Atak na Bluetooth Atak Ugo Lopez stopień trudności Bluetooth jest technologią, która powstała by ułatwić nasze zdolności komunikowania się. Okazał się jednak także technologią nadającą się do kradzieży danych. W tym artykule przedstawimy Wam jak wykorzystać jego słabe punkty. tóż nie pamięta czasów, nie tak znowu malże we wszystkich urządzeniach przeno- odległych, kiedy to telefon komórkowy śnych (telefony komórkowe, słuchawki, nawi- Kbył postrzegany z pewną dozą nieufno- gatory satelitarne, drukarki, itd.). Technologia ści bądz zazdrości? Uznawany pierwotnie bar- ta pozwala tworzyć prawdziwe PAN (Personal dziej za symbol statusu niż za narzędzie komu- Area Network) w sposób umożliwiający wza- nikacji, telefon komórkowy stanowi już od dłuż- jemne korzystanie z zasobów pomiędzy urzą- szego czasu nieodłączny element codzienne- dzeniami, nie koniecznie jednakowymi, czyniąc go życia każdego z nas. maksymalnie prostym wpółdziałanie z użyt- Technologia Bluetooth, powstała by poko- kownikiem. nać ograniczenia portów na podczerwień IRDA Aktualnie istnieją 2 standardy stosowane w (Infra Red Device Adapter) i FastIRDA, gdzie urządzeniach peryferyjnych obecnych na ryn- urządzenia peryferyjne musiały być wzajemnie ku: widoczne i oferowały niskie prędkości przesy- łowe, rozwija się ponad wszelkie przewidywa- Z artykułu dowiesz się... nia. Jak w przypadku każdej rzeczy na polu in- formatycznym, gdy postęp dokonuje się w spo- " jakie są słabe punkty niektórych urządzeń Blu- sób tak gwałtowny, bezpieczeństwo pozostaje etooth i jak je wykorzystać. daleko w tyle. Rzeczywiście, liczne są słabości obecne w Bluetooth. Lecz po kolei, najpierw Co powinieneś wiedzieć... postarajmy się opisać w miarę szczegółowo tę technologię. " znajomość na poziomie użytkownika systemów Windows, Technologia Bluetooth " znajomość na poziomie użytkownika systemów Bluetooth powstał w 2003 roku. Z inicjatywy Linux, zastosowanie powłoki shell, wielu producentów stanowiących konsorcjum " znajomość na poziomie użytkownika zaawan- SIG (Ericsson, Nokia, Microsoft, Intel, Motoro- sowanego mobilnych urządzeń Bluetooth. la, Apple i innych), Bluetooth jest obecny nie- hakin9 Nr 3/2007 2 www.hakin9.org Atak na Bluettoth " Core Specification 1.2 5 listo- mi standardami, zapewnia następu- " Host protocols: implementowane pada 2003, jące usprawnienia: z motywów bez- na poziomie oprogramowania ko- " Core Specification 2.0 + EDR pieczeństwa unika przeskakiwania munikują się, poprzez API, z apli- 15 pazdziernika 2004. pomiędzy kanałami. Bezpieczeń- kacjami; obsługują funkcje wyż- stwo zostaje zapewnione poprzez szego poziomu, Oprócz nich istnieją również standar- algorytmy kryptograficzne, obsługu- " Controller protocols: obsługują dy już zaniechane. A dokładniej: je zarówno multicast jak i broadcast, moduł radiowy. Bluetooth 1.0 i 1.0B: wersje 1.0 i zwiększa szybkość transmisji do 2,1 1.0B nęka wiele problemów, przede Mbit/s (3 we wspomnianej wcze- Oba składniki komunikują się ze sobą wszystkim związanych ze współdzia- śniej wersji z 15 pazdziernika 2004), poprzez HCI (Host Controller Interfa- łaniem produktów odmiennych kon- wprowadza usługę obsługi jakości. ce), który jest odpowiedzialny za de- struktorów. Pomiędzy tymi dwoma Wprowadza także protokół umożli- finiowanie zbioru wiadomości i zbioru standardami dokonano zmian w pro- wiający dostęp do urządzeń współ- sposobów ich transportowania. cesie weryfikacji adresu fizycznego dzielonych, redukuje zauważalnie Teraz przyjrzyjmy się bardziej przypisanego każdemu urządzeniu: czasy odpowiedzi i zmniejsza o po- szczegółowo stosowi protokołów stara metoda uniemożliwiła pozosta- łowę wykorzystywaną moc. (Rys. 2). wanie anonimowym podczas komu- Jest już w fazie przygotowania no- Jest to schemat ostateczny stosu nikacji, stąd jakiś złośliwy użytkow- wa wersja Bluetooth (o nazwie Lis- protokołów. W celu zapewnienia wy- nik wyposażony w skaner częstotliwo- bon) przewidująca: Atomic Encryption miany z innymi protokołami jego za- ści mógł przechwycić ewentualne po- Chance: okresowa zmiana hasła dla sadniczymi składnikami są: ufne informacje. Wersja B przyniosła połączeń kodowanych, Extended In- także zmiany związane z obsługą śro- quiry Response: dostarcza więcej in- " L2CAP (Logical Link Control and dowiska Bluetooth usprawniając moż- formacji o urządzeniach usiłujących Adaptation Protocol): kapsuł- liwość współdziałania, ustanowić połączenie, faworyzując kuje pakiety i zapewnia mecha- Bluetooth 1.1: naprawia wiele błę- tym samym filtering urządzeń niepew- nizm abstrakcyjny przypominają- dów, które pojawiły się w wersji 1.0B. nych, Sniff Subrating: system redukcji cy koncepcję portów w TCP/IP, Pozwala na komunikację przy wyko- zużycia w stanie sniffingu, poprawa " SDP (Service Discovery Proto- rzystaniu kanałów niekodowanych. QoS (Quality of Service), Simple Pa- col): upublicznia usługi oferowa- Obecnie standard 1.2, kompaty- iring: poprawa kontroli strumieni bitów ne przez poszczególne urządze- bilny z wersją 1.1, przewiduje: Ada- poprzez mechanizmy parowania. nia i wyszukuje usługi oferowane ptive Frequency Hopping (AFH): ta Istnieje także kolejna wersja (o przez urządzenia z którymi chce technika zapewnia większą odpor- nazwie Seattle) przewidująca wpro- się komunikować. ność na interferencje elektromagne- wadzenie jako znaczącą innowację tyczne, gdyż unika stosowania kana- Ultra Wide Band (UWB), co pozwoli Spróbujmy teraz zaprezentować dia- łów podatnych na silne interferen- na znaczące zwiększenie prędkości. gram funkcjonalny protokołu Blueto- cje, zwiększa szybkość transmisji, Wreszcie, urządzenia Bluetooth oth (Rys. 3). extended Synchronous Connections można podzielić na 3 klasy (zobacz W skrócie, można wyróżnić nastę- (eSCO): oferuje tryb transmisji audio Tabela 1). pujące stany: Standby: oczekiwanie na wysokiej jakości, przesyłając ponow- W celu zapoznania się z innymi połączenie, Inquiry: wykrywanie urzą- nie dane w razie ich utraty. Został szczegółami tych standardów moż- dzeń znajdujących się w pobliżu, Page: także wprowadzony czujnik jakości na odwiedzić oficjalną stronę po- próba połączenia z urządzeniem, Con- sygnału. Posiada interfejs pozwala- święconą technologii Bluetooth i nected: urządzenie aktywne w sieci, jący na obsługę aż trzech UART ściągnąć dokumenty specyfikacji Transmit data: dane w trakcie transmi- (standard symulujący obecność po- (http://www.Bluetooth.com). sji, Park/Hold: tryb niskiego zużycia. łączenia kablowego) i na dostęp do Rzućmy teraz okiem jak funkcjo- Miejmy w pamięci ten diagram informacji związanych z synchroni- nuje, zgrubsza, stos protokołów Blu- funkcjonalny, ponieważ przyda się zacją transmisji Bluetooth. etooth (Rys. 1) nam do zrozumienia niektórych ty- Natomiast standard 2.0, kompa- W gruncie rzeczy możemy wy- pów ataków. tybilny ze wszystkimi wcześniejszy- różnić w nim dwie części: Zasady bezpieczeństwa Tabela 1. Trzy klasy Bluetooth Rzuciwszy okiem na specyfikacje można zauważyć, że te przewidują Klasa Moc(mW) Moc (dBm) Odległo- trzy rodzaje (nie)bezpieczeństwa: ść(Przybliżona) Klasa 1 100 mW 20 dBm ~ 100 metrów " mode 1: brak bezpieczeństwa, Klasa 2 2,5 mW 4 dBm ~ 10 metrów " mode 2: ochrona na poziomie Klasa 3 1 mW 0 dBm ~ 1 metr usługa/aplikacja, www.hakin9.org hakin9 Nr 3/2007 3 Atak " mode 3: ochrona na poziomie ruch na wszystkich 79 kanałach wy- urządzenia. korzystując odpowiednie narzędzie, a następnie, offline, testuje się roz- Applicazione Te trzy rodzaje są implementowane maite klucze połączeniowe wygene- w ramach czterech poziomów: pa- rowane przy zastosowaniu rozma- OS API iring: zostaje aktywowany pomiędzy itych pinów. Taki atak jest dość kosz- Host protocols dwoma urządzeniami, które chcą ak- towny za sprawą potrzebnego oprzy- tywować procedury bezpieczeństwa rządowania. HCI i kontaktują się pomiędzy sobą po Aby bronić się przed tego typu Controller raz pierwszy; w praktyce, użytkow- atakiem jest dobrą normą stosowa- protocols nik wprowadza pin (identyczny) na nie długich i trudnych do odgadnięcia obu urządzeniach, a z kolei każde z pinów oraz wykonywanie pairingu w nich generuje pseudolosową liczbę; miejscach uznawanych za bezpiecz- w tym momencie otrzymuje się sha- ne. Jednakże i bezpieczeństwo osią- Rys. 1. Funkcjonowanie stosu red secret (sekret współdzielony), gnięte w taki sposób jest względne, protokołów Bluetooth który jest wykorzystywany do komu- gdyż, jak zostało to udowodnione, nikacji, autentyfikacja: tzw. mecha- dzięki prostej modyfikacji Bluetooth zaliczam się do grona pierwszych nizm challenge (wyzwanie); w prak- dongle można dokonać ataku nawet uzależnionych od urządzeń przeno- tyce bazuje na liczbie pseudolosowej z odległości przekraczającej 1,5 km. śnych. Mówiąc szczerze, moja cie- (challenge) i na shared secret, kody- Wspaniały przykład daje nam grupa kawość została obudzona lekturą fikacja: ma miejsce, ewentualnie, po trifinite, której URL został zamiesz- artykułu opublikowanego w jakimś autentyfikacji, autoryzacja: określa czony w sekcji linków tego artykułu. dzienniku noszącego tytuł Kiedy bo- czy żądanie urządzenia ma zostać Poza tym istnieje szereg słabości li ząb..., który traktował o toothingu, zaspokojone czy też nie; każda apli- na poziomie aplikacji, o których bę- czyli o tym jak wykorzystując proto- kacja może posiadać listę urządzeń, dziemy mówić w dalszej części tego kół Bluetooth można wysyłać wiado- które mogą mieć do niej dostęp (tru- artykułu. Te zależą bardziej od spe- mości do osób kompletnie nam nie- sted device), jeśli dane urządzenie cyficznych implementacji zastoso- znanych, a posiadających Bluetooth nie znajduje się na tej liście wymaga- wanych przez producentów, niż od device włączony i dyspozycyjny, w ne jest potwierdzenie ze strony użyt- bugów w projektowaniu protokołów. promieniu kilku metrów. Początkowo kownika. najbardziej uderzył mnie aspekt spo- W ramach tych poziomów stoso- Techniki ataku łeczny tego artykułu, lecz po chwi- wanych jest pięć głównych elemen- na Bluetooth li refleksji otworzyły się przede mną tów: adres BD_ADDR: adres fizycz- Mimo że jestem pasjonatem niemal- scenariusze znacznie bardziej roz- ny poszczególnego urządzenia (swe- że wszystkiego co przyniosła tech- ległe, w których mało ostrożni użyt- go rodzaju MAC Address), klucz ko- nologia w ciągu minionych lat, nie kownicy są oszukiwani na tysiąc dujący (8-128 bit), klucz połączenia (128 bit), liczby pseudolosowe (128 vCard/vCal WAE bit), algorytmy służące do genero- OBEX WAP wania kluczy (E0, E21, E22, itd.). AT- Jak widzicie, łatwo jest odnalezć TCS BIN SDP Commands wszystkie te elementy na czterech UDP TCP poziomach. IP Teraz zobaczymy gdzie znajdu- ją się słabości tego mechanizmu. PPP Pierwsza i najbardziej oczywista tkwi w mechanizmie pairingu, któ- RFCOMM ry, jak zostało to opisane, przewidu- Audio je wprowadzenie pinu. Jeśli pin zo- L2CAP stał określony w samym urządzeniu można wręcz przeprowadzić atak Host Controller Interface LMP online typu brute-force (tj. bezpo- średnio przeciwko urządzeniu ofia- Baseband ry). Natomiast w przypadku słabe- go pinu, można dokonać ataku of- Bluetooth Radio fline (nie bezpośrednio przeciwko urządzeniu ofiary), tzw. ataku prze- Rys. 2. Ostateczny schemat stosu protokołów ciwko E22: w skrócie, rejestruje się www.hakin9.org 4 hakin9 Nr 3/2007 Atak na Bluettoth i jeden sposobów przez jakiegoś jest pod wieloma względami bardzo nie zostają całkowicie dezaktywowa- przygodnego maniaka. To właśnie podobny do ataku określanego mia- ne, lecz jedynie odrzucane są żąda- od tego momentu zacząłem zgłębiać nem phishing. nia kierowane do SDP. Poza tym, jak dokumentacje związane z rozmaity- Poza tą empiryczną procedurą, już powiedzieliśmy, każde urządze- mi typologiami ataku i obrony. Spró- istnieje wiele darmowych narzędzi, nie posiada swój BD_ADDR: skła- bujmy je wspólnie przeanalizować. które także pozwalają na dokonanie da się z 48 bitów, z których pierw- tego ataku. sze 24 zależą wyłącznie od produ- Bluejacking Oto niektóre z nich: Freejack (http: centa (swego rodzaju vendor code), Jak wcześniej wspomniałem, zacie- //www.bluejackq.com/freejack.jar), są więc stałe. Z pozostałych jedynie kawiła mnie możliwość darmowe- SMAN (http://www.bluejackq.com/ ostatnich 6 bitów identyfikują w spo- go komunikowania się za pośrednic- sman13a-eng.zip), Mobiluck (http: sób jednoznaczny urządzenie, jako twem systemu wiadomości z osoba- //www.mobiluck.com/download-Blu- że służą do identyfikacji typu urzą- mi kompletnie obcymi, które jednak etooth-software-all-phones-en.php), dzenia (komórka, dongle, słuchaw- posiadają aktywne urządzenie Blu- Easyjack (http://www.getjar.com/ ka, itd.). Dlatego nie jest wcale rze- etooth w promieniu kilku metrów. products/2758/EasyJack) czą trudną wykrycie urządzenia Blu- Jak to możliwe? Trzeba pamiętać, Internet pełen jest narzędzi przy- etooth, także w trybie ukrytym. Rze- że w fazie discovery innych urzą- stosowanych do tego celu, tu zosta- czywiście, z punktu widzenia obli- dzeń, zostaje przekazana nazwa ły wymienione tylko niektóre z nich. czeniowego, można odnalezć bity identyfikująca urządzenia. Nie jest Trzeba pamiętać, że rodzaj narzę- zmienne w czasie niewiele dłuższym ona niczym innym jak polem teksto- dzia zależy także od stosowanego niż jedna godzina. wym. Wyobrazmy sobie teraz, że po- telefonu komórkowego. Narzędzia służące do takiej ope- le tekstowe zawiera coś w rodzaju: racji, w chwili redagowania niniejsze- Problemy sieciowe, proszę wybierz Discovery mode abuse go artykułu, są dostępne tylko pod 1234. Oczywiście 1234 to pin który W przypadku większości urządzeń Linuksem. Są to: uprzednio wystukaliśmy na naszym dostępnych na rynku możliwe jest, urządzeniu. Nieświadomy użytkow- po włączeniu, ustalenie czy usłu- " Redfang (http://www.securitywir nik wystuka pin i tym samym do- ga Bluetooth ma być widoczna czy eless.info/Downloads-index-req- pełni pairingu. A my dokonamy ata- ukryta. To co się wówczas dzieje w getit-lid-41.html), ku bluejacking (termin ten począt- trybie ukrytym polega na niczym in- " Bluesniff (http:// kowo był wykorzystywany na okre- nym jak na odrzucaniu przez urzą- bluesniff.shmoo.com/bluesniff- ślenie wszystkich ataków na proto- dzenie wszelkich żądań inquiry po- 0.1.tar.gz). kół Bluetooth). Ten typ ataku, mają- chodzących w broadcast od innych cy swe zródło w inżynierii socjalnej, aparatów Bluetooth. Tak więc usługi Redfang jest narzędziem linii pole- ceń zrealizowanym przez @Stake, aktualnie stanowiącym część Sy- manteca, i stanowi POF (Proof Of Unconnected Concept) techniki ataku już opisa- Standby Standby nej. Bluesniff to front-end graficzny do Redfang. Ttypical=5s Blueprinting Jest rodzajem nmap w odniesieniu Connecting Inquiry Page States do Bluetooth. Technika ta pozwa- la na uzyskanie informacji technicz- nych o badanym urządzeniu, wyko- Ttypical=0.6s nując matching uzyskanych charak- Transmit terystyk z tymi obecnymi w uaktu- Active Connected data States AMA alnionej bazie danych. Także w tym AMA przypadku istnieje narzędzie pod Li- Ttypical=2s Ttypical=2s nuksa obsługiwane z linii poleceń: " Blueprint (http://trifinite.org/ Downloads/bp_v01-3.zip) PARK HOLD Releases Low Power PMA AMA AMA States Address Także Redfang, przedstawiony we wcześniejszym paragrafie, zajmuje Rys. 3. Diagram funkcjonalny protokołu Bluetooth się blueprintingiem. www.hakin9.org hakin9 Nr 3/2007 5 Detach Atak Bluesnarf To narzędzie jest prawdziwą suite, dynie biblioteki Bluetooth dla Linux Jest atakiem wywodzącym się z wa- jest niezmiernie użyteczne w celu Bluez (http://www.bluez.org/down- dliwej implementacji specyfikacji wykonania bardzo złożonych pen- load.html, wszelako niezbędne tak- wielu telefonów komórkowych (licz- testów. Na stronie znajduje się cały że dla Bluediving) i formatując od- ne modele Ericsson, Sony-Ericsson, szereg innych, na prawdę użytecz- powiednio polecenie l2ping. W przy- Nokia, Siemens, Motorola). Z bar- nych narzędzi. padku wielu modeli iPaq wystarczy dziej szczegółowym wykazem urzą- napisać: dzeń peryferyjnych w to zamiesza- Bluebug nych można zapoznać się tu: http: Także ta słabość wynika ze złej im- l2ping -s //www.thebunker.net/security/Blu- plementacji niektórych specyfikacji i z większym lub równym 600. etooth.htm. jest obecna tylko w niektórych mo- Lecz na czym polega ten atak? delach przenośnych urządzeń pe- Bluebump Na niczym innym jak na łączeniu się ryferyjnych. W odróżnieniu od Blu- Jest to atak inżynierii socjalnej. Ata- z usługą OBEX Push (często wyko- esnarf i Bluesnarf++, pozwala na kujący ustanawia połączenie trusted rzystywana w celu wymiany elektro- wykonanie poleceń AT na urządze- z jakimś urządzeniem, na przykład nicznych wizytówek). Wadliwa imple- niu ofiary. Tym razem problem doty- wysyłając Vcard i zmuszając odbior- mentacja w niektórych telefonach ko- czy usług na kanale RFCOMM nie cę do autentyfikacji (Mode-3-Abu- mórkowych pozwala, poza otrzymy- zgłoszonych przez SDP, lecz mimo se). Atakujący podtrzymuje otwarte waniem wizytówek, także na OBEX to wykorzystywanych. połączenie i mówi ofierze by ta prze- Get, czyli na żądanie pliku. Tzn., je- W praktyce, atakujący może uzy- rwała połączenie ze swoim urządze- śli wiem że na komórce ofiary jest skać pełen dostęp do telefonu ko- niem peryferyjnym. Oczywiście ofia- obecny plik chcęgo.jar, to mogę go mórkowego, zwłaszcza może: te- ra nie jest świadoma że połączenie ściągnąć przeskakując fazę autenty- lefonować, wysyłać, czytać i elimi- jest jeszcze aktywne. W tym mo- fikacji. Często nie trzeba nawet znać nować SMS/MMS, czytać i pisać w mencie atakujący prosi by ponownie ścieżki pliku w systemie, ponieważ książce telefonicznej, zmieniać para- został wygenerowany klucz połącze- wiele aparatów zapamiętuje infor- metry konfiguracyjne. niowy. Tym samym posiada ofiarę na macje odnoszące się do systemu pli- Aby wykazać istnienie tej dziu- swojej liście, nie musząc ponownie ków w pliku tekstowym, którego loka- ry, poza wcześniej wspomnianym przechodzić autentyfikacji. Atakują- lizacja jest znana a priori, gdyż zale- Bluediving, możemy wykorzystać cy może połączyć się z ofiarą dopó- ży od systemu. Na przykład, komór- BloooverII (http://trifinite.org/trifinite_ ki ta nie wykasuje także tego nowe- ki Ericsson i Sony-Ericsson pierw- stuff_bloooverii.html). Pozwala on go klucza. szej generacji zapisują książkę tele- na przeprowadzenie także innych foniczną w telecom/pb.vfc, a kalen- ataków, m.in. Helomoto, w gruncie Bluedump darz w telecom/calc.vcs. rzeczy będącego połączeniem ata- Wykorzystując sniffer Bluetooth, W celu dokonania tego typu ków Bluesnarf i Bluebug: przerywa można wykonać dumping pinów i nie- ataku wystarczy jakikolwiek client otrzymywanie Vcard i, za sprawą których kluczy podczas sesji Blueto- OBEX. Oto niektóre: błędu implementacyjnego, urządze- oth. Atakujący musi znać BD_ADDR nie pozostaje w trybie trusted. Cie- jakiejś pary urządzeń będących w " obexftp (http://openobex.triq.net/ kawostka, nazwa wywodzi się z fak- pairingu; w tym momencie atakujący obexftp/installing), tu, że jest to słabość typowa dla sys- spoofuje (wciąż poprzez Bluediving, " obex-commander temów Motorola. jeśli to możliwe) BD_ADDR jednego (http://intradarma.com/ z dwóch urządzeń i łączy się z dru- OBEXCommander.html). Bluesmack gim. Kiedy ofiara przechodzi do au- Jest to atak typu DOS, i nie jest ni- tentyfikacji, zważywszy że atakują- Pierwszy z tych dwóch clientów jest czym innym jak Ping of Death w od- cy nie posiada klucza połączeniowe- pod Linuksa, drugi pod Windows. niesieniu do Bluetooth. Polega na go, jego urządzenie odpowiada po- zwiększaniu ponad miarę echo requ- przez 'HCI_Link_Key _Request_Ne- Bluesnarf++ est (L2CAP ping) mającego być wy- gative_Reply' co, w niektórych przy- Bardzo podobny do Bluesnarf, lecz słanym w kierunku urządzenia ofia- padkach, prowadzi do wykasowania pozwala na pełen dostęp w zakresie ry. Niektóre terminale odbierają da- klucza połączeniowego na urządze- odczytu/zapisu do systemu plików, ne lecz jednocześnie generują błędy niu ofiary i do kolejnego pairingu z bez konieczności pairingu. blokując zupełnie komórkę (niektóre atakującym. Tu znajdziecie narzędzie do reali- Compaq iPaq, na przykład). zacji tego rodzaju ataku: Możemy przeprowadzić nasze Bluechop próby bądz przy pomocy niezwykle Atak pozwalający obalić całą pico- " Bluediving (http://bluediving.sour- użytecznego szwajcarskiego scyzo- net. Urządzenie peryferyjne wzglę- ceforge.net/) ryka Bluediving bądz ściągając je- dem piconet spoofuje urządzenie www.hakin9.org 6 hakin9 Nr 3/2007 Atak na Bluettoth Rys. 4. Uruchamiamy BloooverII Rys. 5. Find devices Rys. 6a. Ustawianie głównych parametrów slave spoza piconetu a następnie pojazdu. Jako narzędzie do przepro- kontaktuje się z masterem tejże pi- wadzenia ataku carwhisperer (http: ka rozprzestrzeniania się niektórych conet. Ponieważ protokół przewiduje //trifinite.org/trifinite_stuff_carwhi- robaków. Przykładem jest Inqtana.A, że slave przystąpi do piconetu sam sperer.html) mogą posłużyć niektóre robak proof-of-concept wykorzystu- w następstwie żądania mastera, ten spośród narzędzi dotychczas przez jący do rozprzestrzeniania się tech- gubi się i powoduje upadek picone- nas poznanych, ewentualnie odpo- nologię Bluetooth systemów Mac OS tu. Także do tego ataku jest przydat- wiednio zmodyfikowanych. Technika X 10.4 (Tiger). Ten robak kopiuje się ne narzędzie do spoofingu jak Blu- ataku opiera się na fakcie, że urzą- na wszystkich urządzeniach widocz- ediving. To prawdopodobnie jedy- dzenia peryferyjne Bluetooth we- nych poprzez funkcjonalności OBEX ny atak na protokół Bluetooth który wnątrz pojazdu posiadają gotowe i się samowykonuje przy kolejnym nie wykorzystuje złych implementa- klucze, często wręcz znane ponie- uruchomieniu systemu. cji stosu Bluetooth, ponieważ ude- waż standardowe ('0000' lub '1234' Istnieją także inne robaki (z któ- rza w urządzenia wszystkich produ- w przypadku wielu słuchawek i/lub rych wielu można uniknąć przy odro- centów. zestawów głośnomówiących). Efek- binie ostrożności) jak Cabir, Mabir i tem ataku jest rejestrowanie rozmów inne. Car whisperer ofiary bądz transmisja audio fake Atak na urządzenie peryferyjne Blu- (fałszywe wiadomości o natężeniu Od teorii do praktyki etooth audio wewnątrz samochodu. ruchu, itp.). Zobaczymy teraz jak wprowadzić w Grupa trifinite.org przeprowadziła czyn część tego wszystkiego co wi- go aby wyczulić producentów aut na Worm dzieliśmy na poprzednich stronach. kwestie bezpieczeństwa urządzeń Kolejnym problemem Bluetooth jest Spośród rozmaitych egzaminowa- peryferyjnych Bluetooth wewnątrz fakt jego wykorzystywania jako środ- nych programów użyjemy BloooverII (http://trifinite.org/trifinite_stuff_blo- Rys. 6b. Ustawianie głównych Rys. 6c. Ustawianie głównych parametrów parametrów Rys. 7. Atak Bluebug www.hakin9.org hakin9 Nr 3/2007 7 Atak Rys. 8. Konfiguracje do ataku Bluebug Rys. 9a. Przebieg ataku Bluebug Rys 9b. Przebieg ataku Bluebug ooverii.html). Ataki, których może- wsze jednego tylko typu ataku z Znalazłszy urządzenia zabiera- my spróbować to: bluebug, helomo- jedną tylko funkcją, w przeciw- my się za ustawienie głównych pa- to, bluesnarf, bluesnarf++ (tylko przy nym razie nasza komórka mogła- rametrów (pamiętajcie, że należy je zastosowaniu wersji Breeeder), wy- by się zawiesić. Inna uwaga: nie- ponownie ustawić po każdym uru- syłanie malformed objects poprzez kiedy program, w czasie ataku, sy- chomieniu Blooover 2), jak zostało to OBEX. gnalizuje nazwę komórki atakującej przedstawione na Rysunku 6. BloooverII jest programem do (tak na przykład zdarza się w przy- Ustawiamy je dokładnie w ta- urządzeń przenośnych wykorzystu- padku Nokii 6310i). Tak więc, jeśli ki sposób jak na Rysunku 6. Teraz jących MIDP 2.0 (Mobile Informa- robicie kawał przyjacielowi, zmień- spróbujemy kilku ataków. Najpierw tion Device Profile) i Bluetooth API cie nazwę waszego telefonu ko- Bluebug (zobacz Rysunek 7). JSR-82. mórkowego w taki sposób aby nie Na zrzutce ekranowej (Rys. 8) Najpierw instalujemy Blooove- wskazywała bezpośrednio na was. znajdują się konfiguracje do ataku rII (najlepiej wersję Breeeder, któ- Wreszcie, jeśli atak nie uda się za Bluebug. Ustawmy je tak jak na ry- ra jak widzieliśmy umożliwia także pierwszym razem, nie poddawajcie sunku. Teraz zdecydujmy co chce- atak bluesnarf++). Przenosimy ją się i spróbujcie jeszcze raz. Niekie- my osiągnąć poprzez ten rodzaj ata- na naszą komórkę za pomocą IR- dy trzeba powtórzyć atak kilkakrot- ku (Rys. 9). DA, USB lub samego Bluetooth a nie, zanim zadziała poprawnie. Po kolei (Rysunki 9a-e), zosta- następnie postępujemy zgodnie z Teraz możemy uruchomić Blo- ły zilustrowane ataki pozwalają- procedurą instalacyjną. Aktywuje- ooverII i naszym oczom ukaże się ta- ce na odczytanie książki telefonicz- my Bluetooth na naszym telefonie ki oto widok (Rys. 4). nej, SMS-ów, na pisanie w książ- komórkowym. Próbujemy wykryć urządzenia ce telefonicznej, na przekierowy- Ważna uwaga: jeśli nie zosta- peryferyjne za pomocą Find devi- wanie połączeń telefonicznych ło inaczej wskazane próbujmy za- ces (Rys. 5). otrzymanych i na inicjalizowanie Rys. 9c. Przebieg ataku Bluebug Rys. 9d. Przebieg ataku Bluebug Rys. 9e. Przebieg ataku Bluebug www.hakin9.org 8 hakin9 Nr 3/2007 Atak na Bluettoth nowych. W tym momencie należy nie, że nie został pomyślany w ce- wać tę funkcję wykorzystując edy- coś doprecyzować. BloooverII nie lu wyrządzania szkód. Tak więc je- tor szesnastkowy (typu HHD Free jest programemem dla hackerów, dyne połączenie które można zreali- Hex Editor, można go ściągnąć tu: przeciwnie, jest to POC (Proof of zować to połączenie do darmowych http://www.hhdsoftware.com/free- Concept). Należy poczynić założe- numerów. Teraz można zmodyfiko- hex-editor.html). W praktyce wystar- czy odpowiednio zmodyfikować plik e.class znajdujący się wewnątrz Blo- oover2b.jar. Po otwarciu archiwum Terminologia przy pomocy dowolnego programu " POF (Proof of Concept): wykorzystywany w środowisku badawczym, jest to prak- do obsługi skompresowanych archi- tyczny eksperyment potwierdzający teorię przedstawioną w ramach traktatu lub ar- wów (WinRAR bardzo dobrze się do tykułu, tego nadaje), e.class znajduje się w " Pentest (Penetration Test): są to testy przeprowadzane w odniesieniu do wszelkie- org\trifinite\bloover2b. Oczywiście go rodzaju sieci (a więc także i Bluetooth) w celu sprawdzenia ich rzeczywistego informacje te nie zostają podane w bezpieczeństwa, celu popełniania przestępstw, tak " AT: skrót od Attention, są to polecenia pozwalające na pełne przejęcie kontroli nad więc zwracam uwagę na użytek ja- telefonem komórkowym, " DOS (Denial of Service): to zmasowany atak na usługę stawiający sobie za cel wy- ki z nich zrobicie. łącznie jej crash i uczynienie jej nieosiągalną, Postępowanie związane z prze- " Ping of Death: ping śmierci bierze swą nazwę od dawnej słabości Windows 95, prowadzeniem innych ataków jest w który zawieszał się otrzymawszy polecenie ICMP (ping właśnie) zle sformatowa- zasadzie podobne, tak więc możecie ne, spróbować ich sami. Chciałbym tylko " Piconet: sieć Bluetooth w formie gwiazdy, w której jedno urządzenie zachowuje się dodać, że niekiedy przy urachamia- jako master inne natomiast jako slave. To samo urządzenie może być masterem niu ataku Helomoto BloooverII bloku- jednej sieci i jednocześnie slave innej sieci. Połączenie wielu piconetów nazywa je się. W takim przypadku powtarza- się scatternet. my operację uruchamiając Helomo- to razem z Bluebug. Podsumowanie W Sieci Jak widzieliśmy w tym artykule, " http://www.Bluetooth.com/ - oficjalna strona projektu, istnieje wiele różnorodnych tech- " http://Bluetooth.interfree.it/ - strona na której wyjaśnia się w prosty sposób Blueto- nik ataku na protokół, bazują one oth, " http://www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/ - atak przeciwko E22, w znacznej mierze na naiwno- " http://trifinite.org/ - strona grupy trifinite, ści użytkowników lub na złych im- " http://www.securiteam.com/tools/5JP0I1FAAE.html - zródło bluefang, plementacjach stosu Bluetooth ze " http://www.betaversion.net/btdsd/ - Bluetooth Device Security Database, strony poszczególnych producen- " http://www.niksula.hut.fi/~jiitv/bluesec.html pogłębione bezpieczństwo Blueto- tów. Oczywiście, wszystko cze- oth, go nauczyliśmy się w tym artykule " http://ftp.vub.ac.be/~sijansse/2e%20lic/BT/Tools/Tools.html narzędzia bezpie- powinno służyć pomocą w obronie czeństwa Bluetooth, naszej prywatności, a nie w celu " http://it.wikipedia.org/wiki/Bluetooth strony wikipedii poświęcone Bluetooth, naruszania tejże w odniesieniu do " http://www.remote-exploit.org/index.php/BlueTooth strona z bardzo dobrymi na- osób trzecich! Pamiętajmy, roztrop- rzędziami i informacjami o słabościach Bluetooth. ne zachowanie jest najlepszą obro- ną przeciwko zagrożeniom płyną- cym z każdej sieci, także z sieci O autorze Bluetooth. Wykaz wszystkich tele- W Sienie ukończył Inżynierię Informatyczną, od 2001 wykonuje wolny zawód. Zajmu- fonów komórkowych posiadających je się kształceniem, systemami i bezpieczeństwem w środowisku korporacyjnym. Jest zainstalowane Java Bluetooth API administratorem systemu, konsultantem w kwestiach prywatności, odpowiedzialnym znajduje się tu: za bezpieczeństwo i systemy informatyczne wielu włoskich firm; poza tym pracuje ja- ht t p : / / w w w.j2m ep o lish.or g / ko wykładowca dla kilku spółek zajmujących się kształceniem, m.in Elea-De Agosti- devices/devices-btapi.html ni i Percorsi, i za ich sprawą zajmuje się kształceniem przedstawicieli najważniejszych Szczególność tego oprogramo- podmiotów w środowisku włoskim, jak Ministerstwo Sprawiedliwości, IBM, Alitalia i wania polega na tym, że było pierw- in. Przeprowadził kilka konferencji na temat e-government dla władz Reggio Calabria szym oprogramowaniem pozwala- oraz posiada najprzeróżniejsze certyfikaty informatyczne, przeważnie na polu syste- jącym na ataki, wcześniej były one mów i bezpieczeństwa, lecz także na polu Office Automation. W wolnym czasie jest trenerem i międzynarodowym arbitrem tenisowym. możliwe tylko przy wykorzystaniu Kontakt z autorem: www.ugolopez.it laptopa. l www.hakin9.org hakin9 Nr 3/2007 9