Atak na Bluetooth
Atak
Ugo Lopez
stopień trudności
Bluetooth jest technologią, która powstała by ułatwić nasze
zdolności komunikowania się. Okazał się jednak także
technologią nadającą się do kradzieży danych. W tym artykule
przedstawimy Wam jak wykorzystać jego słabe punkty.
tóż nie pamięta czasów, nie tak znowu malże we wszystkich urządzeniach przeno-
odległych, kiedy to telefon komórkowy śnych (telefony komórkowe, słuchawki, nawi-
Kbył postrzegany z pewną dozą nieufno- gatory satelitarne, drukarki, itd.). Technologia
ści bądz
zazdrości? Uznawany pierwotnie bar- ta pozwala tworzyć prawdziwe PAN (Personal
dziej za symbol statusu niż za narzędzie komu- Area Network) w sposób umożliwiający wza-
nikacji, telefon komórkowy stanowi już od dłuż- jemne korzystanie z zasobów pomiędzy urzą-
szego czasu nieodłączny element codzienne- dzeniami, nie koniecznie jednakowymi, czyniąc
go życia każdego z nas. maksymalnie prostym wpółdziałanie z użyt-
Technologia Bluetooth, powstała by poko- kownikiem.
nać ograniczenia portów na podczerwień IRDA Aktualnie istnieją 2 standardy stosowane w
(Infra Red Device Adapter) i FastIRDA, gdzie urządzeniach peryferyjnych obecnych na ryn-
urządzenia peryferyjne musiały być wzajemnie ku:
widoczne i oferowały niskie prędkości przesy-
łowe, rozwija się ponad wszelkie przewidywa-
Z artykułu dowiesz się...
nia. Jak w przypadku każdej rzeczy na polu in-
formatycznym, gdy postęp dokonuje się w spo-
" jakie są słabe punkty niektórych urządzeń Blu-
sób tak gwałtowny, bezpieczeństwo pozostaje
etooth i jak je wykorzystać.
daleko w tyle. Rzeczywiście, liczne są słabości
obecne w Bluetooth. Lecz po kolei, najpierw
Co powinieneś wiedzieć...
postarajmy się opisać w miarę szczegółowo tę
technologię.
" znajomość na poziomie użytkownika systemów
Windows,
Technologia Bluetooth
" znajomość na poziomie użytkownika systemów
Bluetooth powstał w 2003 roku. Z inicjatywy
Linux, zastosowanie powłoki shell,
wielu producentów stanowiących konsorcjum
" znajomość na poziomie użytkownika zaawan-
SIG (Ericsson, Nokia, Microsoft, Intel, Motoro-
sowanego mobilnych urządzeń Bluetooth.
la, Apple i innych), Bluetooth jest obecny nie-
hakin9 Nr 3/2007
2 www.hakin9.org
Atak na Bluettoth
" Core Specification 1.2  5 listo- mi standardami, zapewnia następu- " Host protocols: implementowane
pada 2003, jące usprawnienia: z motywów bez- na poziomie oprogramowania ko-
" Core Specification 2.0 + EDR pieczeństwa unika przeskakiwania munikują się, poprzez API, z apli-
 15 paz
dziernika 2004. pomiędzy kanałami. Bezpieczeń- kacjami; obsługują funkcje wyż-
stwo zostaje zapewnione poprzez szego poziomu,
Oprócz nich istnieją również standar- algorytmy kryptograficzne, obsługu- " Controller protocols: obsługują
dy już zaniechane. A dokładniej: je zarówno multicast jak i broadcast, moduł radiowy.
Bluetooth 1.0 i 1.0B: wersje 1.0 i zwiększa szybkość transmisji do 2,1
1.0B nęka wiele problemów, przede Mbit/s (3 we wspomnianej wcze- Oba składniki komunikują się ze sobą
wszystkim związanych ze współdzia- śniej wersji z 15 paz
dziernika 2004), poprzez HCI (Host Controller Interfa-
łaniem produktów odmiennych kon- wprowadza usługę obsługi jakości. ce), który jest odpowiedzialny za de-
struktorów. Pomiędzy tymi dwoma Wprowadza także protokół umożli- finiowanie zbioru wiadomości i zbioru
standardami dokonano zmian w pro- wiający dostęp do urządzeń współ- sposobów ich transportowania.
cesie weryfikacji adresu fizycznego dzielonych, redukuje zauważalnie Teraz przyjrzyjmy się bardziej
przypisanego każdemu urządzeniu: czasy odpowiedzi i zmniejsza o po- szczegółowo stosowi protokołów
stara metoda uniemożliwiła pozosta- łowę wykorzystywaną moc. (Rys. 2).
wanie anonimowym podczas komu- Jest już w fazie przygotowania no- Jest to schemat ostateczny stosu
nikacji, stąd jakiś złośliwy użytkow- wa wersja Bluetooth (o nazwie Lis- protokołów. W celu zapewnienia wy-
nik wyposażony w skaner częstotliwo- bon) przewidująca: Atomic Encryption miany z innymi protokołami jego za-
ści mógł przechwycić ewentualne po- Chance: okresowa zmiana hasła dla sadniczymi składnikami są:
ufne informacje. Wersja B przyniosła połączeń kodowanych, Extended In-
także zmiany związane z obsługą śro- quiry Response: dostarcza więcej in- " L2CAP (Logical Link Control and
dowiska Bluetooth usprawniając moż- formacji o urządzeniach usiłujących Adaptation Protocol): kapsuł-
liwość współdziałania, ustanowić połączenie, faworyzując kuje pakiety i zapewnia mecha-
Bluetooth 1.1: naprawia wiele błę- tym samym filtering urządzeń niepew- nizm abstrakcyjny przypominają-
dów, które pojawiły się w wersji 1.0B. nych, Sniff Subrating: system redukcji cy koncepcję portów w TCP/IP,
Pozwala na komunikację przy wyko- zużycia w stanie sniffingu, poprawa " SDP (Service Discovery Proto-
rzystaniu kanałów niekodowanych. QoS (Quality of Service), Simple Pa- col): upublicznia usługi oferowa-
Obecnie standard 1.2, kompaty- iring: poprawa kontroli strumieni bitów ne przez poszczególne urządze-
bilny z wersją 1.1, przewiduje: Ada- poprzez mechanizmy parowania. nia i wyszukuje usługi oferowane
ptive Frequency Hopping (AFH): ta Istnieje także kolejna wersja (o przez urządzenia z którymi chce
technika zapewnia większą odpor- nazwie Seattle) przewidująca wpro- się komunikować.
ność na interferencje elektromagne- wadzenie jako znaczącą innowację
tyczne, gdyż unika stosowania kana- Ultra Wide Band (UWB), co pozwoli Spróbujmy teraz zaprezentować dia-
łów podatnych na silne interferen- na znaczące zwiększenie prędkości. gram funkcjonalny protokołu Blueto-
cje, zwiększa szybkość transmisji, Wreszcie, urządzenia Bluetooth oth (Rys. 3).
extended Synchronous Connections można podzielić na 3 klasy (zobacz W skrócie, można wyróżnić nastę-
(eSCO): oferuje tryb transmisji audio Tabela 1). pujące stany: Standby: oczekiwanie na
wysokiej jakości, przesyłając ponow- W celu zapoznania się z innymi połączenie, Inquiry: wykrywanie urzą-
nie dane w razie ich utraty. Został szczegółami tych standardów moż- dzeń znajdujących się w pobliżu, Page:
także wprowadzony czujnik jakości na odwiedzić oficjalną stronę po- próba połączenia z urządzeniem, Con-
sygnału. Posiada interfejs pozwala- święconą technologii Bluetooth i nected: urządzenie aktywne w sieci,
jący na obsługę aż trzech UART ściągnąć dokumenty specyfikacji Transmit data: dane w trakcie transmi-
(standard symulujący obecność po- (http://www.Bluetooth.com). sji, Park/Hold: tryb niskiego zużycia.
łączenia kablowego) i na dostęp do Rzućmy teraz okiem jak funkcjo- Miejmy w pamięci ten diagram
informacji związanych z synchroni- nuje, zgrubsza, stos protokołów Blu- funkcjonalny, ponieważ przyda się
zacją transmisji Bluetooth. etooth (Rys. 1) nam do zrozumienia niektórych ty-
Natomiast standard 2.0, kompa- W gruncie rzeczy możemy wy- pów ataków.
tybilny ze wszystkimi wcześniejszy- różnić w nim dwie części:
Zasady bezpieczeństwa
Tabela 1. Trzy klasy Bluetooth Rzuciwszy okiem na specyfikacje
można zauważyć, że te przewidują
Klasa Moc(mW) Moc (dBm) Odległo-
trzy rodzaje (nie)bezpieczeństwa:
ść(Przybliżona)
Klasa 1 100 mW 20 dBm ~ 100 metrów
" mode 1: brak bezpieczeństwa,
Klasa 2 2,5 mW 4 dBm ~ 10 metrów
" mode 2: ochrona na poziomie
Klasa 3 1 mW 0 dBm ~ 1 metr
usługa/aplikacja,
www.hakin9.org hakin9 Nr 3/2007 3
Atak
" mode 3: ochrona na poziomie ruch na wszystkich 79 kanałach wy-
urządzenia. korzystując odpowiednie narzędzie,
a następnie, offline, testuje się roz-
Applicazione
Te trzy rodzaje są implementowane maite klucze połączeniowe wygene-
w ramach czterech poziomów: pa- rowane przy zastosowaniu rozma-
OS API
iring: zostaje aktywowany pomiędzy itych pinów. Taki atak jest dość kosz-
Host protocols
dwoma urządzeniami, które chcą ak- towny za sprawą potrzebnego oprzy-
tywować procedury bezpieczeństwa rządowania.
HCI
i kontaktują się pomiędzy sobą po Aby bronić się przed tego typu
Controller
raz pierwszy; w praktyce, użytkow- atakiem jest dobrą normą stosowa-
protocols
nik wprowadza pin (identyczny) na nie długich i trudnych do odgadnięcia
obu urządzeniach, a z kolei każde z pinów oraz wykonywanie pairingu w
nich generuje pseudolosową liczbę; miejscach uznawanych za bezpiecz-
w tym momencie otrzymuje się sha- ne. Jednakże i bezpieczeństwo osią-
Rys. 1. Funkcjonowanie stosu
red secret (sekret współdzielony), gnięte w taki sposób jest względne,
protokołów Bluetooth
który jest wykorzystywany do komu- gdyż, jak zostało to udowodnione,
nikacji, autentyfikacja: tzw. mecha- dzięki prostej modyfikacji Bluetooth zaliczam się do grona pierwszych
nizm challenge (wyzwanie); w prak- dongle można dokonać ataku nawet uzależnionych od urządzeń przeno-
tyce bazuje na liczbie pseudolosowej z odległości przekraczającej 1,5 km. śnych. Mówiąc szczerze, moja cie-
(challenge) i na shared secret, kody- Wspaniały przykład daje nam grupa kawość została obudzona lekturą
fikacja: ma miejsce, ewentualnie, po trifinite, której URL został zamiesz- artykułu opublikowanego w jakimś
autentyfikacji, autoryzacja: określa czony w sekcji linków tego artykułu. dzienniku noszącego tytuł Kiedy bo-
czy żądanie urządzenia ma zostać Poza tym istnieje szereg słabości li ząb..., który traktował o toothingu,
zaspokojone czy też nie; każda apli- na poziomie aplikacji, o których bę- czyli o tym jak wykorzystując proto-
kacja może posiadać listę urządzeń, dziemy mówić w dalszej części tego kół Bluetooth można wysyłać wiado-
które mogą mieć do niej dostęp (tru- artykułu. Te zależą bardziej od spe- mości do osób kompletnie nam nie-
sted device), jeśli dane urządzenie cyficznych implementacji zastoso- znanych, a posiadających Bluetooth
nie znajduje się na tej liście wymaga- wanych przez producentów, niż od device włączony i dyspozycyjny, w
ne jest potwierdzenie ze strony użyt- bugów w projektowaniu protokołów. promieniu kilku metrów. Początkowo
kownika. najbardziej uderzył mnie aspekt spo-
W ramach tych poziomów stoso- Techniki ataku łeczny tego artykułu, lecz po chwi-
wanych jest pięć głównych elemen- na Bluetooth li refleksji otworzyły się przede mną
tów: adres BD_ADDR: adres fizycz- Mimo że jestem pasjonatem niemal- scenariusze znacznie bardziej roz-
ny poszczególnego urządzenia (swe- że wszystkiego co przyniosła tech- ległe, w których mało ostrożni użyt-
go rodzaju MAC Address), klucz ko- nologia w ciągu minionych lat, nie kownicy są oszukiwani na tysiąc
dujący (8-128 bit), klucz połączenia
(128 bit), liczby pseudolosowe (128
vCard/vCal WAE
bit), algorytmy służące do genero-
OBEX WAP
wania kluczy (E0, E21, E22, itd.).
AT-
Jak widzicie, łatwo jest odnalez
ć
TCS BIN SDP
Commands
wszystkie te elementy na czterech
UDP TCP
poziomach.
IP
Teraz zobaczymy gdzie znajdu-
ją się słabości tego mechanizmu.
PPP
Pierwsza i najbardziej oczywista
tkwi w mechanizmie pairingu, któ-
RFCOMM
ry, jak zostało to opisane, przewidu-
Audio
je wprowadzenie pinu. Jeśli pin zo-
L2CAP
stał określony w samym urządzeniu
można wręcz przeprowadzić atak
Host Controller Interface
LMP
online typu brute-force (tj. bezpo-
średnio przeciwko urządzeniu ofia-
Baseband
ry). Natomiast w przypadku słabe-
go pinu, można dokonać ataku of-
Bluetooth Radio
fline (nie bezpośrednio przeciwko
urządzeniu ofiary), tzw. ataku prze-
Rys. 2. Ostateczny schemat stosu protokołów
ciwko E22: w skrócie,  rejestruje się
www.hakin9.org
4 hakin9 Nr 3/2007
Atak na Bluettoth
i jeden sposobów przez jakiegoś jest pod wieloma względami bardzo nie zostają całkowicie dezaktywowa-
przygodnego maniaka. To właśnie podobny do ataku określanego mia- ne, lecz jedynie odrzucane są żąda-
od tego momentu zacząłem zgłębiać nem phishing. nia kierowane do SDP. Poza tym, jak
dokumentacje związane z rozmaity- Poza tą empiryczną procedurą, już powiedzieliśmy, każde urządze-
mi typologiami ataku i obrony. Spró- istnieje wiele darmowych narzędzi, nie posiada swój BD_ADDR: skła-
bujmy je wspólnie przeanalizować. które także pozwalają na dokonanie da się z 48 bitów, z których pierw-
tego ataku. sze 24 zależą wyłącznie od produ-
Bluejacking Oto niektóre z nich: Freejack (http: centa (swego rodzaju vendor code),
Jak wcześniej wspomniałem, zacie- //www.bluejackq.com/freejack.jar), są więc stałe. Z pozostałych jedynie
kawiła mnie możliwość darmowe- SMAN (http://www.bluejackq.com/ ostatnich 6 bitów identyfikują w spo-
go komunikowania się za pośrednic- sman13a-eng.zip), Mobiluck (http: sób jednoznaczny urządzenie, jako
twem systemu wiadomości z osoba- //www.mobiluck.com/download-Blu- że służą do identyfikacji typu urzą-
mi kompletnie obcymi, które jednak etooth-software-all-phones-en.php), dzenia (komórka, dongle, słuchaw-
posiadają aktywne urządzenie Blu- Easyjack (http://www.getjar.com/ ka, itd.). Dlatego nie jest wcale rze-
etooth w promieniu kilku metrów. products/2758/EasyJack) czą trudną wykrycie urządzenia Blu-
Jak to możliwe? Trzeba pamiętać, Internet pełen jest narzędzi przy- etooth, także w trybie ukrytym. Rze-
że w fazie discovery innych urzą- stosowanych do tego celu, tu zosta- czywiście, z punktu widzenia obli-
dzeń, zostaje przekazana nazwa ły wymienione tylko niektóre z nich. czeniowego, można odnalez
ć bity
identyfikująca urządzenia. Nie jest Trzeba pamiętać, że rodzaj narzę- zmienne w czasie niewiele dłuższym
ona niczym innym jak polem teksto- dzia zależy także od stosowanego niż jedna godzina.
wym. Wyobraz
my sobie teraz, że po- telefonu komórkowego. Narzędzia służące do takiej ope-
le tekstowe zawiera coś w rodzaju: racji, w chwili redagowania niniejsze-
Problemy sieciowe, proszę wybierz Discovery mode abuse go artykułu, są dostępne tylko pod
1234. Oczywiście 1234 to pin który W przypadku większości urządzeń Linuksem. Są to:
uprzednio wystukaliśmy na naszym dostępnych na rynku możliwe jest,
urządzeniu. Nieświadomy użytkow- po włączeniu, ustalenie czy usłu- " Redfang (http://www.securitywir
nik wystuka pin i tym samym do- ga Bluetooth ma być widoczna czy eless.info/Downloads-index-req-
pełni pairingu. A my dokonamy ata- ukryta. To co się wówczas dzieje w getit-lid-41.html),
ku bluejacking (termin ten począt- trybie ukrytym polega na niczym in- " Bluesniff (http://
kowo był wykorzystywany na okre- nym jak na odrzucaniu przez urzą- bluesniff.shmoo.com/bluesniff-
ślenie wszystkich ataków na proto- dzenie wszelkich żądań inquiry po- 0.1.tar.gz).
kół Bluetooth). Ten typ ataku, mają- chodzących w broadcast od innych
cy swe z
ródło w inżynierii socjalnej, aparatów Bluetooth. Tak więc usługi Redfang jest narzędziem linii pole-
ceń zrealizowanym przez @Stake,
aktualnie stanowiącym część Sy-
manteca, i stanowi POF (Proof Of
Unconnected
Concept) techniki ataku już opisa-
Standby
Standby
nej. Bluesniff to front-end graficzny
do Redfang.
Ttypical=5s
Blueprinting
Jest rodzajem nmap w odniesieniu
Connecting
Inquiry Page
States
do Bluetooth. Technika ta pozwa-
la na uzyskanie informacji technicz-
nych o badanym urządzeniu, wyko-
Ttypical=0.6s
nując matching uzyskanych charak-
Transmit
terystyk z tymi obecnymi w uaktu-
Active Connected
data
States AMA alnionej bazie danych. Także w tym
AMA
przypadku istnieje narzędzie pod Li-
Ttypical=2s Ttypical=2s
nuksa obsługiwane z linii poleceń:
" Blueprint (http://trifinite.org/
Downloads/bp_v01-3.zip)
PARK HOLD
Releases
Low Power
PMA AMA
AMA
States
Address
Także Redfang, przedstawiony we
wcześniejszym paragrafie, zajmuje
Rys. 3. Diagram funkcjonalny protokołu Bluetooth
się blueprintingiem.
www.hakin9.org hakin9 Nr 3/2007 5
Detach
Atak
Bluesnarf To narzędzie jest prawdziwą suite, dynie biblioteki Bluetooth dla Linux
Jest atakiem wywodzącym się z wa- jest niezmiernie użyteczne w celu Bluez (http://www.bluez.org/down-
dliwej implementacji specyfikacji wykonania bardzo złożonych pen- load.html, wszelako niezbędne tak-
wielu telefonów komórkowych (licz- testów. Na stronie znajduje się cały że dla Bluediving) i formatując od-
ne modele Ericsson, Sony-Ericsson, szereg innych, na prawdę użytecz- powiednio polecenie l2ping. W przy-
Nokia, Siemens, Motorola). Z bar- nych narzędzi. padku wielu modeli iPaq wystarczy
dziej szczegółowym wykazem urzą- napisać:
dzeń peryferyjnych w to zamiesza- Bluebug
nych można zapoznać się tu: http: Także ta słabość wynika ze złej im- l2ping -s
//www.thebunker.net/security/Blu- plementacji niektórych specyfikacji i z większym lub równym 600.
etooth.htm. jest obecna tylko w niektórych mo-
Lecz na czym polega ten atak? delach przenośnych urządzeń pe- Bluebump
Na niczym innym jak na łączeniu się ryferyjnych. W odróżnieniu od Blu- Jest to atak inżynierii socjalnej. Ata-
z usługą OBEX Push (często wyko- esnarf i Bluesnarf++, pozwala na kujący ustanawia połączenie trusted
rzystywana w celu wymiany elektro- wykonanie poleceń AT na urządze- z jakimś urządzeniem, na przykład
nicznych wizytówek). Wadliwa imple- niu ofiary. Tym razem problem doty- wysyłając Vcard i zmuszając odbior-
mentacja w niektórych telefonach ko- czy usług na kanale RFCOMM nie cę do autentyfikacji (Mode-3-Abu-
mórkowych pozwala, poza otrzymy- zgłoszonych przez SDP, lecz mimo se). Atakujący podtrzymuje otwarte
waniem wizytówek, także na OBEX to wykorzystywanych. połączenie i mówi ofierze by ta prze-
Get, czyli na żądanie pliku. Tzn., je- W praktyce, atakujący może uzy- rwała połączenie ze swoim urządze-
śli wiem że na komórce ofiary jest skać pełen dostęp do telefonu ko- niem peryferyjnym. Oczywiście ofia-
obecny plik chcęgo.jar, to mogę go mórkowego, zwłaszcza może: te- ra nie jest świadoma że połączenie
ściągnąć przeskakując fazę autenty- lefonować, wysyłać, czytać i elimi- jest jeszcze aktywne. W tym mo-
fikacji. Często nie trzeba nawet znać nować SMS/MMS, czytać i pisać w mencie atakujący prosi by ponownie
ścieżki pliku w systemie, ponieważ książce telefonicznej, zmieniać para- został wygenerowany klucz połącze-
wiele aparatów zapamiętuje infor- metry konfiguracyjne. niowy. Tym samym posiada ofiarę na
macje odnoszące się do systemu pli- Aby wykazać istnienie tej dziu- swojej liście, nie musząc ponownie
ków w pliku tekstowym, którego loka- ry, poza wcześniej wspomnianym przechodzić autentyfikacji. Atakują-
lizacja jest znana a priori, gdyż zale- Bluediving, możemy wykorzystać cy może połączyć się z ofiarą dopó-
ży od systemu. Na przykład, komór- BloooverII (http://trifinite.org/trifinite_ ki ta nie wykasuje także tego nowe-
ki Ericsson i Sony-Ericsson pierw- stuff_bloooverii.html). Pozwala on go klucza.
szej generacji zapisują książkę tele- na przeprowadzenie także innych
foniczną w telecom/pb.vfc, a kalen- ataków, m.in. Helomoto, w gruncie Bluedump
darz w telecom/calc.vcs. rzeczy będącego połączeniem ata- Wykorzystując sniffer Bluetooth,
W celu dokonania tego typu ków Bluesnarf i Bluebug: przerywa można wykonać dumping pinów i nie-
ataku wystarczy jakikolwiek client otrzymywanie Vcard i, za sprawą których kluczy podczas sesji Blueto-
OBEX. Oto niektóre: błędu implementacyjnego, urządze- oth. Atakujący musi znać BD_ADDR
nie pozostaje w trybie trusted. Cie- jakiejś pary urządzeń będących w
" obexftp (http://openobex.triq.net/ kawostka, nazwa wywodzi się z fak- pairingu; w tym momencie atakujący
obexftp/installing), tu, że jest to słabość typowa dla sys- spoofuje (wciąż poprzez Bluediving,
" obex-commander temów Motorola. jeśli to możliwe) BD_ADDR jednego
(http://intradarma.com/ z dwóch urządzeń i łączy się z dru-
OBEXCommander.html). Bluesmack gim. Kiedy ofiara przechodzi do au-
Jest to atak typu DOS, i nie jest ni- tentyfikacji, zważywszy że atakują-
Pierwszy z tych dwóch clientów jest czym innym jak Ping of Death w od- cy nie posiada klucza połączeniowe-
pod Linuksa, drugi pod Windows. niesieniu do Bluetooth. Polega na go, jego urządzenie odpowiada po-
zwiększaniu ponad miarę echo requ- przez 'HCI_Link_Key _Request_Ne-
Bluesnarf++ est (L2CAP ping) mającego być wy- gative_Reply' co, w niektórych przy-
Bardzo podobny do Bluesnarf, lecz słanym w kierunku urządzenia ofia- padkach, prowadzi do wykasowania
pozwala na pełen dostęp w zakresie ry. Niektóre terminale odbierają da- klucza połączeniowego na urządze-
odczytu/zapisu do systemu plików, ne lecz jednocześnie generują błędy niu ofiary i do kolejnego pairingu z
bez konieczności pairingu. blokując zupełnie komórkę (niektóre atakującym.
Tu znajdziecie narzędzie do reali- Compaq iPaq, na przykład).
zacji tego rodzaju ataku: Możemy przeprowadzić nasze Bluechop
próby bądz
przy pomocy niezwykle Atak pozwalający obalić całą pico-
" Bluediving (http://bluediving.sour- użytecznego szwajcarskiego scyzo- net. Urządzenie peryferyjne wzglę-
ceforge.net/) ryka Bluediving bądz
ściągając je- dem piconet spoofuje urządzenie
www.hakin9.org
6 hakin9 Nr 3/2007
Atak na Bluettoth
Rys. 4. Uruchamiamy BloooverII Rys. 5. Find devices Rys. 6a. Ustawianie głównych
parametrów
slave spoza piconetu a następnie pojazdu. Jako narzędzie do przepro-
kontaktuje się z masterem tejże pi- wadzenia ataku carwhisperer (http: ka rozprzestrzeniania się niektórych
conet. Ponieważ protokół przewiduje //trifinite.org/trifinite_stuff_carwhi- robaków. Przykładem jest Inqtana.A,
że slave przystąpi do piconetu sam sperer.html) mogą posłużyć niektóre robak proof-of-concept wykorzystu-
w następstwie żądania mastera, ten spośród narzędzi dotychczas przez jący do rozprzestrzeniania się tech-
gubi się i powoduje upadek picone- nas poznanych, ewentualnie odpo- nologię Bluetooth systemów Mac OS
tu. Także do tego ataku jest przydat- wiednio zmodyfikowanych. Technika X 10.4 (Tiger). Ten robak kopiuje się
ne narzędzie do spoofingu jak Blu- ataku opiera się na fakcie, że urzą- na wszystkich urządzeniach widocz-
ediving. To prawdopodobnie jedy- dzenia peryferyjne Bluetooth we- nych poprzez funkcjonalności OBEX
ny atak na protokół Bluetooth który wnątrz pojazdu posiadają gotowe i się samowykonuje przy kolejnym
nie wykorzystuje złych implementa- klucze, często wręcz znane ponie- uruchomieniu systemu.
cji stosu Bluetooth, ponieważ ude- waż standardowe ('0000' lub '1234' Istnieją także inne robaki (z któ-
rza w urządzenia wszystkich produ- w przypadku wielu słuchawek i/lub rych wielu można uniknąć przy odro-
centów. zestawów głośnomówiących). Efek- binie ostrożności) jak Cabir, Mabir i
tem ataku jest rejestrowanie rozmów inne.
Car whisperer ofiary bądz
transmisja audio fake
Atak na urządzenie peryferyjne Blu- (fałszywe wiadomości o natężeniu Od teorii do praktyki
etooth audio wewnątrz samochodu. ruchu, itp.). Zobaczymy teraz jak wprowadzić w
Grupa trifinite.org przeprowadziła czyn część tego wszystkiego co wi-
go aby wyczulić producentów aut na Worm dzieliśmy na poprzednich stronach.
kwestie bezpieczeństwa urządzeń Kolejnym problemem Bluetooth jest Spośród rozmaitych egzaminowa-
peryferyjnych Bluetooth wewnątrz fakt jego wykorzystywania jako środ- nych programów użyjemy BloooverII
(http://trifinite.org/trifinite_stuff_blo-
Rys. 6b. Ustawianie głównych Rys. 6c. Ustawianie głównych
parametrów parametrów Rys. 7. Atak Bluebug
www.hakin9.org hakin9 Nr 3/2007 7
Atak
Rys. 8. Konfiguracje do ataku Bluebug Rys. 9a. Przebieg ataku Bluebug
Rys 9b. Przebieg ataku Bluebug
ooverii.html). Ataki, których może- wsze jednego tylko typu ataku z Znalazłszy urządzenia zabiera-
my spróbować to: bluebug, helomo- jedną tylko funkcją, w przeciw- my się za ustawienie głównych pa-
to, bluesnarf, bluesnarf++ (tylko przy nym razie nasza komórka mogła- rametrów (pamiętajcie, że należy je
zastosowaniu wersji Breeeder), wy- by się zawiesić. Inna uwaga: nie- ponownie ustawić po każdym uru-
syłanie malformed objects poprzez kiedy program, w czasie ataku, sy- chomieniu Blooover 2), jak zostało to
OBEX. gnalizuje nazwę komórki atakującej przedstawione na Rysunku 6.
BloooverII jest programem do (tak na przykład zdarza się w przy- Ustawiamy je dokładnie w ta-
urządzeń przenośnych wykorzystu- padku Nokii 6310i). Tak więc, jeśli ki sposób jak na Rysunku 6. Teraz
jących MIDP 2.0 (Mobile Informa- robicie kawał przyjacielowi, zmień- spróbujemy kilku ataków. Najpierw
tion Device Profile) i Bluetooth API cie nazwę waszego telefonu ko- Bluebug (zobacz Rysunek 7).
JSR-82. mórkowego w taki sposób aby nie Na zrzutce ekranowej (Rys. 8)
Najpierw instalujemy Blooove- wskazywała bezpośrednio na was. znajdują się konfiguracje do ataku
rII (najlepiej wersję Breeeder, któ- Wreszcie, jeśli atak nie uda się za Bluebug. Ustawmy je tak jak na ry-
ra jak widzieliśmy umożliwia także pierwszym razem, nie poddawajcie sunku. Teraz zdecydujmy co chce-
atak bluesnarf++). Przenosimy ją się i spróbujcie jeszcze raz. Niekie- my osiągnąć poprzez ten rodzaj ata-
na naszą komórkę za pomocą IR- dy trzeba powtórzyć atak kilkakrot- ku (Rys. 9).
DA, USB lub samego Bluetooth a nie, zanim zadziała poprawnie. Po kolei (Rysunki 9a-e), zosta-
następnie postępujemy zgodnie z Teraz możemy uruchomić Blo- ły zilustrowane ataki pozwalają-
procedurą instalacyjną. Aktywuje- ooverII i naszym oczom ukaże się ta- ce na odczytanie książki telefonicz-
my Bluetooth na naszym telefonie ki oto widok (Rys. 4). nej, SMS-ów, na pisanie w książ-
komórkowym. Próbujemy wykryć urządzenia ce telefonicznej, na przekierowy-
Ważna uwaga: jeśli nie zosta- peryferyjne za pomocą Find devi- wanie połączeń telefonicznych
ło inaczej wskazane próbujmy za- ces (Rys. 5). otrzymanych i na inicjalizowanie
Rys. 9c. Przebieg ataku Bluebug Rys. 9d. Przebieg ataku Bluebug Rys. 9e. Przebieg ataku Bluebug
www.hakin9.org
8 hakin9 Nr 3/2007
Atak na Bluettoth
nowych. W tym momencie należy nie, że nie został pomyślany w ce- wać tę funkcję wykorzystując edy-
coś doprecyzować. BloooverII nie lu wyrządzania szkód. Tak więc je- tor szesnastkowy (typu HHD Free
jest programemem dla hackerów, dyne połączenie które można zreali- Hex Editor, można go ściągnąć tu:
przeciwnie, jest to POC (Proof of zować to połączenie do darmowych http://www.hhdsoftware.com/free-
Concept). Należy poczynić założe- numerów. Teraz można zmodyfiko- hex-editor.html). W praktyce wystar-
czy odpowiednio zmodyfikować plik
e.class znajdujący się wewnątrz Blo-
oover2b.jar. Po otwarciu archiwum
Terminologia
przy pomocy dowolnego programu
" POF (Proof of Concept): wykorzystywany w środowisku badawczym, jest to prak-
do obsługi skompresowanych archi-
tyczny eksperyment potwierdzający teorię przedstawioną w ramach traktatu lub ar-
wów (WinRAR bardzo dobrze się do
tykułu,
tego nadaje), e.class znajduje się w
" Pentest (Penetration Test): są to testy przeprowadzane w odniesieniu do wszelkie-
org\trifinite\bloover2b. Oczywiście
go rodzaju sieci (a więc także i Bluetooth) w celu sprawdzenia ich rzeczywistego
informacje te nie zostają podane w
bezpieczeństwa,
celu popełniania przestępstw, tak
" AT: skrót od Attention, są to polecenia pozwalające na pełne przejęcie kontroli nad
więc zwracam uwagę na użytek ja-
telefonem komórkowym,
" DOS (Denial of Service): to zmasowany atak na usługę stawiający sobie za cel wy- ki z nich zrobicie.
łącznie jej crash i uczynienie jej nieosiągalną, Postępowanie związane z prze-
" Ping of Death: ping śmierci bierze swą nazwę od dawnej słabości Windows 95,
prowadzeniem innych ataków jest w
który zawieszał się otrzymawszy polecenie ICMP (ping właśnie) z
le sformatowa-
zasadzie podobne, tak więc możecie
ne,
spróbować ich sami. Chciałbym tylko
" Piconet: sieć Bluetooth w formie gwiazdy, w której jedno urządzenie zachowuje się
dodać, że niekiedy przy urachamia-
jako master inne natomiast jako slave. To samo urządzenie może być masterem
niu ataku Helomoto BloooverII bloku-
jednej sieci i jednocześnie slave innej sieci. Połączenie wielu piconetów nazywa
je się. W takim przypadku powtarza-
się scatternet.
my operację uruchamiając Helomo-
to razem z Bluebug.
Podsumowanie
W Sieci
Jak widzieliśmy w tym artykule,
" http://www.Bluetooth.com/ - oficjalna strona projektu,
istnieje wiele różnorodnych tech-
" http://Bluetooth.interfree.it/ - strona na której wyjaśnia się w prosty sposób Blueto-
nik ataku na protokół, bazują one
oth,
" http://www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/ - atak przeciwko E22, w znacznej mierze na naiwno-
" http://trifinite.org/ - strona grupy trifinite,
ści użytkowników lub na złych im-
" http://www.securiteam.com/tools/5JP0I1FAAE.html - z
ródło bluefang,
plementacjach stosu Bluetooth ze
" http://www.betaversion.net/btdsd/ - Bluetooth Device Security Database,
strony poszczególnych producen-
" http://www.niksula.hut.fi/~jiitv/bluesec.html  pogłębione bezpieczństwo Blueto-
tów. Oczywiście, wszystko cze-
oth,
go nauczyliśmy się w tym artykule
" http://ftp.vub.ac.be/~sijansse/2e%20lic/BT/Tools/Tools.html  narzędzia bezpie-
powinno służyć pomocą w obronie
czeństwa Bluetooth,
naszej prywatności, a nie w celu
" http://it.wikipedia.org/wiki/Bluetooth  strony wikipedii poświęcone Bluetooth,
naruszania tejże w odniesieniu do
" http://www.remote-exploit.org/index.php/BlueTooth  strona z bardzo dobrymi na-
osób trzecich! Pamiętajmy, roztrop-
rzędziami i informacjami o słabościach Bluetooth.
ne zachowanie jest najlepszą obro-
ną przeciwko zagrożeniom płyną-
cym z każdej sieci, także z sieci
O autorze
Bluetooth. Wykaz wszystkich tele-
W Sienie ukończył Inżynierię Informatyczną, od 2001 wykonuje wolny zawód. Zajmu-
fonów komórkowych posiadających
je się kształceniem, systemami i bezpieczeństwem w środowisku korporacyjnym. Jest
zainstalowane Java Bluetooth API
administratorem systemu, konsultantem w kwestiach prywatności, odpowiedzialnym
znajduje się tu:
za bezpieczeństwo i systemy informatyczne wielu włoskich firm; poza tym pracuje ja-
ht t p : / / w w w.j2m ep o lish.or g /
ko wykładowca dla kilku spółek zajmujących się kształceniem, m.in Elea-De Agosti-
devices/devices-btapi.html
ni i Percorsi, i za ich sprawą zajmuje się kształceniem przedstawicieli najważniejszych
Szczególność tego oprogramo-
podmiotów w środowisku włoskim, jak Ministerstwo Sprawiedliwości, IBM, Alitalia i
wania polega na tym, że było pierw-
in. Przeprowadził kilka konferencji na temat e-government dla władz Reggio Calabria
szym oprogramowaniem pozwala-
oraz posiada najprzeróżniejsze certyfikaty informatyczne, przeważnie na polu syste-
jącym na ataki, wcześniej były one
mów i bezpieczeństwa, lecz także na polu Office Automation.
W wolnym czasie jest trenerem i międzynarodowym arbitrem tenisowym. możliwe tylko przy wykorzystaniu
Kontakt z autorem: www.ugolopez.it
laptopa. l
www.hakin9.org hakin9 Nr 3/2007 9