Автор Marek Bialoglowy Перевод Войновича Андрея Введение в Bluetooth Bluetooth (BT) – беспроводная технология, позволяющая широкому ряду устройств взаимодействовать друг с другом и соединяться с сетью Internet без проводов, кабелей и разъемов. Эта технология поддерживается и используется более чем 3000 компаниями, включая Sony Ericsson, Nokia, Motorola, Intel, IBM, Toshiba, Motorola, Apple, Microsoft, и даже Toyota, Lexus и BMW. Из множества продуктов, доступных на рынке, технологию Bluetooth поддерживают принтеры, карманные компьютеры, клавиатуры, автомобили и - самая популярная область применения Bluetooth - мобильные телефоны, охватывающая 60% рынка Bluetooth устройств. Эта технология уже завоевала огромную популярность (каждую неделю выпускаются более чем 3 – миллиона устройств с поддержкой Bluetooth). По опросу IDC к 2008 году во всем мире будет около 922 миллиона Bluetooth – устройств. Новая технология представляет большой интерес и пользу до тех пор, пока не появится угроза в плане частной жизни и безопасности пользователей Bluetooth. Идея о внедрении Bluetooth возникла в 1994 году, когда команда исследователей Ericsson Mobile Communications под руководством доктора Jaap Haartsen и доктора Sven Mattisson положили начало изучению универсальной, действующей в узком диапазоне, маломощной беспроводной технологии связи с целью экономии кабелей между мобильными телефонами и компьютерами, наушниками и другими устройствами. Bluetooth, который мы знаем сегодня, развился благодаря Bluetooth Special Interest Group (SIG) – промышленной ассоциации, появившейся в мае 1998 года и официально открывшейся в сентябре 1998 года. Позднее к Bluetooth SIG примкнули Ericsson, IBM, Intel, Nokia и Toshiba, позже в декабре 1999 - 3Com Corporation, Lucent Technologies, Microsoft Corporation и Motorola Inc. После нескольких лет исследований Bluetooth использует свободную и доступную Industrial-Scientific-Medical (ISM) радио частоту 2.4ГГц, не требующей лицензирования для использования устройств малой мощности в радиусе действия от 10 до 100 метров при скорости передачи данных до 723.2 кб/сек, или 2.1Мб/сек с новой спецификацией Расширенной Передачи Данных (Enhanced Data Rate), которая появилась в 2005 году. Каждое устройство может одновременно обмениваться данными с семью другими в радиусе действия пикосети. Bluetooth был изначально запланирован как безопасный вид связи. Т.е. он включал в себя аутентификацию, шифрование, контроль качества обслуживания (quality of service - QoS) и другие функции зашиты. Как бы то ни было, в этой статье будет показано, что Bluetooth в ряде случаев уязвим, в результате чего злоумышленник уже сейчас может провести успешное нападение против Bluetooth устройств. Технология постоянно изучается и дополняется в целях сделать ВТ быстрее, безопаснее и дешевле, а также добавить дополнительные функции. Возможности безопасности Bluetooth Самая известная и основная функция механизма безопасности Bluetooth – это возможность выбрать состояние устройства: «Видимый» (другим устройствам) и «Невидимый» ("Discoverable" "non-discoverable"), как показано на примере с карманным компьютером на рисунке 1. Когда устройство Bluetooth работает в режиме «Видимый», то можно легко произвести сканирование радиуса и найти это устройство при помощи PC и загрузить личные данные. Как это сделать мы покажем ниже. Этот метод может легко использоваться для кражи персональных данных высокопоставленных людей и знаменитостей, которые чаще всего не понимают технологии Bluetooth. Установка Bluetooth в режим «Невидимый» предотвращает появление устройства ВТ в списке сканирования. Однако его все еще могут обнаружить устройства с похожими Bluetooth МАС адресами, что может быть последствием предыдущего контакта двух устройств (имеются в виду устройства, которые взаимодействовали хотя бы один раз). Сканирование адресов Bluetooth Адрес Bluetooth представляет собой индивидуальный идентификатор длиной 48 бит, причем первые 3 байта адреса определяют своего производителя по IEEE (www.ieee.org/), а последние 3 байта свободно присваиваются производителем устройства. Например, шестнадцатеричное представление адреса Bluetooth телефона Sony Ericsson P900 может выглядеть следующим образом 00:0A9:EB:66:C7, где первые 3 байта (00:0A9) адреса присвоены компании изготовителю Sony Ericsson всё той же IEEE (Institute of Electrical and Electronics Engineers Институт инженеров по электротехнике и электронике - профессиональное объединение, выпускающие свои собственные стандарты; членами IEEE являются ANSI и ISO), а это означает, что все модели телефонов Р900 будут иметь точно такие же первые 3 байта адреса Bluetooth. Последние 3 байта (EB:66:C7) присваиваются изготовителем и должны быть разными для каждого представителя серии Р900 – но, к сожалению, это не всегда так. Теоретически, задействовав режим «Невидимый», устройство ВТ должно быть защищено от неавторизованных соединений, но на практике возможно осуществить поиск таких устройств. Существует программное обеспечение, позволяющее искать «Невидимые» ВТ по брут - форсу. Примером такого ПО можно назвать программу RedFang, выпущенную Ollie Whitehouse. Это маленькое приложение пытается соединиться со случайными ВТ адресам по одному, пока какое-нибудь устройство не ответит на запрос, посланный на его адрес. К сожалению, этот прием пока что является только РоС, чем серьезным инструментом взломщика. Главное препятствие осуществления такого приема брут – форса это время, которое тратится на попытку соединения с одним ВТ. По тестам автора это время составляет как минимум 6 секунд для достижения хорошего качества соединения (на самом деле это время варьируется от 2.5 до 10 секунд). Конечно, можно найти «Невидимку» и за 3 секунды, но скорее всего потеряв некоторые устройства, что в последствии повлияет на результаты сканирования не в лучшую сторону. Чтобы представить это более наглядно, давайте посмотрим на четкие цифры. Адресное пространство, используемое Sony Ericsson, имеет 16 777 216 возможных адресов. Умножим эту цифру на 6 секунд (которые требуются для попытки соединения на одно устройство), то полное сканирование займет 1165 дней, то есть чтобы найти все спрятанные устройства Sony Ericsson в комнате совещаний нам потребуется более 3 дет. Из всего этого следует, что этот прием бесполезен для злоумышленника, т.к. занимает слишком много времени. Однако уже сейчас есть методы поиска «Невидимого» ВТ значительно быстрее. У большинства устройств ВТ (почти все сейчас – мобильные телефоны) есть яркий голубой светодиод, показывающий включена ли на телефоне функция ВТ. Если хакер видит мобильник с большим голубым диодом и не может найти его при помощи стандартного средства поиска ВТ, то он поймет, что устройство работает в невидимом режиме. Основываясь на этом, злоумышленник будет знать, что на этом устройстве работает ВТ, а если будет видеть его, то наверняка сможет узнать модель телефона – после чего сможет провести брут – форс на адреса ВТ и сделает процесс поиска гораздо проще. Уменьшение числа возможных адресов Прежде всего, если производитель устройства известен, то количество возможных ВТ адресов строго ограничено до 16 777 216. Более того, основываясь на начальных исследованиях, некоторые производители устройств ВТ присваивают вполне предсказуемые диапазоны адресов определенным моделям. Например, адреса большинства моделей Sony Ericsson P900 начинаются с 7 знаков 00:0A9:E, в результате чего остается только 5 неизвестных знаков адреса, что во много раз уменьшает количество необходимых запросов с более чем 16 миллионов до 1 048 576. Ко всему этому четвертый байт адреса модели SE P900 в большинстве случаев находится в диапазоне E7-EE, что уменьшает число возможных адресов до 524 288. Это означает, что, при поиске одного адреса в течение 6 секунд, полное сканирование займет уже 36 дней. Согласитесь, это намного меньше, чем полное сканирование адресов Sony Ericsson, которое может занять 1165 дней. Но 36 дней – слишком большой период, чтобы данный метод был полезен для хакеров. В настоящее время не существует базы диапазона адресов для каждой модели. Например, большинство трубок Nokia имеют имеют практически случайный разброс BT адресов, тогда как у некоторых моделей Р900 были обнаружены одинаковые адреса 11:11:11:50:11:11! Время, необходимое для полного сканирования адресов ВТ может быть сокращено не только при помощи четкого определения диапазона адресов, а также при помощи увеличения скорости сканирования. Текущая версия программы RedFang (v.2.5) предоставляет возможность совместного использования заглушек ВТ в процессе поиска. Если мы используем только 8 USB ВТ заглушек и можем получить преимущество от выше упомянутого диапазона адресов трубок Sony Ericsson P900, то мы сможем найти все «Невидимые» SE P900 в течение четырех с половиной дней. Неплохо, но это все еще слишком долго. Не стоит забывать, что изучение ВТ является относительно новым направлением, и в скором времени могут быть разработаны новые методы взлома и инструменты сканирования. Узнаем адрес Bluetooth в процессе соединения Адрес Bluetooth также может быть извлечен в процессе соединения, т.к. сам адрес не зашифрован, даже если пользователь выбирает режим шифрования соединения. Это и является самой важной проблемой у текущей спецификации Bluetooth. Скачкообразная перестройка частоты (1600 скачков/сек) предоставляет основную защиту устройствам ВТ при работе в режиме без шифрования. Как бы то ни было, скачкообразная перестройка частоты, используемая в ВТ, является псевдослучайной, а значит хакер, имея необходимое оборудование, сможет выполнить синхронизацию с моделью перестройки, используемой двумя ВТ во время соединения. Кроме того, последовательность скачков распространяется на все устройства пикосети, что может также помочь злоумышленнику. Стоит заметить, что уже сегодня на рынке доступны устройства, позволяющие перехватывать соединения ВТ и анализировать их (приблизительная цена такого устройства составляет $9500), пока что только цена смущает приобрести такие устройства большинству взломщиков. Особенно злонамеренные взломщики могут получить преимущество от владельцев телефонов, которые используют свои трубки с включенным ВТ в «Видимом» режиме. Такое случается довольно часто, т.к. для начала паринга одна из трубок должна быть в «Видимом» режиме (процесс паринга будет описан в следующем разделе). Иногда пользователи просто забывают отключить этот режим, хотя это очень легко сделать. Или, что более вероятно, просто не понимают что вообще такое «Видимый» режим. Необходимость устройства находится в «Видимом» режиме в процессе паринга с другим устройством ВТ является на самом деле очень полезным для взломщиков, ведь они могут успеть за этот короткий промежуток времени записать адрес. Ни одна модель трубок, доступных на данный момент в магазинах не позволяет вводить адреса вручную для паринга, это и объясняет необходимость одного устройства в «Видимом» режиме. Следуя из того, что ВТ адрес статический и не может быть изменен пользователем, то атакующему нужно записать адрес всего лишь один раз. Из этого ясно, что хакеру достаточно одного короткого промежутка времени в «Видимом» режиме, чтобы соединиться с устройством до того, как его переключат в «Невидимый» режим, причем пользователь трубки не сможет блокировать соединение. Это происходит из-за того, что мобильные телефоны всегда принимают соединение о запросе L2CAP без разрешения пользователя. К сожалению, на сегодняшний день мобильные устройства не обеспечиваются функцией ограничения низкоуровневого соединения L2CAP к устройству ВТ или блокирования отдельного адреса. Короче говоря, ВТ – фаервол попросту недоступен по умолчанию. Методы паринга и защиты ВТ Распространенная задача, которой ломают головы большинство пользователей ВТ это защита паринга устройств. По умолчанию соединение ВТ не поддерживает аутентификацию, вследствие чего, почти любое устройство может соединиться с другим. Однако, чтобы получить доступ к какому-либо сервису, например: dial-up акаунт, голосовая почта или чтобы осуществить пересылку файла, некоторый вид аутентификации все же необходим. Процесс аутентификации во время паринга обычно заключается в вводе PIN – кодов (паролей) на обоих устройствах, как показано на рисунке 2. Рисунок 2. Пример аутентификации в процессе паринга ВТ С момента ввода правильных PIN – кодов, оба устройства будут генерировать ключ связи, который может быть сохранен в памяти устройства и позволит пропустить процесс аутентификации при следующей попытке соединения с уже парным устройством. Проблемы производителей К сожалению пользователей ВТ, процесс аутентификации и авторизации для доступа к сервисам не всегда корректно осуществлен изготовителем. Эти недостатки были найдены в некоторых моделях трубок от Sony Ericsson и Nokia, что позволяет злоумышленнику выкрасть телефонные книги, фотографии и информацию из календаря (органайзера), или даже позволит хакеру сделать звонок или послать sms, используя чужую трубку. Все это из-за недостатка авторизации, необходимой для 2 важных сервисов. Чтобы осознать опасность уязвимости, просто представьте, что с вашей трубки послали sms содержанием об угрозе взрыва бомбы в местном отделении милиции. Записи билинговой системы укажут именно на вас, как на владельца телефона и автора сообщения, и наверняка будет невозможно узнать настоящего автора sms, т.к. мобильные телефоны не ведут записей об использовании ВТ. Хуже того, значительное большинство телефонов даже не сохраняют копию sms, посланного через ВТ АТ – команды. В конечном счете, вы даже не заметите, что с вашего телефона послали sms, а если и узнаете, то только после того, как получите отчет об отправке (и то если эта функция включена). Вышеупомянутая уязвимость охватывает телефоны Nokia и Sony Ericsson и для ее успешной эксплуатации не требуется особых знаний или модификаций ВТ стэка. Это может сделать любой опытный BT пользователь на платформе Linux. Чтобы выкрасть информацию из записной книжки модели Т610 необходимо знать всего две стандартные команды: Вот и всё, что требуется для кражи телефонного справочника из небезопасного Т610. Обе команды hcitool и obexftp являются стандартными ВТ – командами, доступными в любом дистрибутиве Linux в поставке с пакетом ВТ. Стоит заметить, что данная уязвимость была обнаружена Адамом Лаури (Adam Laurie), и ей подвержены многие трубки, включая Nokia 6310, 6310i, 8910, 8910i, Sony Ericsson T68, T68i, R520m, T610, Z600 и, возможно, другие. Уязвимость была тщательно рассмотрена командой trifinite.group, которая опубликовала очень много информации на своем веб-сайте, и даже разработали приложение Blooover, которое использует уязвимость. Производители уже выпустили обновление, но простое сканирование легко находит уязвимые трубки, к примеру, в вашем местном магазине. Не удивителен факт, что большинство неопытных пользователей, которым нужно лишь посылать sms и делать звонки, даже не задумываются о том, что программное обеспечение их телефона нужно периодически обновлять. Все же удивительно видеть устройства с такими дефектами сегодня на рынке. Опасность поддельного АР Процесс паринга осуществлен в большинстве телефонов таким образом, что ведет за собой еще одну опасность. Список найденных устройств ВТ на мобильном телефоне отображается только в виде имен, но не показывает действительный ВТ адрес, как показано на рисунке 3. Рисунок 3. Найденные устройства не отображают свой ВТ адрес. Всвязи с тем, что имя устройства (как «ULTOR» вверху окна) может быть легко присвоено любым пользователем, и это имя не должно использоваться как единственный идентификатор в процессе паринга; ВТ адрес должен отображаться и проходить дополнительную проверку. Эта незначительная на первый взгляд деталь может быть использована во многих случаях, особенно в общедоступных сервисах, доступных через ВТ. Например, точка доступа в Интернет через ВТ может быть атакована путем установки ложной точки доступа. Устройство может иметь то же самое имя, что и подлинная точка доступа, и может быть сконфигурирована для принятия того же PIN’a и даже предоставить доступ в Интернет. Однако все данные во время соединения будут перехвачены и проанализированы на наличие паролей и другой важной информации. Эта атака может быть осуществлена и другим путем. В некоторых странах существуют мобильные киоски, которые могут послать мелодию звонка или игру на трубку через ВТ. Когда пользователь выбрал содержимое для закачки на свою трубку и видит в списке ВТ устройств что-то типа «MOBILE-KIOSK», это самое устройство с именем «MOBILE-KIOSK» соединяется с трубкой пользователя и посылает игру. Проблема в том, что мы не знаем, действительно ли устройство с именем «MOBILE-KIOSK» тот самый киоск, к которому мы хотим соединиться, и опять же ВТ адрес мы не увидим. Это устройство может с большой вероятностью быть КПК хакера, который рассылает мобильные вирусы или бэкдоры (проще троянцы). Конечно, такого рода атаки могут быть предотвращены улучшением процесса аутентификации, но в большинстве существующих мобильных киосков имеется лишь худо - бедно выполненная защита по PIN’y, и тот обычно постоянный. Социальная инженерия с Bluetooth Мобильные телефоны с поддержкой ВТ используется людьми, что позволяет атаковать их при помощи социальной инженерии. Неосведомленность в безопасности и непонимание сущности технологии Bluetooth является прямым преимуществом для взломщиков. Один из тестов, которые я проводил для написания этой статьи четко показали что атаки социальной инженерии на ВТ вполне осуществимы. Чтобы протестировать эту теорию, я называл мой КПК с ВТ PIN1234, 1234 или PASS1234 (в разных тестах по-разному) и просто пытался соединиться с видимыми устройствами в пределах самой большой закусочной (вроде мак-дональдса) в Джакарте. В радиусе 200 метров я мог найти от 3 до 11 устройств с ВТ, и пытался соединиться с каждым из них. Удивительно, но в среднем в 1 из 10 раз мое соединение было принято. Пользователи телефонов просто читали "PIN1234" как имя устройства, пытающегося соединиться в их трубке, после чего набирали PIN (тот самый пароль) 1234 чтобы принять соединение. Потенциально это позволяло мне скопировать содержимое их телефонной книжки, послать sms с атакованного телефона, или даже прочитать входящие sms через команды АТ. Я могу добавить, что 4 из 10 попыток не увенчались успехом просто потому, что пользователь просто не заметил соединения к телефону (запрос на соединение продолжался 30 секунд), а значит, вероятность успеха такой атаки будет довольно таки высокой для пользователей, которые замечают попытки соединения. Интересна еще одна вещь: большинство пользователей не понимают, что, принимая соединение, они могут не только получить данные, но и предоставить свои данные для просмотра и копирования, или даже для изменения. p.s. обзор по запросу Elekt http://forum.antichat.ru/threadedpost467153.html
Безопасность Bluetooth зависит от настройки Для защиты Bluetooth-соединения предусмотрено шифрование передаваемых данных, а также выполнение процедуры авторизации устройств. Шифрование данных происходит с ключом, эффективная длина которого — от 8 до 128 бит, что позволяет устанавливать уровень стойкости результирующего шифрования в соответствии с законодательством каждой страны. Поэтому стоит сразу отметить, что правильно сконфигурированные Bluetooth-устройства спонтанно соединяться не могут, поэтому случайных утечек важной информации к посторонним лицам не бывает. К тому же ничто не ограничивает защиту на уровне конкретных приложений. В зависимости от выполняемых задач спецификация Bluetooth предусматривает три режима защиты, которые могут использоваться как по отдельности, так и в различных комбинациях: В первом режиме — минимальном (который обычно применяется по умолчанию) — никаких мер для безопасного использования Bluetooth-устройства не предпринимается. Данные кодируются общим ключом и могут приниматься любыми устройствами без ограничений. Во втором режиме осуществляется защита на уровне устройств, то есть активируются меры безопасности, основанные на процессах опознания/аутентификации (authentication) и разрешения/авторизации (authorization). В этом режиме определяются различные уровни доверия (trust) для каждой услуги, предложенной устройством. Уровень доступа может указываться непосредственно в чипе, и в соответствии с этим устройство будет получать определенные данные от других устройств. Третий режим — защита на уровне сеанса связи, где данные кодируются 128-битными случайными числами, хранящимися в каждой паре устройств, участвующих в конкретном сеансе связи. Этот режим требует опознания и использует кодировку/шифрование данных (encryption). Второй и третий режимы часто применяются одновременно. Главная задача процесса аутентификации состоит в том, чтобы проверить, действительно ли устройство, инициирующее сеанс связи, является именно тем, за которое себя выдает. Устройство, инициирующее связь, посылает свой адрес-идентификатор (Bluetooth Device Address, BD_ADDR). Инициируемое устройство посылает в ответ случайное число в качестве запроса. В это время оба устройства рассчитывают опознавательный ответ, комбинируя адрес-идентификатор с полученным случайным числом. В результате сравнения происходит либо продолжение установления связи, либо разъединение (если опознавательные ответы не совпадут). Если кто-то подслушивает соединение по эфиру, то для того, чтобы украсть аутентификационный ключ, ему необходимо знать алгоритм для выявления ключа из запроса и ответа, а определение такого обратного алгоритма потребует значительной компьютерной мощности. Поэтому стоимость извлечения ключа простым подслушиванием процедуры аутентификации неоправданно высока. Что касается авторизации, то она предназначена для того, чтобы опознанное Bluetooth-устройство разрешило доступ к определенной информации или к услугам. Существуют три уровня доверия между Bluetooth-устройствами: проверенное (trusted), не вызывающее доверия (non-trusted) и неизвестное (unknown). Если устройство имеет доверительные отношения с инициирующим, то последнему разрешается неограниченный доступ к ресурсам. Если же устройству не доверяют, то доступ к ресурсам ограничивается так называемыми защитными слоями обслуживания (layer security service). Например, первый защитный слой требует опознания и разрешения для открытия доступа к сервису, второй — только опознания, третий — только кодировки. Неизвестное устройство, которое не было опознано, считается непроверенным. И наконец, 128-битное шифрование данных помогает защитить секретную информацию от просмотра нежелательными посетителями. Только адресат с личным расшифровывающим ключом (decryption key) имеет доступ к этим данным. Расшифровывающий ключ устройства основан на ключе связи. Это упрощает процесс генерации ключа, так как отправитель и адресат обладают общей секретной информацией, которая расшифрует код. Служба Bluetooth-шифрования имеет, в свою очередь, три режима: • режим без кодирования; • режим, где кодируется только установление связи с устройствами, а передаваемая информация не кодируется; • режим, при котором кодируются все виды связи. Итак, защитные функции Bluetooth должны обеспечивать безопасную коммуникацию на всех связующих уровнях. Но на практике, несмотря на предусмотренную стандартом безопасность, в этой технологии имеется целый ряд существенных изъянов. Например, слабым местом защиты Bluetooth-устройств является то, что производители стремятся предоставить пользователям широкие полномочия и контроль над устройствами и их конфигурацией. В то же время современная Bluetooth-технология обладает недостаточными средствами для опознания пользователей (то есть система безопасности Bluetooth не принимает во внимание личность или намерения пользователя), что делает Bluetooth-устройства особенно уязвимыми к так называемым spoofing-нападениям (радиодезинформации) и неправильному применению опознавательных устройств. Кроме того, приоритетным считается надежность опознавания устройств, а не их безопасное обслуживание. Поэтому обнаружение услуг (service discovery) является критической частью всей схемы Bluetooth. Крайне слабым местом интерфейса Bluetooth можно считать и процесс первичного спаривания устройств (pairing), при котором происходит обмен ключами в незакодированных каналах, что делает их уязвимыми для стороннего прослушивания. В результате перехвата передачи в момент процесса спаривания можно получить ключ инициализации путем вычисления этих ключей для любого возможного варианта пароля и последующего сравнения результатов с перехваченной передачей. Ключ инициализации, в свою очередь, используется хакером для расчета ключа связи и сравнивается с перехваченной передачей для проверки. В связи с этим рекомендуется производить процедуру спаривания в знакомой и безопасной среде, что значительно уменьшает угрозу подслушивания. Кроме того, риск перехвата можно уменьшить, если пользоваться длинными паролями, которые усложняют их определение из перехваченных сообщений. Вообще, допускаемая стандартом возможность использования коротких паролей является еще одной причиной уязвимости Bluetooth-соединения, что, как и в случае с использованием простых паролей системными администраторами компьютерных сетей, может привести к их угадыванию (например, при автоматическом сравнении с базой заурядных/распространенных паролей). Такие пароли значительно упрощают инициализацию, но делают ключи связи очень простыми в плане извлечения из перехваченных передач. Кроме того, ради простоты пользователи склонны применять спаренные ключи связи, а не более защищенные динамичные. По этой же причине вместо комбинаторных ключей они выбирают модульные. А устройство с модульным ключом использует его для соединения со всеми устройствами, которые устанавливают с ним связь. В результате любое устройство с модульным ключом может использовать его для подслушивания на безопасных соединениях, где применяется такой же ключ связи и от проверенных устройств (то есть тех, с которыми связь уже была когда-то установлена). При использовании же модульных ключей никакой защиты не существует. Однако любое Bluetooth-устройство с личным ключом связи (decryption key) вполне безопасно. Так что меры безопасности по технологии Bluetooth могут защитить соединения только при условии правильной настройки и при правильном пользовании сервисами. И это единственный способ уберечь персональные данные и конфиденциальную информацию от попадания в чужие руки. (с) compress.ru
Скучно. Тема не раскрыта. Не описан ни один актуальный вид атаки через блютуз. К примеру BlueDump или BSS.
схема аутентификации устройств 1. Устройство, инициирующее соединение, посылает свой адрес (BD_ADDR). (Этот 48-битный адрес является уникальным, как MAC-адрес сетевой карты. По адресу можно определить производителя устройства.) 2. В ответ посылается случайная 128-я последовательность AU_RAND(challenge). 3. На основе BD_ADDR, Link Key и AU_RAND оба устройства генерируют шифропоследовательность SPES. 4. Устройство, запрашивающее соединение, отправляет свою SPES. 5. Запрашиваемое устройство сравнивает полученную и свою SPES и при их совпадении устанавливает соединение. Хотя PIN-код в открытом виде не передается, он может быть взломан исходя из перехваченных BD_ADDR, AU_RAND и SPES. Виды атак на Bluetooth BlueBug Данная уязвимость позволяет атакующему выполнять с устройствами с включенным Bluetooth неавторизованные действия. В идеальном случае атака может быть выполнена всего за несколько секунд. Радиус ее действия ограничивается радиусом действия устройств класса 2, т.е., как мы упоминали ранее, 10-15 метрами. Чтобы увеличить это расстояние, можно использовать направленную антенну. Так как некоторые телефоны поддерживают возможность запуска AT-команд, то атакующий может выполнить следующие действия: инициировать телефонный звонок; посылать SMS-сообщения на любой номер; читать SMS с телефона; читать и писать записи телефонной книги; устанавливать переадресацию звонков. А также многое другое. Blueprinting Blueprinting позволяет получить детальную информацию об удаленном устройстве. Как уже отмечалось ранее, каждое Bluetooth-устройство имеет уникальный Bluetooth-адрес. Этот адрес состоит из 6 байт и обычно представляется, подобно MAC-адресу, в формате MM:MM:MM:XX:XX:XX. Первые три байта, отмеченные как M, содержат сведения о производителе микросхемы. К сожалению, с оставшимися тремя байтами X не все так просто, и модель устройства нельзя определить однозначно. Каждое Bluetooth-устройство предоставляет те или иные сервисы. Какие именно, можно узнать через SDP (service discovery protocol). На запрос о предоставляемых сервисах можно получить информацию определенного формата, на основе ответа можно вычислить конкретную модель устройства. BlueSmack DoS-атака, которая может быть осуществлена с помощью утилит, входящих в состав Linux Bluez. Данная атака - подобие известной атаки на ранние версии Windows 95. На уровне L2CAP существует возможность послать запрос на отклик другого Bluetooth-устройства. Идея такого запроса, как и в случае ICMP ping, заключается в проверке соединения и измерении времени отклика на установленное соединение. С помощью утилиты l2ping, которая распространяется в дистрибутиве BlueZ, пользователь может задавать длину посылаемых пакетов. Для получения желаемого эффекта необходимо через опцию -s указать размер около 600 байт. BlueSnarf Пожалуй, это самая известная Bluetooth-атака. Атакующий использует OBEX Push Profile (OPP), который служит для обмена бизнес-картами и другими объектами. В большинстве случаев этот сервис не требует аутентификации. BlueSnarf выполняет OBEX GET запрос к известным файлам, например, telecom/pb.vcf (адресная книга) или telecom/cal.vcs (календарь). В случае небрежной реализации firmware атакующий может получить доступ ко всем файлам. BlueSnarf++ Очень похожа на BlueSnarf. Основное отличие в том, как атакующий получает доступ к файловой системе. BlueSnarf++ дает атакующему полный доступ на чтение и запись через OBEX Push Profile. Если на устройстве запущен OBEX FTP сервер, то через OBEX Push сервис можно соединиться без установки доверительных отношений (pairing). Атакующий может просматривать содержимое файловой системы (через команду ls) или, например, удалять файлы (команда rm). Возможны действия с любой памятью, в том числе и с картами расширения memory stick или SD. HelloMoto Представляет собой комбинацию атак BlueSnarf и BlueBug. Использует неправильную обработку «trusted device» на телефонах Motorola. Атакующий инициирует соединение через OBEX Push Profile, симулируя посылку vCard. Затем происходит прерывание процесса отсылки, после чего устройство атакующего сохраняется в списке доверенных устройств на телефоне атакуемого. Благодаря записи в этом списке атакующий имеет возможность соединения с headset profile без аутентификации. Установив соединение, атакующий имеет возможность управлять устройством посредством AT-команд. BlueBump Данная атака требует от атакующего применения методов социальной инженерии. Идея заключается в установке доверительных отношений атакующего и жертвы. Этого можно достигнуть посылкой бизнес-карты, чтобы заставить атакуемого произвести аутентификацию. Атакующий сохраняет соединение открытым, но просит жертву удалить ключ для аутентификации атакующего. Жертва не догадывается, что соединение еще открыто, в этот момент атакующий запрашивает регенерацию ключа. После подобных действий атакующий получает новую запись без аутентификации. С этого момента атакующий имеет доступ к устройству, пока ключ не будет удален. Атака на BlueDump Link Key. В данном случае атакующий должен знать BDADDR paired устройств. Атакующий подменяет адрес одного из устройств и от его имени соединяется с другим. У атакующего нет ключа аутентификации, и на запрос жертвы об аутентификации он отвечает «HCI_Link_Key_Request_Negative_Reply». В части случаев это приводит к тому, что жертва удаляет собственный ключ аутентификации и устанавливает pairing режим. BlueChop Направлена на разрушение piconet-сети устройством, не входящим в состав сети. В основе атаки лежит возможность того, что master-устройство должно поддерживать несколько соединений для образования расширенных сетей (scatternet). Атакующий случайным образом подменяет адреса устройств из piconet и соединяется с master'ом, что приводит к разрушению piconet. (с)Константин Сапронов viruslist.com
Контроль другого телефона через BlueTooth (протокол btspp) "BT INFO" Программа, позволяющая контролировать другой телефон через BlueTooth (протокол btspp). Возможны следующие действия: Иформация о телефоне Включение и выключение сигналов Производить и завершать звонки Управлять медиаплеером Чтение смс Выбор профилей Блокировка клавиатуры Язык телефона Режимы телефона Полная функциональность телефона Просмотр телефонной книги Просмотр всех вызовов Возможно использовать все клавиши телефона с помощью которой можно управлять удалённым телефоном, даже играть на нем в игры!!! ---------- Код доступа прога требует только в первый раз. Потом входит автоматически. [/COLOR] P.S. Для снятия постоянных запросов о подключении: Меню-параметры-bluetooth-мои устройства-функции-разрешить подключение-всегда _http://depositfiles.com/ru/files/1049719 _http://www.semobile.com.ua/index.php?newsid=1147373261
