Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

articles:bluetooth.hack [2017/09/05 02:55] (текущий)
Строка 1: Строка 1:
 +====== Bluetooth.hack ======
 +<​sub>​{{Bluetooth.hack.odt|Original file}}</​sub>​
 +
 +====== охота за Голубым Зубом ======
 +
 +крис касперски ака мыщъх, no-email
 +
 +**голубой зуб наступает! поголовье ****bluetooth****-устройств стремительно нарастает,​ обрушиваясь на рынок снежной лавной. реклама утверждает,​ что протокол передачи данных надежно защищен,​ но эта защита легко расстреливается снайперской винтовкой с расстояния в несколько километров. хакеры уже давно ломают голубые зубья и эта статья рассказывает как.**
 +
 +{{bluetooth.hack_Image_0.jpg?​546}}
 +
 +Рисунок 1 Джон Херинг (John Hering) – известный охотник за Голубым Зубом с ружьем BlueSniper, позволяющим сканировать и взламывать Голубые Зубья в радиусе нескольких километров. Первая версия этого ружья была представлена на хакерской конференции Defcon 2004
 +
 +===== введение =====
 +
 +Голубым зубом (BlueTooth) оснащаются сотовые телефоны,​ наладонники,​ нотебуки и многие другие мобильные устройства,​ что делает его заманчивым объектом для взлома. Хакер может осуществлять несанкционированное подключение к устройству,​ перехватывать трафик,​ отслеживать перемещение жертвы в пространстве или устраивать полный DoS. Уже зафиксировано несколько случаев взлома влиятельных лиц и с каждым днем интенсивность хакеров все растет и растет. Разработчики Голубого Зуба делают морду тяпкой и сваливают всю ответственность на производителей оборудования,​ которые где-то что-то криво реализовали. Производители в свою очередь наезжают на пользователей,​ выбирающих предсказуемые PIN'​ы,​ не выключающих Голубой Зуб после каждого сеанса передачи и т. д. Короче,​ виноватых не найдешь,​ а между тем количество BlueTooth устройств уже исчисляется сотнями миллионов (!) и все говорит о том, что несколько последующих лет пройдут под знаменем Голубого Зуба, реальных конкурентов которому пока не видно.
 +
 +На Голубом Зубе собираются домашние и мелко корпоративные локальные сети, Голубой Зуб встраивается в клавиатуры,​ мыши, принтеры,​ часы и даже… системы управления автомобилем. А вот это уже серьезно! Зверски спланированная операция может привести не только к утечке конфиденциальных данных,​ но и человеческим жертвам. Эта статья не призывает ничего ломать,​ я просто хотел показать насколько небезопасен Голубой Зуб, а доверять ему или нет — пусть каждый решает сам!
 +
 +{{bluetooth.hack_Image_1.jpg?​553}}
 +
 +Рисунок 2 вездесущий Голубой Зуб
 +
 +===== >>>​ выноска:​ что в именем твоем =====
 +
 +Общепринятая практика перевода BlueTooth "​Голубым Зубом"​ выглядит довольно странной,​ если не сказать подозрительной. В качестве оправдания приводится король викингов Harald Blutend, якобы получивший свое прозвище из-за потемневшего переднего зуба и воссоединившего Данию и Норвегию. Дескать,​ произношение его имени созвучно с BlueTooth'​ом,​ в честь которого он и был назван.
 +
 +Легендарный хакер Юрий Харон предлагает свою версию перевода,​ которая мне кажется наиболее близкой к истине (если, конечно,​ допустить,​ что истина вообще есть). Blue – на жаргоне электронщиков означает "​легкий",​ "​простой",​ а tooth – "​сцепка",​ "​зацепление"​. Соединив все вместе,​ получаем:​ "​Легкая сцепка",​ "​Простая Связь"​. Логично?​
 +
 +===== что такое голубой зуб =====
 +
 +Голубой Зуб представляет собой устройство,​ работающее в диапазоне частот от 2.400 до 2.483,5 МГц (а вовсе не 2,4 МГц как думают некоторые!). На этой же частоте работают микроволновые печи, беспроводные сети стандарта 802.11b/g, радиотелефоны и многие другие устройства,​ агрессивно конфликтующие между собой. Для решения этой проблемы,​ Голубой Зуб использует специальный алгоритм скачкообразной перестройки частоты. Весь частотный диапазон "​нарезается"​ на 79 каналов с шириной в 1 МГц и каждые 625 мкс (1.600 раз в секунду) происходит смена канала,​ выбираемого по псевдослучайному принципу. Каждая такая порция вещания образует time-slot (тайм-слот) ​ для простоты называемый //​**слотом**//​. Передаваемые данные разбиваются на пакеты по 2.745 бит,​ каждый из которых "​размазывается"​ по нескольким тайм-слотам (до 5 слотов максимум).
 +
 +Устройства взаимодействуют по схеме master-slave (хозяин-раб или ведомое и ведущее устройство). Один мастер может иметь до семи рабов, мастер вещает в четных слотах,​ а  рабы — в нечетных.
 +
 +Поддерживаются два типа связи: асинхронный (ACL — asynchronous connectionless) и синхронный (SCO — synchronous connection oriented). Синхронный режим преимущественно используется для передачи речи, асинхронный — для обмена данными.
 +
 +Расчетная пропускная способность канала в асинхронном режиме составляет 1 Мбит/​с,​ при этом заголовки и другая служебная информация "​съедают"​ 20% трафика,​ оставляя нам ~820 Кбит/​с,​ однако,​ на практике все зависит от условий связи и конструктивных особенностей конкретного передатчика. Ведомое и ведущее устройство могут иметь только один канал (link) асинхронной связи, организованный по схеме точка-точка (point-to-point) или работающий в широковещательном режиме (broadcast),​ причем,​ без разрешения хозяина раб не может переходить на асинхронный тип передачи.
 +
 +В синхронный режиме связи мастер может поддерживать до тех каналов с одним, двумя или тремя ведомыми устройствами,​ с расчетной пропускной способностью каждого канала в 64 Кбит/​с. Вещание ведется в слотах,​ назначаемых мастером. Слоты, не используемые в синхронном режиме,​ могут использоваться асинхронным.
 +
 +Предельно допустимая мощность передатчика по спецификациям должна составлять 10 мВт, что обеспечивает устойчивую работу в радиусе 10 - 25 метров.
 +
 +{{bluetooth.hack_Image_2.png?​469}}
 +
 +Рисунок 3 схематичное изображение протокола передачи
 +
 +===== снайперская антенна ​ =====
 +
 +Для охоты за Голубым Зубом необходимо увеличить радиус действия устройства хотя бы до сотни метров. Это легко! Достаточно разобрать адаптер,​ найти медную дорожку,​ изогнутую сексуальной буковой "​П",​ и припаять к ней провод от внешней антенны на 2.4 ГГц,​ позаимствованной у WLAN-устройств.
 +
 +{{bluetooth.hack_Image_3.jpg?​552}}
 +
 +Рисунок 4 адаптер Голубого Зуба
 +
 +{{bluetooth.hack_Image_4.png?​319}}
 +
 +Рисунок 5 подключение внешней антенны
 +
 +Однако,​ для серьезной атаки дистанция в сотню метров явно недостаточна и настоящие охотники обзаводятся узконаправленными антеннами типа randome или parabolic. Ими торгуют многие компании,​ например,​ HyperLink Technology или MAXRAD. Оформить заказ можно по Интернету. Хорошая антенна стоит в пределах полусотни долларов плюс пересылка и растаможка.
 +
 +{{bluetooth.hack_Image_5.jpg?​499}}
 +
 +Рисунок 6 внешний вид антенны HG2415Y типа Randome от  HyperLink Technology
 +
 +Наибольшей популярностью пользуется модель HG2415Y от HyperLink Technology с коэффициентом усиления 14 dB и подходящей диаграммой направленности. Компактные габариты (462 x 76 мм) позволяют уложить антенну в спортивную сумку или рюкзак,​ скрывающий ее от посторонних глаз и не привлекающий внимания посторонних.
 +
 +{{bluetooth.hack_Image_6.png?​228}}
 +
 +Рисунок 7 диаграмма направленности антенны HG2415Y
 +
 +Для удобства "​прицеливания"​ (а попасть в Голубой Зуб при такой диаграмме направленности не так-то легко!),​ многие хакеры насаживают антенну на фотографический штатив,​ приделывают к ней приклад и оптический прицел,​ в результате чего получается самое настоящее радио-ружье с поражающим действием в один километр.
 +
 +
 +
 +{{bluetooth.hack_Image_7.jpg?​553}}
 +
 +Рисунок 8 антенна HG2415Y, превращенная в снайперское радио-ружье
 +
 +{{bluetooth.hack_Image_8.jpg?​553}}
 +
 +Рисунок 9 еще одно радио-ружье
 +
 +Из параболических антенн хотелось бы порекомендовать HG2424G все от той же HyperLink Technology. Коэффициент усиления в 24 dB выше всяких похвал. Острая диаграмма направленности бьет Голубой Зуб за несколько километров,​ однако неуклюжие габариты (100 x 60 см) существенно затрудняют ее транспортировку,​ а чрезмерная узконаправленность создает проблемы прицеливания,​ особенно актуальные при слежении за быстродвижущейся жертвой,​ так что во многих случаях HG2415Y все же оказывается предпочтительнее.
 +
 +{{bluetooth.hack_Image_9.png?​553}}
 +
 +Рисунок 10 внешний вид параболической антенны HG2415Y от  HyperLink Technology
 +
 +{{bluetooth.hack_Image_10.png?​228}}
 +
 +Рисунок 11 диаграмма направленности антенны HG2415Y
 +
 +Полутораметровая параболическая антенна HG2430D с усилением в 30 dB обойдется уже в 300 долларов. Стоит ли она того? Для охоты с балкона на стационарные мишени (например,​ правительственное здание) несомненно — да, а вот для полевой охоты она слишком громоздка и неудобна.
 +
 +===== >>>​ врезка:​ полезные ссылки по антенному вопросу =====
 +
 +  - MAXRAD:
 +    - американская компания,​ выпускающая антенны и торгующая ими через Интернет:​ __http____://​____www____.____maxrad____.____com____/​____cgi____/​____press____.____cgi__;​
 +  -  HyperLink Technology:​
 +    - еще одна американская компания,​ у которой можно купить антенну:​ __http____://​____www____.____hyperlinktech____.____com____/​____web____/​____antennas_____2400_____out_________directional____.____php__;​
 +  - Собираем ружьё Bluetooth: охота за "​синими зубами":​
 +    - познавательная статья по превращению антенны типа HG2415Y в снайперское ружье (на русском языке):​ __http://​www.thg.ru/​network/​20050316/​print.html__;​
 +===== авторизация и аутентификация =====
 +
 +Голубой Зуб поддерживает несколько режимов секретности:​ Security Mode 1 (nonsecure — открытый),​ Security Mode 2 (Service-levelenforcedsecurity — секретность уровня сервиса) и Security Mode 3 (Link-levelenforcedsecurity — секретность уровня канала).
 +
 +В mode 1 все системы защиты выключены,​ не используется ни аутентификация,​ ни шифрование,​ а само BlueTooth устройство работает в широковещательном режиме (он же "​неразборчивый"​ — promiscuous),​ что делает возможным построение снифферов из доступных компонентов.
 +
 +В mode 2 сразу же после установки соединения начинается процесс аутентификации,​ осуществляемый по L2CAP-протоколу (LogicalLinkControlandAdaptationProtocol — Протокол Управления Логическим Каналов и Адаптации) и выполняемый Менеджером Безопасности (SecurityManager),​ находящимся на канальном уровне и взаимодействующим с протоколами верхних уровней. Это позволяет выборочно ограничивать доступ к устройству,​ например,​ все могут просматривать данные,​ но не все изменять их.
 +
 +В mode 3 аутентификация происходит перед установкой соединения на канальном уровне,​ за счет чего все "​левые"​ устройства будет отшиты еще на этапе подключения. Поддерживается "​прозрачное"​ шифрование трафика,​ выполняемое без участия протоколов верхнего уровня,​ что обеспечивает максимальный уровень безопасности и комфорта,​ однако,​ даже в этом случае степень защиты относительно невелика и устройство может быть легко взломано.
 +
 +Фундаментом безопасности является схема генерации ключей. Ключи генерируются на основе PIN-кодов. PIN-код представляет собой персональный идентификационный номер от 1 до 16 байт длинной,​ назначаемый владельцем устройства,​ и хранимый в энергонезависимой памяти. Большинство мобильных устройств используют 4х-значный (32-битный) PIN-код, по умолчанию выставленный в ноль. Некоторые устройства отказываются работать с нулевым PIN'​ом,​ вынуждая пользователей изменять его на "​1234"​ или что-то в этом роде. Но ломать такие PIN'ы неинтересно. Это все равно, что расстреливать кабана,​ привязанного к дереву.
 +
 +На основе PIN-кода генерируется 128-битный LinkKey, вычисляемый по E2 алгоритму. В свою очередь,​ на основе LinkKey'​я генерируется 128-битный EncryptionKey,​ вычисляемый по алгоритму E3. LinkKey используется для аутентификации,​ а EncryptionKey – для шифрования трафика.
 +
 +{{bluetooth.hack_Image_11.png?​552}}
 +
 +Рисунок 12 генерация секретных ключей на основе PIN-кода
 +
 +Аутентификация осуществляется по классической схеме запрос — отклик,​ такой же древней как сам компьютерный мир (регистрация пользователя в UNIX и Windows NT построена на тех же принципах).
 +
 +**Первый шаг:​** Инициатор соединения (claimant) посылает заинтересованному устройству (verifier) свой уникальный 48-битный аппаратный адрес (BD_ADDR), в каком-то смысле похожий на обычный MAC-адрес,​ зашитый в каждой сетевой карте;
 +
 +**Второй**** ****шаг:​**Verifier передает claimant'​у 128-битную привязку (challenge),​ генерируемую случайным образом,​ и обозначаемую как AU_RAND;
 +
 +**Третий шаг**: на основе BD_ADDR, LinkKey и challengeVerifier генерирует секретную шифропоследовательность (SRES), тоже самое делает иclaimant;
 +
 +**Четвертый шаг**: полученную шифропоследовательность claimant передает Verifier'​у;​
 +
 +**Пятый шаг**: Verifier сравнивает вычисленную им SRES с откликом claimant'​а и если они совпадают,​ устанавливает соединение.
 +
 +{{bluetooth.hack_Image_12.png?​553}}
 +
 +Рисунок 13 процесс аутентификации
 +
 +Таким образом,​ в открытом виде PIN-код не передается и поэтому не может быть перехвачен! Однако,​ он может быть подобран. В самом деле, мы можем перехватить BD_ADDR, AU_RAND и SRES, после чего нам остается всего лишь подобрать такой LinkKey, который бы при заданных BD_ADDR и AU_RAND выдавал идентичный SRES. Даже если используется 128-битный PIN, полный перебор на Pentium-4 занимает всего лишь несколько часов, а 4х-символный PIN взламывается практически мгновенно!
 +
 +===== >>>​ врезка:​ ссылки по алгоритмам шифрования =====
 +
 +  - Wireless Network Security
 +    -  шикарное руководство по безопасности беспроводных сетей с подробным описанием протоколов аутентификации и шифрования (на английском языке):​ __http____://​____csrc____.____nist____.____gov____/​____publications____/​____nistpubs____/​800-48/​____NIST_________SP_____800-48.____pdf__;​
 +  - BluetoothSecurity
 +    - хорошая статья с описанием протоколов аутентификации и шифрования (на английском языке):​ __http____://​____www____.____niksula____.____cs____.____hut____.____fi____/​~____jiitv____/​____bluesec____.____html__;​
 +  - Bluetooth Security — Protocol, Attacks and Applications
 +    - презентация в PowerPoint с обзоров ключевых особенностей криптографических алгоритмов,​ используемых Голубым Зубом для аутентификации и шифрования (на английском языке):​ __www____.____item____.____ntnu____.____no____/​____fag____/​____ttm____4705/​____kollokvie_________presentasjoner_____2004/​____bluetooth_________security____.____ppt__;​
 +===== методы атаки =====
 +
 +Три наиболее распространённых типа атаки на Голубой Зуб — это Bluetracking,​ Bluesnarfing,​ и Bluebugging.
 +
 +Атаки типа Bluetracking основаны на том, что адрес устройства BD_ADDR передается в сеть в незашифрованном виде и может быть легко перехвачен и декодирован. Хакер может определить производителя устройства,​ модель и ее происхождение. Группа хакеров,​ рассредоточенных по городу и вооруженных антеннами типа randome, без труда отслеживает перемещение жертвы со вмести вытекающими последствиями.
 +
 +Серия нашумевших атак типа Bluesnarfing все еще овеяна ореолом загадочности. Под изумленные взгляды окружающих хакеры вытягивают с сотовых телефонов записные книжки,​ содержимое адресной книги, архив SMS-сообщений и другую приватную информацию. Черт возьми,​ как?! Хакеры улыбаются,​ но не отвечают. Разработчики Голубого Зуба подтверждают возможность атаки (http://​www.bluetooth.com/​help/​security.asp),​ но технические детали не разглашают. Еще бы! Во многих мобильных устройствах служба обмена объектами (ObjectExchange — OBEX) работает в non-secure режиме,​ не требуя никакой аутентификации! Этим, в частности,​ грешат сотовые телефоны от Nokia, Ericsson и Sony Ericsson (в особенности модели T68, T68i, R520m, T610 и Z1010), Nokia (модели 6310, 6310i, 8910 и 8910i) и  Motorola (V80, V5xx, V6xx and E398), а Siemens всегда работает в защищенном режиме.
 +
 +Атаки типа Bluebugging (так же называемые Blue Bug) представляют собой разновидность Bluesnarfing-атак,​ но теперь вместо обмена объектов происходит засылка AT-команд по все тому же OBEX-протоколу. AT-команды это обыкновенные коммуникационные команды,​ знакомые любому модемщику. С их помощью можно отправлять SMS-сообщения,​ совершать голосовые звонки за счет жертвы и даже выходить в Интернет по WAP/GPRS протоколам. И все это безо всякой аутентификации! Короче,​ BlueBug это серьезно,​ так что владельцам неблагонадежных сотовых телефонов лучше всегда держать Голубой Зуб выключенным.
 +
 +Наконец,​ даже полностью защищенные телефоны типа того же Siemens'​а могут быть взломаны лобовым перебором. Как уже отмечалось,​ 4х-значный PIN вскрывается за несколько секунд и даже если в будущих моделях производители увеличат длину PIN-кода до 16-байт,​ это не остановит взломщиков,​ но сильно напряжет пользователей. Такой PIN запомнит далеко не каждый,​ а это значит,​ что повсеместно будут использоваться осмысленные "​словарные"​ номера,​ существенно упрощающие их перебор.
 +
 +Всего же существует более двух десятков типов атак, которые было бы слишком утомительно описывать здесь. Тот кто хочет узнать больше,​ может обратиться к замечательной книге "​Wireless Network Security"​ и другим подобным документам.
 +
 +===== >>>​ врезка:​ ссылки по теме взлома =====
 +
 +  - Bluetooth Security Preliminary Study
 +    - обзор основных атак на Голубой Зуб (на английском языке):​ __http____://​____student____.____vub____.____ac____.____be____/​~____sijansse____/​2____e____%20____lic____/​____BT____/​____Voorstudie____/​____PreliminaryStudy____.____pdf__;​
 +  - WirelessSecurity
 +    - перечень уязвимостей Голубого Зуба, подтвержденный его создателями:​ __http://​www.bluetooth.com/​help/​security.asp__;​
 +  - HardwareHacker
 +    - замечательное пособие для хакеров-железячников (на английском языке):​ __http://​www.grandideastudio.com/​files/​books/​hpyn2e_chapter14.pdf__;​
 +===== чем ломать =====
 +
 +Хачить Голубой Зуб лучше всего под Линухом,​ открытая архитектура которого позволяет использовать уже готовые компоненты и содержит кучу полезных утилит,​ которые можно использовать для сканирования или Bluesnarfing атаки. Например,​ hciconfig, запущенную с ключом "​-ifconfig"​ или hcitoolcо следующими ключами: ​ Scan — просканировать периметр и распечатать список обнаруженных BlueTooth устройств;​ Name — возвратить имя удаленного устройства,​ Cmd — управление локальным Голубым Зубом по HCI-интерфейсу,​ Cc — создать подключение. Подробное разъяснение всех команд содержится в man'​е.
 +
 +{{bluetooth.hack_Image_13.png?​553}}
 +
 +Рисунок 14 сканирование BlueTooth устройств утилитой hcitool
 +
 +{{bluetooth.hack_Image_14.png?​553}}
 +
 +Рисунок 15 стек протоколов Голубого Зуба
 +
 +До HCI-интерфейса можно дотянуться через Ioctl-коды или опции сокетов. Команды,​ отвечающие за это имеют характерный префикс HCI. КихчислупринадлежатHCI_Create_New_Unit_Key,​ HCI_Read_Pin_Type,​ HCI_Read_Authentication_Enable,​ HCI_Read_Encryption_Mode,​ HCI_Change_Local_Link_Key,​ HCI_Master_Link_Keyимногиедругие.
 +
 +===== >>>​ выноска:​\\ ссылки по программированию Голубого Зуба =====
 +
 +  - Bluetooth and Linux
 +    - большой сборник HOW-TO по программированию Голубого Зуба под Линухом (на английском языке):​ __http____://​____www____.____holtmann____.____org____/​____linux____/​____bluetooth__;​
 +===== >>>​ врезка:​ ошибка переполнения в WIDCOMM =====
 +
 +Создатели Голубого Зуба предлагают готовое программное обеспечение для его поддержки,​ распространяемое под торговой маркой WIDCOMM (WirelessInternetandData/​VoiceCommunications — Беспроводной Интернет и Коммуникации для передачи Голоса и Данных),​ что избавляет производителей оборудования от необходимости реализовывать весь стек протоколов самостоятельно. Программисты старой школы (к которым принадлежит и Юрий Харон) хорошо знают истинную цену решений из "​пробирки"​. Обжегшись на чужих ошибках пару раз, они не доверяют никакому коду, кроме своего собственного. И ведь не зря!
 +
 +В августе 2004 года в WIDCOMM'​е было обнаружено тривиальное переполнение буфера,​ позволяющее захватывать управление устройством простой посылкой специально подготовленного пакета. Никакой PIN для этого подбирать не нужно!.
 +
 +Уязвимость затрагивает BTStackServer версии 1.3.2.7, 1.4.1.03 и 1.4.2.10, используемые в Windows 98,​ Windows XP,​ Windows CE и других системах. Кроме этого, WIDCOMM используется многими компаниями:​ Logitech, Samsung, Sony, TexasInstruments,​ Compaq, Dell… полный перечень включает в себя более трех десятков наименований. Все BlueTooth устройства,​ производимые этими компаниями,​ находятся под угрозой и в любой момент могут быть атакованы. Для популярного наладонника HP IPAQ 5450 даже написан специальный эксплоит! В некоторых случаях,​ проблема решается установкой всех заплаток или сменой прошивки,​ некоторые же устройства остаются открытыми до сих пор.
 +
 +Подробности можно найти здесь: http://​www.pentest.co.uk/​documents/​ptl-2004-03.html
 +
 +===== заключение =====
 +
 +Взлом Голубого Зуба это не фантастика! Это реальность,​ доступная каждому из нас! Есть такой вид радиоспорта — охота на Лис. В укромном месте закладывается передатчик (лиса), который пытаются запеленговать вооруженные приемниками радиолюбители. Кто первый его обнаружит — тот и победил. По аналогии с этим, дистанционный взлом Голубого Зуба был прозван Охотой на Кур — беззащитный пользователей,​ трепещущих под снайперским радиоружьем словно желторотые птенцы.
 +
 +Это азартно и интересно. Это захватывает и не отпускает. Подстрелив свою первую дичь, хочется стрелять еще и еще. Здесь и долгое сидение в засаде,​ и предварительная техническая подготовка,​ и тщательно отлаженная экипировка,​ которая ни за что не подведет и конечно же чувство справедливого восторга хищника,​ набрасывающегося на ничего не подозревающую добычу.
 +
 +