La seguridad de Bluetooth. “Cacería” de dispositivos Bluetooth (War-nibbling) en Año Nuevo

• ¿Por qué Bluetooth? Tecnología Bluetooth
• Mecanismos de Seguridad
• Tipos de Ataque Bluetooth
• War-nibbling de Año Nuevo. Investigación
• Protección
• Lecturas adicionales

¿Por qué Bluetooth? Tecnología Bluetooth

Las nuevas tecnologías están rápidamente volviéndose parte de cada aspecto de la vida humana. Ahora es imposible imaginarse la vida sin aparatos que hace un par de años sólo podían verse en películas de ciencia ficción.

La tecnología Bluetooth (estándar de comunicación inalámbrica mediante enlace por radiofrecuencia) comenzó a ser desarrollada por Ericsson en 1994. En 1998 Ericsson, IBM, Nokia, Intel y Toshiba conformaron el consorcio SIG, el cual desarrolló el estándar Bluetooth. Muchos teléfonos móviles y periféricos de ordenador están ahora equipados con Bluetooth y algunos fabricantes de artículos domésticos también han adoptado esta tecnología.

Ahora existen transmisores y receptores que hacen posible utilizar Bluetooth con aparatos que fueron diseñados sin la capacidad Bluetooth. Hacen posible conectar un teléfono a un sistema estéreo para descargar archivos de MP3 al teléfono o escuchar archivos de MP3 en la memoria del teléfono. Los auriculares, manos libres y adaptadores para el auto Bluetooth, sólo son algunos ejemplos de las formas en que el Bluetooth puede usarse.

El Bluetooth está ahora implementado de forma general, esto, combinado con la novedad de la tecnología, implicó que los piratas informáticos comenzaran a apuntar al Bluetooth y sus vulnerabilidades potenciales al inicio del nuevo milenio. Después de todo, los piratas informáticos son siempre atraídos por tecnologías nuevas y no investigadas. Grupos tales como @stack y shmoo estuvieron involucrados en investigaciones sobre Bluetooth.

El Bluetooth también es objeto de interés de la industria antivirus, ya que los gusanos pueden utilizar esta tecnología para diseminarse. Por ejemplo, Cabir, Lasco, Comwar – todos estos gusanos corren bajo el sistema operativo Symbian y se esparcen vía Bluetooth. Debido a su capacidad de transmitir archivos (incluyendo los potencialmente maliciosos) las vulnerabilidades del Bluetooth son de un interés real.

El Bluetooth fue diseñado originalmente para eliminar los cables que conectan los aparatos. Por ejemplo, si usted conecta un ratón, una impresora, un teléfono móvil y, digamos, un receptor de GPS a un ordenador portátil, éste deja de ser verdaderamente portátil. Además, puede que el equipo no tenga suficientes puertos para conectar todos los aparatos.

Sin embargo, en alguna etapa el Bluetooth comenzó a hacerse camino en el mundo de las redes de área local inalámbricas. Algunas personas creen que podría convertirse en una alternativa viable al Wi-Fi. En mi opinión, las tecnologías son complementarías y aunque similares, tienen aplicaciones distintas.

La tecnología Bluetooth está basada en piconets (red de dispositivos) consistentes en una unidad central y hasta siete unidades dedicadas ubicadas en un radio de diez metros de la unidad central. Las piconets pueden ser unidas en scatternets (red que se produce cuando se conectan dos dispositivos pertenecientes a piconets distintas). La unidad central se comunica con las unidades dedicadas; no existe comunicación directa entre las unidades dedicadas.

Fig. 1

Los aparatos Bluetooth operan en una banda de frecuencia de entre 2.4 y 2.4835 GHz, que no requieren licencia. Para evitar la interferencia con otros aparatos que operan en la misma banda, la tecnología utiliza un algoritmo de salto de frecuencia con 1600 saltos de frecuencia por segundo.

El tiempo durante el cual los aparatos operan en una determinada frecuencia se llama franja de tiempo y tiene una duración de 625 microsegundos. Las unidades en una piconet cambian de frecuencia al mismo tiempo ante el comando de la unidad central, basado en una secuencia de salto pseudo aleatoria. La banda de frecuencia se divide en 79 canales separados por 1 MHz. Los datos son transmitidos en cuadros, los cuales pueden abarcar 1, 3 o 5 franjas.

Existen dos tipos de conexión: ACL (sin conexión asincrónica, en inglés asynchronous connectionless) y SCO (orientada a la conexión sincrónica, en inglés synchronous connection-oriented)

El primer tipo de conexión se utiliza para transferir datos que pueden ser manejados en cualquier momento. Una unidad dedicada sólo puede tener una conexión ACL a la unidad central.

El segundo tipo de vínculo se utiliza para transferir datos en tiempo real, Ej., para transmitir datos de voz. Una unidad dedicada puede tener hasta 3 vínculos SCO con la unidad central, cada uno con una tasa de 64 kb/seg.

La especificación Bluetooth divide a los aparatos Bluetooth en tres grupos:

• Clase 1 100 mW 100m
• Clase 2 2.5 mW 10m
• Clase 3 1 mW 1m

La mayoría de los aparatos Bluetooth son Clase 2 o Clase 3.

La pila (stack) del protocolo se ve así:

Fig. 2

Se pueden encontrar mayores detalles en las especificaciones principales de Bluetooth.

Mecanismos de seguridad

De acuerdo a la especificación, se puede proteger la información de usuario cifrando los datos transmitidos. Mientras que el código de acceso y el encabezado del paquete se transmiten en un canal cifrado, los datos son cifrados utilizando la clave de transmisión E0.

Por lo tanto, los ataques a nivel del vínculo de comunicación son claramente posibles.

El Bluetooth puede operar en uno de los tres Modos de Seguridad:

Modo de Seguridad 1 – sin protección (sin seguridad)
En este modo, no se utiliza ningún cifrado ni autenticación, mientras que el aparato en sí opera en un modo no discriminatorio, Ej. transmisión (promiscua).

Modo de Seguridad 2 – basada en aplicación/servicio (L2CAP)En este modo, una vez que se establece una conexión, el Administrador de Seguridad realiza una autenticación, restringiendo de ese modo acceso al aparato.

Modo de Seguridad 3 – vínculo-capa Autenticación con PIN/ cifrado de dirección MAC.Se realiza una autenticación antes de que se establezca una conexión. Aunque se utiliza un cifrado transparente, incluso en este modo el aparato puede ser puesto en peligro.p>

La seguridad de Bluetooth se basa en la generación de claves utilizando códigos PIN, que pueden tener entre 1 y 16 bytes de longitud. La mayoría de los aparatos actualmente utilizan PINs de 4 bytes.

Primero, el algoritmo E2 se utiliza para generar una Clave de Vínculo de 16 bytes basada en un código de PIN.

Después, se calcula una Clave de Cifrado basada en la Clave del Vínculo utilizando el algoritmo E3.

La primera clave se utiliza para autenticación, la segunda para cifrado.

Fig.

El proceso de autenticación es el siguiente:

1. El aparato que inicia la conexión envía su dirección (BD_ADDR). Esta dirección de 48-bit es única, como una dirección MAC de un adaptador de red. Con esta dirección se puede determinar el fabricante de un aparato.
2. En respuesta, se envía una secuencia aleatoria de 128-bit de desafío (AU_RAND)
3. Ambos aparatos generan una serie de respuesta de autenticación llamada SRES basada en BD_ADDR, la Clave de Vínculo y AU_RAND.
4. El aparato que trata de establecer la conexión envía su SRES.
5. El otro aparato compara el SRES recibido con el suyo propio y si las dos series coinciden, entonces establece una conexión.

Fig. 4

Aunque el código PIN no se transmite de manera abierta, puede ser quebrado si se interceptan el BD_ADDR, AU_RAND y SRES.

Tipos de Ataque Bluetooth

BlueBug

Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en un aparato habilitado con Bluetooth.

En condiciones ideales, un ataque BlueBug toma solamente un par de segundos. La distancia entre el aparato de la víctima y el aparato del atacante durante el ataque, está limitada por el poder de transmisión de los radios Bluetooth clase 2, el cual es, como se mencionó antes, de 10 a 15 metros. Se puede utilizar una antena direccional para incrementar el rango.

Como algunos teléfonos permiten la emisión de comandos AT, un atacante puede realizar las siguientes acciones:

• iniciar una llamada
• enviar SMSs a cualquier número
• leer SMSs del teléfono
• leer y escribir entradas en el directorio
• configurar desvíos de llamada
• etc..

Blueprinting

El Blueprinting puede utilizarse para acceder a los detalles de los aparatos víctima habilitados con Bluetooth. De acuerdo a lo antes mencionado, cada aparato de Bluetooth tiene una dirección única. Esta dirección consiste en 6 bytes (por lo general se presentan de forma similar a las de las direcciones MAC MM:MM:MM:XX:XX:XX). Los primeros tres bytes de esta dirección (los bytes M) se refieren al fabricante del juego de chips. Por desgracia, en el caso de los restantes tres bytes (los bytes X), la situación no es tan simple y no es posible identificar en un 100% el modelo del aparato.

Todos los aparatos con capacidad Bluetooth tienen una variedad de servicios. Se puede obtener la lista de servicios por medio del protocolo de descubrimiento de servicio (SDP, por las siglas en inglés de service discovery protocol). Se puede consultar al aparato, lo cual resulta en información proporcionada en un formato específico que después puede ser utilizada para identificar el modelo del aparato.

BlueSmack

El BlueSmack es un ataque DoS que puede ser realizado utilizando herramientas estándar que son transportadas con Bluez Linux.

El BlueSmack es similar a un ataque bien conocido que fue utilizado para atacar las primeras versiones del Windows 95 de Microsoft.

Al igual con el ping ICMP, la idea del ping L2CAP es también comprobar la conectividad y medir el tiempo de retorno en un vínculo establecido. Con la ayuda de la herramienta 12ping que se transporta con el distributivo BlueZ estándar, el usuario puede especificar la extensión de los paquetes a ser enviados. Para lograr el resultado deseado, puede usarse la opción -s para especificar un tamaño de aproximadamente 600 bytes.

BlueSnarf

Este es probablemente el ataque Bluetooth más conocido. El atacante utiliza el OBEX Push Profile (OPP), originalmente desarrollado para intercambiar tarjetas de negocios y otros objetos. En la mayoría de los casos este servicio no requiere autenticación. El ataque BlueSnarf realizar una solicitud OBEX GET de nombres de archivo conocidos tales como ‘telecom/pb.vcf’ (el directorio telefónico) o ‘telecom/cal.vcs’ (el archivo calendario). Si el firmware en el aparato víctima se implementó de forma incorrecta, el atacante puede obtener acceso a todos los archivos del aparato víctima.

BlueSnarf++

Este ataque es muy similar al BlueSnarf. La principal diferencia es el método utilizado por un atacante para obtener acceso al sistema de archivos del aparato víctima. El BlueSnarf++ le da al atacante un acceso de lectura/escritura total por medio del OBEX Push Profile. Si se está ejecutando un servidor de FTP OBEX en el aparato, se puede establecer una conexión por medio del servicio OBEX Push sin emparejamiento.

El atacante puede ver todos los archivos en el sistema de archivos (utilizando el comando 1s) e inclusive borrar archivos (el comando rm) El atacante también puede realizar acciones en cualquier memoria instalada en el aparato, incluyendo tarjetas de extensión de memoria tales como Memory Stick o tarjetas SD.

HelloMoto

This is a combination of BlueSnarf and BlueBug.

Éste es una combinación de BlueSnarf y BlueBug.

Este ataque explota el procesamiento incorrecto del manejo de ‘aparatos confiables’ de algunos teléfonos Motorola.

El atacante inicia una conexión utilizando el OBEX Push Profile y simula el envío de una vCard. Entonces el proceso de envío se interrumpe, pero el aparato del atacante permanece en la lista de aparatos confiables en el teléfono de la víctima. Utilizando esta entrada a la lista de aparatos confiables, el atacante puede conectarse al perfil del teléfono sin autenticación. Una vez que se establece una conexión, el atacante puede tomar control del aparato utilizando comandos AT.

BlueBump

Este ataque utiliza ingeniería social. La idea es establecer una conexión confiable con el aparato de la víctima. Esto se puede lograr enviando una tarjeta de negocios a fin de hacer que el receptor realice una autenticación. El atacante mantiene la conexión abierta pero le pide a la víctima que borre la clave de vínculo del aparato del atacante. La víctima no es conciente de que la conexión aún está activa. El atacante entonces solicita una regeneración de la clave de vínculo. Como resultado, el aparato de atacante obtiene una nueva entrada en la lista, sin autenticación. Entonces el atacante tiene acceso al aparato víctima hasta que se borre la clave.

BlueDump attack

En este caso, el atacante necesita saber el BDADDR de un juego de aparatos emparejados. El atacante imita la dirección de uno de los aparatos y se conecta al otro. Como el atacante no tiene una clave de acceso, cuando el aparato víctima solicita autenticación, el aparato del atacante responderá con ‘HCI_Link_Key_Request_Negative_Reply’, lo cual, en algunos casos, causará que el aparato objetivo borre su propia clave de vínculo y se ponga en un modo de emparejamiento.

BlueChop

El propósito de este ataque es el de afectar una piconet establecida utilizando un aparato que no es parte de la red. Este ataque se basa en el hecho de que la unidad central soporta conexiones múltiples que pueden ser utilizadas para crear una red extendida (una scatternet). El atacante imita la dirección de un aparato al azar que es parte de la piconet y se vincula a la unidad central, afectando a la piconet.

Investigación, o War-nibbling (detección de dispositivos Bluetooth) de Año Nuevo

Las vísperas de Año Nuevo, la festividad más importante de Rusia, son una excelente época para realizar investigación en Bluetooth. Los centros comerciales están llenos de clientes buscando regalos para sus seres queridos. Esto hace de los centros comerciales, un excelente escenario para investigar cuántos aparatos Bluetooth están en modo abierto (descubrible), y cuales de estos aparatos tiene vulnerabilidades. Lo mejor de todo es que, ?esto puede combinarse con la compra de regalos!

Mi amigo y yo fuimos de compra y nos llevamos un ordenador con un adaptador Bluetooth. El equipo que utilizamos para nuestra investigación fue:

1. Un ordenador portatil Sony Vaio fxa 53.
2. SuSE 10.0 OSS.
3. un adaptador Bluetooth PCMCIA
4. btscanner 2.1

Visitamos varios centros comerciales y recolectamos la información descrita a continuación.

Los aparatos (teléfonos móviles y agendas electrónicas) pueden operar en modo descubrible o no descubrible. Es posible examinar aparatos no descubribles utilizando un acercamiento de fuerza bruta (intentando con una gran cantidad de direcciones diferentes). Sin embargo, no hicimos esto y examinamos solamente aparatos en modo descubrible.

Fig. 5

En total, se detectaron 194 aparatos, principalmente teléfonos móviles. La figura 6 muestra un desglose de estos aparatos por fabricante. Nokia y Sony-Ericsson dominan, lo que se confirma en otros estudios.

Fig. 6

Fig. 7

Estos aparatos, que son los que se utilizan de forma más común, son también los más vulnerables a los ataques Bluetooth más comunes. El programa Btscanner mostró que el 25% de todos los aparatos examinados eran vulnerables al ataque snarf.

Fig. 8

Protección

• Configurar el aparato en modo no descubrible.
• Habilitar la autenticación basada en el PIN
• Utilizar software antivirus

Los proveedores de antivirus líderes ya tienen productos para aparatos móviles. El propio Kaspersky Lab ofrece productos tales como Kaspersky Mobile para teléfonos inteligentes Symbian (disponibles en un futuro cercano) y Kaspersky Security para agendas electrónicas.

Utilice software adicional (Blooover, Blooover II, BT Audit)

El Blooover es una aplicación gratuita escrita en Java. Sólo puede utilizarse si el teléfono soporta J2ME MIDP 2.0 VM con JSR-82 API. Tales aparatos incluyen al Nokia 6600, Nokia 7610, Sony Ericsson P900 y Siemens S65. En esencia, el Blooover es un escáner de vulnerabilidad que puede examinar la vulnerabilidad a ciertos ataques del teléfono móvil. El Blooover fue lanzado por primera vez en Diciembre del 2004 y desde entonces fue descargado 150.000 veces. El Blooover II, que puede detectar ataques adicionales, fue lanzado en Diciembre del 2005.

Los exámenes BT Audit abren canales RFCOMM y L2CAP PSM, y generan reportes sobre su estatus.

Further Reading:

1. www.trifinite.org
2. www.shmoo.com
3. www.bluetooth.org
4. www.bluez.org
5. www.atstake.org