Подготовка и методы атаки Поголовье bluetooth-устройств стремительно растет, обрушиваясь на рынок снежной лавиной. Реклама утверждает, что протокол передачи данных надежно защищен, но она легко расстреливается снайперской винтовкой с расстояния в несколько километров. Хакеры уже давно ломают голубые зубы. Голубым зубом (BlueTooth) оснащаются сотовые телефоны, наладонники, ноутбуки и многие другие мобильные устройства, что делает его заманчивым объектом для взлома. Хакер может осуществлять несанкционированное подключение к устройству, перехватывать трафик, отслеживать перемещение жертвы в пространстве или устраивать полный DoS. Уже зафиксировано несколько случаев взлома влиятельных лиц, и с каждым днем интенсивность хакерства повышается. Разработчики Голубого Зуба делают морду тяпкой и сваливают всю ответственность на производителей оборудования, которые где-то что-то криво реализовали. Производители в свою очередь наезжают на пользователей, выбирающих предсказуемые PIN'ы, не выключающих голубой зуб после каждого сеанса передачи и т.д. В общем, виноватых не найдешь, а между тем количество BlueTooth-устройств уже исчисляется сотнями миллионов (!), и все говорит о том, что несколько следующих лет пройдут под знаменем Голубого Зуба, реальных конкурентов которому пока не видно. На Голубом Зубе собираются домашние и мелкокорпоративные локальные сети, голубой зуб встраивается в клавиатуры, мыши, принтеры, часы и даже системы управления автомобилем. А это уже серьезно! Зверски спланированная операция может привести не только к утечке конфиденциальных данных, но и человеческим жертвам. Эта статья не призывает ломать, мы просто хотим показать, насколько небезопасен голубой зуб, а доверять ему или нет - пусть каждый решает сам! Сущность голубого зуба Голубой зуб представляет собой устройство, работающее в диапазоне частот от 2400 до 2483,5 МГц (а вовсе не 2,4 МГц, как думают некоторые). На этой же частоте работают микроволновые печи, беспроводные сети стандарта 802.11b/g, радиотелефоны и многие другие устройства, агрессивно конфликтующие между собой. Для решения этой проблемы голубой зуб использует специальный алгоритм скачкообразной перестройки частоты. Весь частотный диапазон "нарезается" на 79 каналов с шириной в 1 МГц, и каждые 625 мкс (1600 раз в секунду) происходит смена канала, выбираемого по псевдослучайному принципу. Каждая такая порция вещания образует time-slot (тайм-слот), для простоты называемый слотом. Передаваемые данные разбиваются на пакеты по 2745 бит, каждый из которых "размазывается" по нескольким тайм-слотам (до пяти слотов максимум). Устройства взаимодействуют по схеме master-slave (хозяин-раб или ведомое и ведущее устройство). Один мастер может иметь до семи рабов, мастер вещает в четных слотах, а рабы - в нечетных. Поддерживаются два типа связи: асинхронный (ACL - asynchronous connectionless) и синхронный (SCO - synchronous connection oriented). Синхронный режим преимущественно используется для передачи речи, асинхронный - для обмена данными. Расчетная пропускная способность канала в асинхронном режиме составляет 1 Мбит/с, при этом заголовки и другая служебная информация "съедают" 20% трафика, оставляя нам ~820 Кбит/с, но на практике все зависит от условий связи и конструктивных особенностей конкретного передатчика. Ведомое и ведущее устройство могут иметь только один канал (link) асинхронной связи, организованный по схеме точка-точка (point-to-point) или работающий в широковещательном режиме (broadcast), причем без разрешения хозяина раб не может переходить на асинхронный тип передачи. В синхронном режиме связи мастер может поддерживать до трех каналов с одним, двумя или тремя ведомыми устройствами, с расчетной пропускной способностью каждого канала в 64 Кбит/с. Вещание ведется в слотах, назначаемых мастером. Слоты, не используемые в синхронном режиме, могут использоваться асинхронным. Предельно допустимая мощность передатчика по спецификациям должна составлять 10 мВт, что обеспечивает устойчивую работу в радиусе 10-25 метров. Снайперская антенна Для охоты за голубым зубом необходимо увеличить радиус действия устройства хотя бы до сотни метров. Это легко! Достаточно разобрать адаптер, найти медную дорожку, изогнутую сексуальной буковкой "П", и припаять к ней провод от внешней антенны на 2,4 ГГц, позаимствованной у WLAN-устройств. Однако для серьезной атаки дистанция в сотню метров явно недостаточна, и настоящие охотники обзаводятся узконаправленными антеннами типа randome или parabolic. Ими торгуют многие компании, например HyperLink Technology или MAXRAD. Оформить заказ можно по интернету. Хорошая антенна стоит в пределах полусотни долларов, плюс пересылка и растаможка. Самой широкой популярностью пользуется модель HG2415Y от HyperLink Technology с коэффициентом усиления 14 dB и подходящей диаграммой направленности. Компактные габариты (462x76 мм) позволяют уложить антенну в спортивную сумку или рюкзак, которые скрывают ее от посторонних глаз и не привлекают внимания посторонних. Для удобства "прицеливания" (а попасть в голубой зуб при такой диаграмме направленности не так-то легко) многие хакеры насаживают антенну на фотографический штатив, приделывают к ней приклад и оптический прицел, в результате чего получается самое настоящее радиоружье с поражающим действием на дистанции до одного километра. Из параболических антенн рекомендуют HG2424G все от той же HyperLink Technology. Коэффициент усиления в 24 dB выше всяких похвал. Острая диаграмма направленности бьет голубой зуб за несколько километров, однако неуклюжие габариты (100x60 см) существенно затрудняют ее транспортировку, а чрезмерная узконаправленность создает проблемы для прицеливания, особенно актуальные при слежении за быстродвижущейся жертвой, так что во многих случаях HG2415Y все же оказывается предпочтительнее. Полутораметровая параболическая антенна HG2430D с усилением в 30 dB обойдется уже в $300. Стоит ли она того? Для охоты с балкона на стационарные мишени - да, но для полевой охоты она слишком громоздка и неудобна. Авторизация и аутентификация Голубой зуб поддерживает несколько режимов секретности: Security Mode 1 (nonsecure - открытый), Security Mode 2 (Service-level enforced security - секретность уровня сервиса) и Security Mode 3 (Link-level enforced security - секретность уровня канала). В mode 1 все системы защиты выключены. Не используется ни аутентификация, ни шифрование, а само BlueTooth-устройство работает в широковещательном режиме (он же "неразборчивый" - promiscuous), что делает возможным построение сниферов из доступных компонентов. В mode 2 сразу же после установки соединения начинается процесс аутентификации, осуществляемый по L2CAP-протоколу (Logical Link Control and Adaptation Protocol - протокол управления логическим каналом и адаптации) и выполняемый Менеджером безопасности (Security Manager), находящимся на канальном уровне и взаимодействующим с протоколами верхних уровней. Это позволяет выборочно ограничивать доступ к устройству, например, все могут просматривать данные, но не все - изменять их. В mode 3 аутентификация происходит перед установкой соединения на канальном уровне, за счет чего все "левые" устройства будут отшиты еще на этапе подключения. Поддерживается "прозрачное" шифрование трафика, выполняемое без участия протоколов верхнего уровня, что обеспечивает максимальный уровень безопасности и комфорта, однако даже в этом случае степень защиты относительно невелика и устройство может быть легко взломано. Фундаментом безопасности является схема генерации ключей. Ключи генерируются на основе PIN-кодов. PIN-код представляет собой персональный идентификационный номер, длиной от 1 до 16-ти байт, назначаемый владельцем устройства и хранимый в энергонезависимой памяти. Большинство мобильных устройств используют 4-значный (32-битный) PIN-код, по умолчанию выставленный в ноль. Некоторые устройства отказываются работать с нулевым PIN'ом, вынуждая пользователей изменять его на "1234" или что-то в этом роде. Но ломать такие PIN'ы неинтересно. Это все равно, что расстреливать кабана, привязанного к дереву. На основе PIN-кода генерируется 128-битный Link Key, вычисляемый по алгоритму E2. В свою очередь, на основе Link Key'я генерируется 128-битный Encryption Key, вычисляемый по алгоритму E3. Link Key используется для аутентификации, а Encryption Key – для шифрования трафика. Аутентификация осуществляется по классической схеме запрос-отклик, такой же древней, как сам компьютерный мир (регистрация пользователя в UNIX и Windows NT построена по тем же принципам). Первый шаг: Инициатор соединения (claimant) посылает заинтересованному устройству (verifier) свой уникальный 48-битный аппаратный адрес (BD_ADDR), в каком-то смысле похожий на обычный MAC-адрес, зашитый в каждой сетевой карте. Второй шаг: Verifier передает claimant'у 128-битную привязку (challenge), генерируемую случайным образом и обозначаемую как AU_RAND. Третий шаг: На основе BD_ADDR, Link Key и challenge Verifier генерирует секретную шифропоследовательность (SRES), то же самое делает transmitter. Четвертый шаг: Полученную шифропоследовательность claimant передает Verifier'у. Пятый шаг: Verifier сравнивает вычисленную им SRES с откликом claimant'а и, если они совпадают, устанавливает соединение. Таким образом, в открытом виде PIN-код не передается и поэтому не может быть перехвачен. Но он может быть подобран. В самом деле, мы можем перехватить BD_ADDR, AU_RAND и SRES, после чего нам остается всего лишь подобрать такой Link Key, который при данных BD_ADDR и AU_RAND давал бы идентичный SRES. Даже если используется 128-битный PIN, полный перебор на Pentium-4 занимает всего лишь несколько часов, а 4-символьный PIN взламывается практически мгновенно! Методы атаки - Bluetracking Атаки типа Bluetracking основаны на том, что адрес устройства BD_ADDR передается в Сеть в незашифрованном виде и может быть легко перехвачен и декодирован. Хакер может определить производителя устройства, модель и ее происхождение. Группа хакеров, рассредоточенных по городу и вооруженных антеннами типа randome, без труда отслеживает перемещение жертвы со всеми вытекающими отсюда последствиями. Методы атаки - Bluesnarfing Серия нашумевших атак типа Bluesnarfing все еще не потеряла свой ореол загадочности. Под изумленные взгляды окружающих хакеры вытягивают с сотовых телефонов записные книжки, содержимое адресной книги, архив SMS-сообщений и другую приватную информацию. Черт возьми, как?! Хакеры улыбаются, но не отвечают. Разработчики голубого зуба подтверждают возможность атаки (www.bluetooth.com/help/security.asp), но технических деталей не разглашают. Еще бы! Во многих мобильных устройствах служба обмена объектами (Object Exchange - OBEX) работает в non-secure-режиме, не требуя никакой аутентификации! Этим, в частности, грешат сотовые телефоны от Nokia (модели 6310, 6310i, 8910 и 8910i), Ericsson и Sony Ericsson (в особенности модели T68, T68i, R520m, T610 и Z1010), Motorola (V80, V5xx, V6xx and E398), а Siemens всегда работает в защищенном режиме. Методы атаки - Bluebugging Атаки типа Bluebugging (также называемые Blue Bug) представляют собой разновидность Bluesnarfing-атак, но вместо обмена объектов происходит засылка AT-команд по все тому же OBEX-протоколу. AT-команды - это обыкновенные коммуникационные команды, знакомые любому модемщику. С их помощью можно отправлять SMS-сообщения, осуществлять голосовые звонки за счет жертвы и даже выходить в интернет по WAP/GPRS-протоколам. И все это безо всякой аутентификации! Blue Bug - это серьезно, так что владельцам неблагонадежных сотовых телефонов лучше всего держать голубой зуб выключенным. Наконец, даже полностью защищенные телефоны типа того же Siemens могут быть взломаны лобовым перебором. Как уже отмечалось, 4-значный PIN вскрывается за несколько секунд, и даже если в будущих моделях производители увеличат длину PIN-кода до 16-ти байт, это не остановит взломщиков и сильно напряжет пользователей. Такой PIN сможет запомнить далеко не каждый, а это значит, что повсеместно будут использоваться осмысленные "словарные" номера, существенно упрощающие их перебор. Существует более двух десятков типов атак, которые было бы слишком утомительно описывать здесь. Тот, кто хочет узнать больше, может обратиться к замечательной книге Wireless Network Security или другим подобным документам. Чем ломать Хачить голубой зуб лучше всего под Linux'ом, открытая архитектура которого позволяет использовать уже готовые компоненты и содержит кучу полезных утилит, которые можно использовать для сканирования или Bluesnarfing-атаки. Например, hciconfig, запущенную с ключом "-ifconfig", или hcitool cо следующими ключами: Scan - просканировать периметр и распечатать список обнаруженных BlueTooth-устройств, Name - возвратить имя удаленного устройства, Cmd - управление локальным голубым зубом по HCI-интерфейсу, Cc - создать подключение. Подробное разъяснение всех команд содержится в man'е. До HCI-интерфейса можно дотянуться через Ioctl-коды или опции сокетов. Команды, отвечающие за это, имеют характерный префикс HCI. К их числу принадлежат HCI_Create_New_Unit_Key, HCI_Read_Pin_Type, HCI_Read_Authentication_Enable, HCI_Read_Encryption_Mode, HCI_Change_Local_Link_Key, HCI_Master_Link_Key и многие другие. Банзай! Взлом голубого зуба - это не фантастика. Это реальность, доступная каждому из нас. Есть такой вид радиоспорта - охота на Лис. В укромном месте закладывается передатчик (лиса), который пытаются запеленговать вооруженные приемниками радиолюбители. Кто первый обнаружит его, тот и победил. По аналогии с этим, дистанционный взлом Голубого Зуба был прозван Охотой на Кур - беззащитных пользователей, трепещущих под снайперским радиоружьем, словно желторотые птенцы. Это азартно и интересно. Это захватывает и не отпускает. Подстрелив свою первую дичь, хочется стрелять еще и еще. Долгое сидение в засаде, предварительная техническая подготовка, тщательно отлаженная экипировка, которая ни за что не подведет, и, конечно же, чувство справедливого восторга хищника, набрасывающегося на ничего не подозревающую добычу. Что в имени твоем Общепринятая практика перевода BlueTooth как "голубой зуб" выглядит довольно странной, если не сказать подозрительной. В качестве оправдания вспоминают короля викингов Harald Blutend, якобы получившего свое прозвище из-за потемневшего переднего зуба и воссоединившего Данию и Норвегию. Будто бы произношение его имени созвучно с BlueTooth'ом, в честь которого он и был назван. Легендарный хакер Юрий Харон предлагает свою версию перевода, которая нам кажется наиболее близкой к истине (если, конечно, допустить, что истина вообще есть). Blue – на жаргоне электронщиков означает "легкий", "простой", а tooth – "сцепка", "зацепление". Соединив все вместе, получаем: "легкая сцепка", "простая связь". Логично? Ошибка переполнения в WIDCOMM Создатели голубого зуба предлагают готовое программное обеспечение для его поддержки, распространяемое под торговой маркой WIDCOMM (Wireless Internet and Data/Voice Communications - беспроводной интернет и коммуникации для передачи голоса и данных), что избавляет производителей оборудования от самостоятельной реализации всего стека протоколов. Программисты старой школы (к которым принадлежит и Юрий Харон) хорошо знают истинную цену решений из "пробирки". Напоровшись на чужие ошибки пару раз, они перестают доверять любому коду, кроме своего собственного. И не зря! В августе 2004 года в WIDCOMM'е было обнаружено тривиальное переполнение буфера, позволяющее захватывать управление устройством простой посылкой специально подготовленного пакета. Никакой PIN для этого подбирать не нужно! Уязвимость затрагивает BTStackServer версии 1.3.2.7, 1.4.1.03 и 1.4.2.10, используемые в Windows 98, Windows XP, Windows CE и др. Кроме этого, WIDCOMM используется многими компаниями: Logitech, Samsung, Sony, Texas Instruments, Compaq, Dell... Полный перечень включает в себя более трех десятков наименований. Все BlueTooth-устройства, производимые этими компаниями, находятся под угрозой и в любой момент могут быть атакованы. Для популярного наладонника HP IPAQ 5450 даже написан специальный эксплойт! В некоторых случаях проблема решается установкой всех заплаток или сменой прошивки, некоторые же устройства остаются открытыми до сих пор. Подробности можно найти по адресу www.pentest.co.uk/documents/ptl-2004-03.html. Bluetooth-устройства ломают и ломают на расстоянии. Bluetooth-устройства работают в диапазоне частот от 2400 до 2483,5 МГц (а вовсе не 2,4 МГц, как думают некоторые. Хорошая антенна для охоты стоит в пределах $50, плюс пересылка и растаможка. Лучше - дороже. Bluetooth поддерживает несколько режимов секретности: Security Mode 1, Security Mode 2 и Security Mode 3. -------------- (c) Крис Касперски
статья неплохая - Крис умеет писать, чтоб читалось легко, интересно, но все же интерсней читать статьи, которые автор пишет не только на основе собранного по инету материала, а те в которые вкладуется хоть немного опыта работы с тем, о чем пишешь.. p.s. +5 поставлю тому, кто первый найдет где Крис соврал в этой статье..
