avagy te is fiam, Bluetooth? Krasznay Csaba krasznay@ik.bme.hu Bluetooth biztonság avagy te is fiam, Bluetooth? Krasznay Csaba krasznay@ik.bme.hu
Tartalom Általános áttekintés a bluetooth-ról Hasonlóságok az internetes világgal Konkrét sérülékenységek Bluetooth hack-ek(?) a sajtóban Tanulságok Bemutató
Mi az a Kékfog? Eredetileg I. Harald, a X. században élt dán király beceneve Egyébként a vezeték nélküli PAN-ok (Personal Area Network) specifikációja Melyet 1999-ben a Sony Ericsson, az IBM, az Intel, a Toshiba és a Nokia által alapított szervezet menedzsel Célja, hogy különböző eszközöket olcsón, gyorsan és biztonságosan (?) kössön össze kis távolságon (max. 100 méter) belül
Bluetooth protokoll stack
Fogalmak MAC: Media Access Control, egy hálózat egy elemének egyedi, hardveres azonosító címe L2CAP: Logical Link Control and Adaptation Protocol, feladata a csomagok lebontása és felépítése SDP: Service Discovery Protocol, az elérhető szolgáltatások felderítése és ezek jellemzőinek megállapítása a feladata
Fogalmak RFCOMM: a soros portok emulációjára szolgál, a szállítási réteg protokollja OBEX: Object Exchange, olyan kommunikációs protokoll, mely bináris adatok átadására szolgál OPP: Object Push Profile, objektumok átadása két Bluetooth eszköz között OBEX fölött
Kulcsgenerálás a titkosításhoz
Felderítés Ami a hagyományos esetben pl. az fping parancs Az a bluetooth világban pl. a hcitool, a btscanner, stb. Egy bekapcsolt készüléket egyszerű megtalálni, ha látható (discoverable) módban van De ha nincs?
Felderítés Rejtett készülékek is megtalálhatók brute-force módszerrel Erre való a redfang vagy a bluesniff program Bár lassú és körülményes a használata Nem igaz az a mítosz, hogy a kapcsolat rejtése megvéd a támadástól
Azonosítás Ami a hálózatos világban pl. az nmap –O Az a bluetooth világban pl. a blueprint Egy készülékről megállapítható, hogy milyen gyártmány, ennek megfelelően lehet támadásokat találni ellene Az azonosítás a telefon MAC címének első 3 bájtja és az SDP rekordok lenyomata alapján történik
Portscannelés Ami a hálózatoknál pl. az nmap –sS Az a bluetooth esetén a bt_audit A gyártók különböző célokra nyitva hagynak portokat a bluetooth eszközön A bt_audit az L2CAP és az RFCOMM rétegeket vizsgálja Egyes esetekben hasznos lehet, de általában semmire nem megyünk vele.
Sniffelés Ami az IP világban az Ethereal Az a bluetooth esetén a hcidump Ez csak a saját gép bluetooth csomagjait képes tárolni A „levegőben” utazó csomagok elfogására van eszköz, de a gyakorlati haszna csekély a kis teljesítményű és ritka adás miatt Vagy mégsem?
Félelem és hackelés Las Vegasban A Bluesniper és Bluetoone eszközök nagy távolságról is el tudják érni a bluetooth eszközöket A 12. Defcon konferencián egy Yagi antennával 800m-ről, később egy 19 dBi-s antennával 1,73 km-ről sikerült megtámadni egy sérülékeny telefont Tanulság: a fizikát nehéz kicselezni, bármennyire próbálják ezt kommunikálni a gyártók
(Kék)fogas kérdések Ha megvan a készülék és tudjuk róla az alapvető információkat, sejthetjük, hogy milyen támadásokra érzékeny A bluetooth protokoll (egyelőre) NEM sérülékeny A hiba (eddig) mindig a megvalósításban volt
BlueJack Nem igazi támadás Üzenetküldés névjegykártyák segítségével névtelenül Lehetőséget nyújt pl. az ismerkedésre, spammelésre... Az Object Push Profile-t használja ki Korábbi telefonokon használható, ahol az OPP-hez nem szükséges autentikálás
BlueBug AT parancsok kiadása egy rejtett csatornán A sérülékeny telefonoknál engedély nélkül lehet kiadni ezeket a parancsokat Minden telefon AT parancs listája elérhető az Interneten Ezekkel a telefon összes érzékeny adatához hozzá lehet férni, hívásokat indítani, stb.
BlueSnarf Az OBEX protokoll megvalósítási hibáját kihasználó támadás Az objektum PUSH, azaz feltöltés helyett PULL, azaz letöltés parancsot ad ki Ezzel gyakorlatilag az eszköz összes érzékeny részéhez hozzá lehet férni Nem szükséges hozzá párosítás A bluesnarfer alkalmazással a hiba egyszerűen kihasználható A Blooover nevű mobil java alkalmazással a támadás mobiltelefonról is kezdeményezhető
BlueSnarf++ Hasonló a BlueSnarf támadáshoz Csak sokkal nagyobb károkat tud okozni Teljes olvasás/írás hozzáférés a telefon fájlrendszeréhez A részletek nem publikusak Az érintett készülékek gyártói dolgoznak a javításon
HeloMoto A BlueSnarf és a BlueBug támadások ötvözete Elsőként Motorola telefonoknál fedezték fel A megbízható, párosított eszközök hibáját használja ki A támadó egy OBEX Push parancsot indít, amit időben megszakít A hiba miatt a támadó készüléke bekerül a megbízható eszközök közé Ezután az AT parancsok engedélyek nélkül kiadhatók
A betömött kékfogak esete A fenti támadásoknál az áldozatnak nem kellett engedélyeznie a behatolást A legtöbb bluetooth eszköznél azonban szükség van autentikációra Ez egy PIN kód szokott lenni Ha sikerül valahogy a PIN kódos azonosítást kijátszani, újra esély van az eszközbe való bejutásra
BlueBump Nem igazán „áldozatmentes” támadás A támadó megbízható kapcsolatba kerül az áldozattal pl. egy névjegy küldésével A kapcsolat nyitva marad, de az áldozat gépén a kapcsolati (link) kulcs törlődik A támadó egy kulcs újragenerálást kér Így egy új hiteles bejegyzés keletkezik, amiről az áldozat nem tud
BlueDump Shaked és Wool PIN kód törési technikáját felhasználó támadás A támadó egy kulcs újragenerálást kényszerít ki a megbízható felek között Ennek forgalmát elfogja, majd brute force módszerrel kitalálja a felhasznált PIN kódot Ezután a titkosított forgalmat dekódolni tudja Az egyik megbízható eszköz címét „spoofolva”, azaz megszemélyesítve hozzá tud férni a másik eszközhöz.
Bluetooth-os támadások? Paris Hilton telefonjáról kikerült a teljes névjegyzék és az SMS-ek A hírek szerint telefonjának bluetooth kapcsolatán keresztül hackelték meg Valójában a telefonja webes szinkronizálást használt, és ezt törték fel
Bluetooth-os támadások?
Bluetooth-os támadások? A Cabir, és hozzá hasonló féregvírusok bluetooth-on keresztül fertőzik a telefonokat A valóság az, hogy a férgek tényleg a bluetooth kapcsolatot használják a terjedésre De a fertőzéshez minden esetben az kell, hogy a telefon tulajdonosa feltelepítse azokat a gépére.
Bluetooth-os támadások?
Bluetooth-os támadások? A vírusirtókhoz olyan jelzések érkeztek, hogy a Lexus és Prius modellek fedélzeti számítógépeit a bluetooth-on keresztül terjedő féregvírusok fertőzik Az F-Secure tesztje azonban kimutatta, hogy a beépített bluetooth rendszer egyik nyilvános támadásra sem érzékeny
Bluetooth-os támadások?
Bluetooth-os támadások? A bluetooth-os kihangosítókat le lehet hallgatni a Car Whisperer segítségével Valójában a bluetooth képes headsetek általában valamilyen egyszerű PIN kóddal kapcsolódnak a telefonhoz (pl. 1234) A támadó ehhez a headsethez kapcsolódik hozzá, így beszélni tud a vezetőhöz, és hallja is őt A támadás a gyenge PIN kód beállítást használja ki
BlueSnarfing a gyakorlatban
Tanulságok A bluetooth biztonságos, egyik támadás sem a szabvány hibája miatt követhető el A hiba mindig a megvalósításban vagy a felhasználóban van Védekezni nagyon egyszerű: Csak akkor használjuk a bluetooth-t ha muszáj Állítsunk be „bonyolult” PIN kódot Csak akkor fogadjunk bármit a telefonra, ha biztosan tudjuk, hogy szükségünk van rá
Ajánlott oldalak www.trifinite.org www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/ www.remote-exploit.org www.betaversion.net/btdsd/ www.thebunker.net/security/bluetooth.htm
Köszönöm a figyelmet! Ha a technika ördöge nem szól közbe, lássuk a bemutatót! Elérhetőségem: krasznay@ik.bme.hu Az előadás letölthető a www.krasznay.hu oldalról