje pakiety i zapewnia mecha-
Bluetooth 1.1: naprawia wiele błę- tym samym filtering urządzeń niepew- nizm abstrakcyjny przypominają-
dów, które pojawiły się w wersji 1.0B. nych, Sniff Subrating: system redukcji cy koncepcję portów w TCP/IP,
Pozwala na komunikację przy wyko- zużycia w stanie sniffingu, poprawa " SDP (Service Discovery Proto-
rzystaniu kanałów niekodowanych. QoS (Quality of Service), Simple Pa- col): upublicznia usługi oferowa-
Obecnie standard 1.2, kompaty- iring: poprawa kontroli strumieni bitów ne przez poszczególne urządze-
bilny z wersją 1.1, przewiduje: Ada- poprzez mechanizmy parowania. nia i wyszukuje usługi oferowane
ptive Frequency Hopping (AFH): ta Istnieje także kolejna wersja (o przez urządzenia z którymi chce
technika zapewnia większą odpor- nazwie Seattle) przewidująca wpro- się komunikować.
ność na interferencje elektromagne- wadzenie jako znaczącą innowację
tyczne, gdyż unika stosowania kana- Ultra Wide Band (UWB), co pozwoli Spróbujmy teraz zaprezentować dia-
łów podatnych na silne interferen- na znaczące zwiększenie prędkości. gram funkcjonalny protokołu Blueto-
cje, zwiększa szybkość transmisji, Wreszcie, urządzenia Bluetooth oth (Rys. 3).
extended Synchronous Connections można podzielić na 3 klasy (zobacz W skrócie, można wyróżnić nastę-
(eSCO): oferuje tryb transmisji audio Tabela 1). pujące stany: Standby: oczekiwanie na
wysokiej jakości, przesyłając ponow- W celu zapoznania się z innymi połączenie, Inquiry: wykrywanie urzą-
nie dane w razie ich utraty. Został szczegółami tych standardów moż- dzeń znajdujących się w pobliżu, Page:
także wprowadzony czujnik jakości na odwiedzić oficjalną stronę po- próba połączenia z urządzeniem, Con-
sygnału. Posiada interfejs pozwala- święconą technologii Bluetooth i nected: urządzenie aktywne w sieci,
jący na obsługę aż trzech UART ściągnąć dokumenty specyfikacji Transmit data: dane w trakcie transmi-
(standard symulujący obecność po- (http://www.Bluetooth.com). sji, Park/Hold: tryb niskiego zużycia.
łączenia kablowego) i na dostęp do Rzućmy teraz okiem jak funkcjo- Miejmy w pamięci ten diagram
informacji związanych z synchroni- nuje, zgrubsza, stos protokołów Blu- funkcjonalny, ponieważ przyda się
zacją transmisji Bluetooth. etooth (Rys. 1) nam do zrozumienia niektórych ty-
Natomiast standard 2.0, kompa- W gruncie rzeczy możemy wy- pów ataków.
tybilny ze wszystkimi wcześniejszy- różnić w nim dwie części:
Zasady bezpieczeństwa
Tabela 1. Trzy klasy Bluetooth Rzuciwszy okiem na specyfikacje
można zauważyć, że te przewidują
Klasa Moc(mW) Moc (dBm) Odległo-
trzy rodzaje (nie)bezpieczeństwa:
ść(Przybliżona)
Klasa 1 100 mW 20 dBm ~ 100 metrów
" mode 1: brak bezpieczeństwa,
Klasa 2 2,5 mW 4 dBm ~ 10 metrów
" mode 2: ochrona na poziomie
Klasa 3 1 mW 0 dBm ~ 1 metr
usługa/aplikacja,
www.hakin9.org hakin9 Nr 3/2007 3
Atak
" mode 3: ochrona na poziomie ruch na wszystkich 79 kanałach wy-
urządzenia. korzystując odpowiednie narzędzie,
a następnie, offline, testuje się roz-
Applicazione
Te trzy rodzaje są implementowane maite klucze połączeniowe wygene-
w ramach czterech poziomów: pa- rowane przy zastosowaniu rozma-
OS API
iring: zostaje aktywowany pomiędzy itych pinów. Taki atak jest dość kosz-
Host protocols
dwoma urządzeniami, które chcą ak- towny za sprawą potrzebnego oprzy-
tywować procedury bezpieczeństwa rządowania.
HCI
i kontaktują się pomiędzy sobą po Aby bronić się przed tego typu
Controller
raz pierwszy; w praktyce, użytkow- atakiem jest dobrą normą stosowa-
protocols
nik wprowadza pin (identyczny) na nie długich i trudnych do odgadnięcia
obu urządzeniach, a z kolei każde z pinów oraz wykonywanie pairingu w
nich generuje pseudolosową liczbę; miejscach uznawanych za bezpiecz-
w tym momencie otrzymuje się sha- ne. Jednakże i bezpieczeństwo osią-
Rys. 1. Funkcjonowanie stosu
red secret (sekret współdzielony), gnięte w taki sposób jest względne,
protokołów Bluetooth
który jest wykorzystywany do komu- gdyż, jak zostało to udowodnione,
nikacji, autentyfikacja: tzw. mecha- dzięki prostej modyfikacji Bluetooth zaliczam się do grona pierwszych
nizm challenge (wyzwanie); w prak- dongle można dokonać ataku nawet uzależnionych od urządzeń przeno-
tyce bazuje na liczbie pseudolosowej z odległości przekraczającej 1,5 km. śnych. Mówiąc szczerze, moja cie-
(challenge) i na shared secret, kody- Wspaniały przykład daje nam grupa kawość została obudzona lekturą
fikacja: ma miejsce, ewentualnie, po trifinite, której URL został zamiesz- artykułu opublikowanego w jakimś
autentyfikacji, autoryzacja: określa czony w sekcji linków tego artykułu. dzienniku noszącego tytuł Kiedy bo-
czy żądanie urządzenia ma zostać Poza tym istnieje szereg słabości li ząb..., który traktował o toothingu,
zaspokojone czy też nie; każda apli- na poziomie aplikacji, o których bę- czyli o tym jak wykorzystując proto-
kacja może posiadać listę urządzeń, dziemy mówić w dalszej części tego kół Bluetooth można wysyłać wiado-
które mogą mieć do niej dostęp (tru- artykułu. Te zależą bardziej od spe- mości do osób kompletnie nam nie-
sted device), jeśli dane urządzenie cyficznych implementacji zastoso- znanych, a posiadających Bluetooth
nie znajduje się na tej liście wymaga- wanych przez producentów, niż od device włączony i dyspozycyjny, w
ne jest potwierdzenie ze strony użyt- bugów w projektowaniu protokołów. promieniu kilku metrów. Początkowo
kownika. najbardziej uderzył mnie aspekt spo-
W ramach tych poziomów stoso- Techniki ataku łeczny tego artykułu, lecz po chwi-
wanych jest pięć głównych elemen- na Bluetooth li refleksji otworzyły się przede mną
tów: adres BD_ADDR: adres fizycz- Mimo że jestem pasjonatem niemal- scenariusze znacznie bardziej roz-
ny poszczególnego urządzenia (swe- że wszystkiego co przyniosła tech- ległe, w których mało ostrożni użyt-
go rodzaju MAC Address), klucz ko- nologia w ciągu minionych lat, nie kownicy są oszukiwani na tysiąc
dujący (8-128 bit), klucz połączenia
(128 bit), liczby pseudolosowe (128
vCard/vCal WAE
bit), algorytmy służące do genero-
OBEX WAP
wania kluczy (E0, E21, E22, itd.).
AT-
Jak widzicie, łatwo jest odnalezć
TCS BIN SDP
Commands
wszystkie te elementy na czterech
UDP TCP
poziomach.
IP
Teraz zobaczymy gdzie znajdu-
ją się słabości tego mechanizmu.
PPP
Pierwsza i najbardziej oczywista
tkwi w mechanizmie pairingu, któ-
RFCOMM
ry, jak zostało to opisane, przewidu-
Audio
je wprowadzenie pinu. Jeśli pin zo-
L2CAP
stał określony w samym urządzeniu
można wręcz przeprowadzić atak
Host Controller Interface
LMP
online typu brute-force (tj. bezpo-
średnio przeciwko urządzeniu ofia-
Baseband
ry). Natomiast w przypadku słabe-
go pinu, można dokonać ataku of-
Bluetooth Radio
fline (nie bezpośrednio przeciwko
urządzeniu ofiary), tzw. ataku prze-
Rys. 2. Ostateczny schemat stosu protokołów
ciwko E22: w skrócie,  rejestruje się
www.hakin9.org
4 hakin9 Nr 3/2007
Atak na Bluettoth
i jeden sposobów przez jakiegoś jest pod wieloma względami bardzo nie zostają całkowicie dezaktywowa-
przygodnego maniaka. To właśnie podobny do ataku określanego mia- ne, lecz jedynie odrzucane są żąda-
od tego momentu zacząłem zgłębiać nem phishing. nia kierowane do SDP. Poza tym, jak
dokumentacje związane z rozmaity- Poza tą empiryczną procedurą, już powiedzieliśmy, każde urządze-
mi typologiami ataku i obrony. Spró- istnieje wiele darmowych narzędzi, nie posiada swój BD_ADDR: skła-
bujmy je wspólnie przeanalizować. które także pozwalają na dokonanie da się z 48 bitów, z których pierw-
tego ataku. sze 24 zależą wyłącznie od produ-
Bluejacking Oto niektóre z nich: Freejack (http: centa (swego rodzaju vendor code),
Jak wcześniej wspomniałem, zacie- //www.bluejackq.com/freejack.jar), są więc stałe. Z pozostałych jedynie
kawiła mnie możliwość darmowe- SMAN (http://www.bluejackq.com/ ostatnich 6 bitów identyfikują w spo-
go komunikowania się za pośrednic- sman13a-eng.zip), Mobiluck (http: sób jednoznaczny urządzenie, jako
twem systemu wiadomości z osoba- //www.mobiluck.com/download-Blu- że służą do identyfikacji typu urzą-
mi kompletnie obcymi, które jednak etooth-software-all-phones-en.php), dzenia (komórka, dongle, słuchaw-
posiadają aktywne urządzenie Blu- Easyjack (http://www.getjar.com/ ka, itd.). Dlatego nie jest wcale rze-
etooth w promieniu kilku metrów. products/2758/EasyJack) czą trudną wykrycie urządzenia Blu-
Jak to możliwe? Trzeba pamiętać, Internet pełen jest narzędzi przy- etooth, także w trybie ukrytym. Rze-
że w fazie discovery innych urzą- stosowanych do tego celu, tu zosta- czywiście, z punktu widzenia obli-
dzeń, zostaje przekazana nazwa ły wymienione tylko niektóre z nich. czeniowego, można odnalezć bity
identyfikująca urządzenia. Nie jest Trzeba pamiętać, że rodzaj narzę- zmienne w czasie niewiele dłuższym
ona niczym innym jak polem teksto- dzia zależy także od stosowanego niż jedna godzina.
wym. Wyobrazmy sobie teraz, że po- telefonu komórkowego. Narzędzia służące do takiej ope-
le tekstowe zawiera coś w rodzaju: racji, w chwili redagowania niniejsze-
Problemy sieciowe, proszę wybierz Discovery mode abuse go artykułu, są dostępne tylko pod
1234. Oczywiście 1234 to pin który W przypadku większości urządzeń Linuksem. Są to:
uprzednio wystukaliśmy na naszym dostępnych na rynku możliwe jest,
urządzeniu. Nieświadomy użytkow- po włączeniu, ustalenie czy usłu- " Redfang (http://www.securitywir
nik wystuka pin i tym samym do- ga Bluetooth ma być widoczna czy eless.info/Downloads-index-req-
pełni pairingu. A my dokonamy ata- ukryta. To co się wówczas dzieje w getit-lid-41.html),
ku bluejacking (termin ten począt- trybie ukrytym polega na niczym in- " Bluesniff (http://
kowo był wykorzystywany na okre- nym jak na odrzucaniu przez urzą- bluesniff.shmoo.com/bluesniff-
ślenie wszystkich ataków na proto- dzenie wszelkich żądań inquiry po- 0.1.tar.gz).
kół Bluetooth). Ten typ ataku, mają- chodzących w broadcast od innych
cy swe zródło w inżynierii socjalnej, aparatów Bluetooth. Tak więc usługi Redfang jest narzędziem linii pole-
ceń zrealizowanym przez @Stake,
aktualnie stanowiącym część Sy-
manteca, i stanowi POF (Proof Of
Unconnected
Concept) techniki ataku już opisa-
Standby
Standby
nej. Bluesniff to front-end graficzny
do Redfang.
Ttypical=5s
Blueprinting
Jest rodzajem nmap w odniesieniu
Connecting
Inquiry Page
States
do Bluetooth. Technika ta pozwa-
la na uzyskanie informacji technicz-
nych o badanym urządzeniu, wyko-
Ttypical=0.6s
nując matching uzyskanych charak-
Transmit
terystyk z tymi obecnymi w uaktu-
Active Connected
data
States AMA alnionej bazie danych. Także w tym
AMA
przypadku istnieje narzędzie pod Li-
Ttypical=2s Ttypical=2s
nuksa obsługiwane z linii poleceń:
" Blueprint (http://trifinite.org/
Downloads/bp_v01-3.zip)
PARK HOLD
Releases
Low Power
PMA AMA
AMA
States
Address
Także Redfang, przedstawiony we
wcześniejszym paragrafie, zajmuje
Rys. 3. Diagram funkcjonalny protokołu Bluetooth
się blueprintingiem.
www.hakin9.org hakin9 Nr 3/2007 5
Detach
Atak
Bluesnarf To narzędzie jest prawdziwą suite, dynie biblioteki Bluetooth dla Linux
Jest atakiem wywodzącym się z wa- jest niezmiernie użyteczne w celu Bluez (http://www.bluez.org/down-
dliwej implementacji specyfikacji wykonania bardzo złożonych pen- load.html, wszelako niezbędne tak-
wielu telefonów komórkowych (licz- testów. Na stronie znajduje się cały że dla Bluediving) i formatując od-
ne modele Ericsson, Sony-Ericsson, szereg innych, na prawdę użytecz- powiednio polecenie l2ping. W przy-
Nokia, Siemens, Motorola). Z bar- nych narzędzi. padku wielu modeli iPaq wystarczy
dziej szczegółowym wykazem urzą- napisać:
dzeń peryferyjnych w to zamiesza- Bluebug
nych można zapoznać się tu: http: Także ta słabość wynika ze złej im- l2ping -s
//www.thebunker.net/security/Blu- plementacji niektórych specyfikacji i z większym lub równym 600.
etooth.htm. jest obecna tylko w niektórych mo-
Lecz na czym polega ten atak? delach przenośnych urządzeń pe- Bluebump
Na niczym innym jak na łączeniu się ryferyjnych. W odróżnieniu od Blu- Jest to atak inżynierii socjalnej. Ata-
z usługą OBEX Push (często wyko- esnarf i Bluesnarf++, pozwala na kujący ustanawia połączenie trusted
rzystywana w celu wymiany elektro- wykonanie poleceń AT na urządze- z jakimś urządzeniem, na przykład
nicznych wizytówek). Wadliwa imple- niu ofiary. Tym razem problem doty- wysyłając Vcard i zmuszając odbior-
mentacja w niektórych telefonach ko- czy usług na kanale RFCOMM nie cę do autentyfikacji (Mode-3-Abu-
mórkowych pozwala, poza otrzymy- zgłoszonych przez SDP, lecz mimo se). Atakujący podtrzymuje otwarte
waniem wizytówek, także na OBEX to wykorzystywanych. połączenie i mówi ofierze by ta prze-
Get, czyli na żądanie pliku. Tzn., je- W praktyce, atakujący może uzy- rwała połączenie ze swoim urządze-
śli wiem że na komórce ofiary jest skać pełen dostęp do telefonu ko- niem peryferyjnym. Oczywiście ofia-
obecny plik chcęgo.jar, to mogę go mórkowego, zwłaszcza może: te- ra nie jest świadoma że połączenie
ściągnąć przeskakując fazę autenty- lefonować, wysyłać, czytać i elimi- jest jeszcze aktywne. W tym mo-
fikacji. Często nie trzeba nawet znać nować SMS/MMS, czytać i pisać w mencie atakujący prosi by ponownie
ścieżki pliku w systemie, ponieważ książce telefonicznej, zmieniać para- został wygenerowany klucz połącze-
wiele aparatów zapamiętuje infor- metry konfiguracyjne. niowy. Tym samym posiada ofiarę na
macje odnoszące się do systemu pli- Aby wykazać istnienie tej dziu- swojej liście, nie musząc ponownie
ków w pliku tekstowym, którego loka- ry, poza wcześniej wspomnianym przechodzić autentyfikacji. Atakują-
lizacja jest znana a priori, gdyż zale- Bluediving, możemy wykorzystać cy może połączyć się z ofiarą dopó-
ży od systemu. Na przykład, komór- BloooverII (http://trifinite.org/trifinite_ ki ta nie wykasuje także tego nowe-
ki Ericsson i Sony-Ericsson pierw- stuff_bloooverii.html). Pozwala on go klucza.
szej generacji zapisują książkę tele- na przeprowadzenie także innych
foniczną w telecom/pb.vfc, a kalen- ataków, m.in. Helomoto, w gruncie Bluedump
darz w telecom/calc.vcs. rzeczy będącego połączeniem ata- Wykorzystując sniffer Bluetooth,
W celu dokonania tego typu ków Bluesnarf i Bluebug: przerywa można wykonać dumping pinów i nie-
ataku wystarczy jakikolwiek client otrzymywanie Vcard i, za sprawą których kluczy podczas sesji Blueto-
OBEX. Oto niektóre: błędu implementacyjnego, urządze- oth. Atakujący musi znać BD_ADDR
nie pozostaje w trybie trusted. Cie- jakiejś pary urządzeń będących w
" obexftp (http://openobex.triq.net/ kawostka, nazwa wywodzi się z fak- pairingu; w tym momencie atakujący
obexftp/installing), tu, że jest to słabość typowa dla sys- spoofuje (wciąż poprzez Bluediving,
" obex-commander temów Motorola. jeśli to możliwe) BD_ADDR jednego
(http://intradarma.com/ z dwóch urządzeń i łączy się z dru-
OBEXCommander.html). Bluesmack gim. Kiedy ofiara przechodzi do au-
Jest to atak typu DOS, i nie jest ni- tentyfikacji, zważywszy że atakują-
Pierwszy z tych dwóch clientów jest czym innym jak Ping of Death w od- cy nie posiada klucza połączeniowe-
pod Linuksa, drugi pod Windows. niesieniu do Bluetooth. Polega na go, jego urządzenie odpowiada po-
zwiększaniu ponad miarę echo requ- przez 'HCI_Link_Key _Request_Ne-
Bluesnarf++ est (L2CAP ping) mającego być wy- gative_Reply' co, w niektórych przy-
Bardzo podobny do Bluesnarf, lecz słanym w kierunku urządzenia ofia- padkach, prowadzi do wykasowania
pozwala na pełen dostęp w zakresie ry. Niektóre terminale odbierają da- klucza połączeniowego na urządze-
odczytu/zapisu do systemu plików, ne lecz jednocześnie generują błędy niu ofiary i do kolejnego pairingu z
bez konieczności pairingu. blokując zupełnie komórkę (niektóre atakującym.
Tu znajdziecie narzędzie do reali- Compaq iPaq, na przykład).
zacji tego rodzaju ataku: Możemy przeprowadzić nasze Bluechop
próby bądz przy pomocy niezwykle Atak pozwalający obalić całą pico-
" Bluediving (http://bluediving.sour- użytecznego szwajcarskiego scyzo- net. Urządzenie peryferyjne wzglę-
ceforge.net/) ryka Bluediving bądz ściągając je- dem piconet spoofuje urządzenie
www.hakin9.org
6 hakin9 Nr 3/2007
Atak na Bluettoth
Rys. 4. Uruchamiamy BloooverII Rys. 5. Find devices Rys. 6a. Ustawianie głównych
parametrów
slave spoza piconetu a następnie pojazdu. Jako narzędzie do przepro-
kontaktuje się z masterem tejże pi- wadzenia ataku carwhisperer (http: ka rozprzestrzeniania się niektórych
conet. Ponieważ protokół przewiduje //trifinite.org/trifinite_stuff_carwhi- robaków. Przykładem jest Inqtana.A,
że slave przystąpi do piconetu sam sperer.html) mogą posłużyć niektóre robak proof-of-concept wykorzystu-
w następstwie żądania mastera, ten spośród narzędzi dotychczas przez jący do rozprzestrzeniania się tech-
gubi się i powoduje upadek picone- nas poznanych, ewentualnie odpo- nologię Bluetooth systemów Mac OS
tu. Także do tego ataku jest przydat- wiednio zmodyfikowanych. Technika X 10.4 (Tiger). Ten robak kopiuje się
ne narzędzie do spoofingu jak Blu- ataku opiera się na fakcie, że urzą- na wszystkich urządzeniach widocz-
ediving. To prawdopodobnie jedy- dzenia peryferyjne Bluetooth we- nych poprzez funkcjonalności OBEX
ny atak na protokół Bluetooth który wnątrz pojazdu posiadają gotowe i się samowykonuje przy kolejnym
nie wykorzystuje złych implementa- klucze, często wręcz znane ponie- uruchomieniu systemu.
cji stosu Bluetooth, ponieważ ude- waż standardowe ('0000' lub '1234' Istnieją także inne robaki (z któ-
rza w urządzenia wszystkich produ- w przypadku wielu słuchawek i/lub rych wielu można uniknąć przy odro-
centów. zestawów głośnomówiących). Efek- binie ostrożności) jak Cabir, Mabir i
tem ataku jest rejestrowanie rozmów inne.
Car whisperer ofiary bądz transmisja audio fake
Atak na urządzenie peryferyjne Blu- (fałszywe wiadomości o natężeniu Od teorii do praktyki
etooth audio wewnątrz samochodu. ruchu, itp.). Zobaczymy teraz jak wprowadzić w
Grupa trifinite.org przeprowadziła czyn część tego wszystkiego co wi-
go aby wyczulić producentów aut na Worm dzieliśmy na poprzednich stronach.
kwestie bezpieczeństwa urządzeń Kolejnym problemem Bluetooth jest Spośród rozmaitych egzaminowa-
peryferyjnych Bluetooth wewnątrz fakt jego wykorzystywania jako środ- nych programów użyjemy BloooverII
(http://trifinite.org/trifinite_stuff_blo-
Rys. 6b. Ustawianie głównych Rys. 6c. Ustawianie głównych
parametrów parametrów Rys. 7. Atak Bluebug
www.hakin9.org hakin9 Nr 3/2007 7
Atak
Rys. 8. Konfiguracje do ataku Bluebug Rys. 9a. Przebieg ataku Bluebug
Rys 9b. Przebieg ataku Bluebug
ooverii.html). Ataki, których może- wsze jednego tylko typu ataku z Znalazłszy urządzenia zabiera-
my spróbować to: bluebug, helomo- jedną tylko funkcją, w przeciw- my się za ustawienie głównych pa-
to, bluesnarf, bluesnarf++ (tylko przy nym razie nasza komórka mogła- rametrów (pamiętajcie, że należy je
zastosowaniu wersji Breeeder), wy- by się zawiesić. Inna uwaga: nie- ponownie ustawić po każdym uru-
syłanie malformed objects poprzez kiedy program, w czasie ataku, sy- chomieniu Blooover 2), jak zostało to
OBEX. gnalizuje nazwę komórki atakującej przedstawione na Rysunku 6.
BloooverII jest programem do (tak na przykład zdarza się w przy- Ustawiamy je dokładnie w ta-
urządzeń przenośnych wykorzystu- padku Nokii 6310i). Tak więc, jeśli ki sposób jak na Rysunku 6. Teraz
jących MIDP 2.0 (Mobile Informa- robicie kawał przyjacielowi, zmień- spróbujemy kilku ataków. Najpierw
tion Device Profile) i Bluetooth API cie nazwę waszego telefonu ko- Bluebug (zobacz Rysunek 7).
JSR-82. mórkowego w taki sposób aby nie Na zrzutce ekranowej (Rys. 8)
Najpierw instalujemy Blooove- wskazywała bezpośrednio na was. znajdują się konfiguracje do ataku
rII (najlepiej wersję Breeeder, któ- Wreszcie, jeśli atak nie uda się za Bluebug. Ustawmy je tak jak na ry-
ra jak widzieliśmy umożliwia także pierwszym razem, nie poddawajcie sunku. Teraz zdecydujmy co chce-
atak bluesnarf++). Przenosimy ją się i spróbujcie jeszcze raz. Niekie- my osiągnąć poprzez ten rodzaj ata-
na naszą komórkę za pomocą IR- dy trzeba powtórzyć atak kilkakrot- ku (Rys. 9).
DA, USB lub samego Bluetooth a nie, zanim zadziała poprawnie. Po kolei (Rysunki 9a-e), zosta-
następnie postępujemy zgodnie z Teraz możemy uruchomić Blo- ły zilustrowane ataki pozwalają-
procedurą instalacyjną. Aktywuje- ooverII i naszym oczom ukaże się ta- ce na odczytanie książki telefonicz-
my Bluetooth na naszym telefonie ki oto widok (Rys. 4). nej, SMS-ów, na pisanie w książ-
komórkowym. Próbujemy wykryć urządzenia ce telefonicznej, na przekierowy-
Ważna uwaga: jeśli nie zosta- peryferyjne za pomocą Find devi- wanie połączeń telefonicznych
ło inaczej wskazane próbujmy za- ces (Rys. 5). otrzymanych i na inicjalizowanie
Rys. 9c. Przebieg ataku Bluebug Rys. 9d. Przebieg ataku Bluebug Rys. 9e. Przebieg ataku Bluebug
www.hakin9.org
8 hakin9 Nr 3/2007
Atak na Bluettoth
nowych. W tym momencie należy nie, że nie został pomyślany w ce- wać tę funkcję wykorzystując edy-
coś doprecyzować. BloooverII nie lu wyrządzania szkód. Tak więc je- tor szesnastkowy (typu HHD Free
jest programemem dla hackerów, dyne połączenie które można zreali- Hex Editor, można go ściągnąć tu:
przeciwnie, jest to POC (Proof of zować to połączenie do darmowych http://www.hhdsoftware.com/free-
Concept). Należy poczynić założe- numerów. Teraz można zmodyfiko- hex-editor.html). W praktyce wystar-
czy odpowiednio zmodyfikować plik
e.class znajdujący się wewnątrz Blo-
oover2b.jar. Po otwarciu archiwum
Terminologia
przy pomocy dowolnego programu
" POF (Proof of Concept): wykorzystywany w środowisku badawczym, jest to prak-
do obsługi skompresowanych archi-
tyczny eksperyment potwierdzający teorię przedstawioną w ramach traktatu lub ar-
wów (WinRAR bardzo dobrze się do
tykułu,
tego nadaje), e.class znajduje się w
" Pentest (Penetration Test): są to testy przeprowadzane w odniesieniu do wszelkie-
org\trifinite\bloover2b. Oczywiście
go rodzaju sieci (a więc także i Bluetooth) w celu sprawdzenia ich rzeczywistego
informacje te nie zostają podane w
bezpieczeństwa,
celu popełniania przestępstw, tak
" AT: skrót od Attention, są to polecenia pozwalające na pełne przejęcie kontroli nad
więc zwracam uwagę na użytek ja-
telefonem komórkowym,
" DOS (Denial of Service): to zmasowany atak na usługę stawiający sobie za cel wy- ki z nich zrobicie.
łącznie jej crash i uczynienie jej nieosiągalną, Postępowanie związane z prze-
" Ping of Death: ping śmierci bierze swą nazwę od dawnej słabości Windows 95,
prowadzeniem innych ataków jest w
który zawieszał się otrzymawszy polecenie ICMP (ping właśnie) zle sformatowa-
zasadzie podobne, tak więc możecie
ne,
spróbować ich sami. Chciałbym tylko
" Piconet: sieć Bluetooth w formie gwiazdy, w której jedno urządzenie zachowuje się
dodać, że niekiedy przy urachamia-
jako master inne natomiast jako slave. To samo urządzenie może być masterem
niu ataku Helomoto BloooverII bloku-
jednej sieci i jednocześnie slave innej sieci. Połączenie wielu piconetów nazywa
je się. W takim przypadku powtarza-
się scatternet.
my operację uruchamiając Helomo-
to razem z Bluebug.
Podsumowanie
W Sieci
Jak widzieliśmy w tym artykule,
" http://www.Bluetooth.com/ - oficjalna strona projektu,
istnieje wiele różnorodnych tech-
" http://Bluetooth.interfree.it/ - strona na której wyjaśnia się w prosty sposób Blueto-
nik ataku na protokół, bazują one
oth,
" http://www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/ - atak przeciwko E22, w znacznej mierze na naiwno-
" http://trifinite.org/ - strona grupy trifinite,
ści użytkowników lub na złych im-
" http://www.securiteam.com/tools/5JP0I1FAAE.html - zródło bluefang,
plementacjach stosu Bluetooth ze
" http://www.betaversion.net/btdsd/ - Bluetooth Device Security Database,
strony poszczególnych producen-
" http://www.niksula.hut.fi/~jiitv/bluesec.html  pogłębione bezpieczństwo Blueto-
tów. Oczywiście, wszystko cze-
oth,
go nauczyliśmy się w tym artykule
" http://ftp.vub.ac.be/~sijansse/2e%20lic/BT/Tools/Tools.html  narzędzia bezpie-
powinno służyć pomocą w obronie
czeństwa Bluetooth,
naszej prywatności, a nie w celu
" http://it.wikipedia.org/wiki/Bluetooth  strony wikipedii poświęcone Bluetooth,
naruszania tejże w odniesieniu do
" http://www.remote-exploit.org/index.php/BlueTooth  strona z bardzo dobrymi na-
osób trzecich! Pamiętajmy, roztrop-
rzędziami i informacjami o słabościach Bluetooth.
ne zachowanie jest najlepszą obro-
ną przeciwko zagrożeniom płyną-
cym z każdej sieci, także z sieci
O autorze
Bluetooth. Wykaz wszystkich tele-
W Sienie ukończył Inżynierię Informatyczną, od 2001 wykonuje wolny zawód. Zajmu-
fonów komórkowych posiadających
je się kształceniem, systemami i bezpieczeństwem w środowisku korporacyjnym. Jest
zainstalowane Java Bluetooth API
administratorem systemu, konsultantem w kwestiach prywatności, odpowiedzialnym
znajduje się tu:
za bezpieczeństwo i systemy informatyczne wielu włoskich firm; poza tym pracuje ja-
ht t p : / / w w w.j2m ep o lish.or g /
ko wykładowca dla kilku spółek zajmujących się kształceniem, m.in Elea-De Agosti-
devices/devices-btapi.html
ni i Percorsi, i za ich sprawą zajmuje się kształceniem przedstawicieli najważniejszych
Szczególność tego oprogramo-
podmiotów w środowisku włoskim, jak Ministerstwo Sprawiedliwości, IBM, Alitalia i
wania polega na tym, że było pierw-
in. Przeprowadził kilka konferencji na temat e-government dla władz Reggio Calabria
szym oprogramowaniem pozwala-
oraz posiada najprzeróżniejsze certyfikaty informatyczne, przeważnie na polu syste-
jącym na ataki, wcześniej były one
mów i bezpieczeństwa, lecz także na polu Office Automation.
W wolnym czasie jest trenerem i międzynarodowym arbitrem tenisowym. możliwe tylko przy wykorzystaniu
Kontakt z autorem: www.ugolopez.it
laptopa. l
www.hakin9.org hakin9 Nr 3/2007 9


Wyszukiwarka