Post on 12-Jan-2016
description
11
Bezpieczeństwo współczesnych sieci Bezpieczeństwo współczesnych sieci bezprzewodowych Bluetooth.bezprzewodowych Bluetooth.
Wydział Elektroniki i Technik InformacyjnychInstytut Radioelektroniki
Michał WiśniewskiMichał Wiśniewski Styczeń 2009Styczeń 2009
Opiekun naukowy:
dr Ryszard Kossowski
22
Tytułem wstępu – kim jestemTytułem wstępu – kim jestem
Michał WiśniewskiMichał Wiśniewski
Pasjonat komputerów (15 lat) ;Pasjonat komputerów (15 lat) ;Zwolennik systemów Uniksowych (9 lat) ;Zwolennik systemów Uniksowych (9 lat) ;Student 5 roku Politechniki Warszawskiej ;Student 5 roku Politechniki Warszawskiej ;Konsultant ds. Bezpieczeństwa InformacjiKonsultant ds. Bezpieczeństwa Informacjiw firmy doradczej;w firmy doradczej;
Jest osobą nie lubiąca zbyt wiele opowiadać oJest osobą nie lubiąca zbyt wiele opowiadać o sobie, o czym właśnie przekonujecie się sami ;-) sobie, o czym właśnie przekonujecie się sami ;-)
33
O czym chciałbym opowiedzieć ?O czym chciałbym opowiedzieć ?
Zaprezentować jeden z istotnych tematów które poruszam Zaprezentować jeden z istotnych tematów które poruszam w pracy magisterskiej ;w pracy magisterskiej ;
Być może obalić pewien mit ;Być może obalić pewien mit ;
Zasiać niepokój ;Zasiać niepokój ;
Uzmysłowić poziom ryzyka ;Uzmysłowić poziom ryzyka ;
Pokazać w jaki sposób wykorzystuje się bezprzewodową Pokazać w jaki sposób wykorzystuje się bezprzewodową łączność (nie zgodnie z jej docelowym przeznaczeniem) ;łączność (nie zgodnie z jej docelowym przeznaczeniem) ;
44
Co znalazło się w mojej prezentacjiCo znalazło się w mojej prezentacji
[ 0x00 ] – [ 0x00 ] – Wprowadzenie: czym jest bluetoothWprowadzenie: czym jest bluetooth ? ?W jaki sposób to działaW jaki sposób to działa ? ?Scatternets, Piconets..Scatternets, Piconets..Różnice z Różnice z WiFi (802.11a/b/g) ? WiFi (802.11a/b/g) ?Popularne implementacje ;Popularne implementacje ;
[ 0x01 ] – [ 0x01 ] – Poszerzanie zasięgu Poszerzanie zasięgu Poszerzanie zasięgu odbioru sieci Poszerzanie zasięgu odbioru sieci BluetoothBluetooth ; ;Prezentacja urządzeń do przeprowadzanie automatycznego rozpoznania Prezentacja urządzeń do przeprowadzanie automatycznego rozpoznania oraz ataków ;oraz ataków ;
[ 0x02 ] – Attack![ 0x02 ] – Attack!Ataki na Telefony Komórkowe Ataki na Telefony Komórkowe / Handhelds / PDAs/ Handhelds / PDAs ; ;Ataki na zestawy samochodowe Ataki na zestawy samochodowe / Headset/ Headsetyy / / zest. głośno-mówiące ;zest. głośno-mówiące ;Ataki na sieci przedsiębiorstw ;Ataki na sieci przedsiębiorstw ;
55
[ 0x00 ] [ 0x00 ] WprowadzenieWprowadzenie
Czym jest bluetoothCzym jest bluetooth ? ?
Stworzony w Stworzony w 1995 by Ericsson, SIG 1995 by Ericsson, SIG powstałopowstało 1998 (Bluetooth 1998 (Bluetooth SpecialSpecial Interest Group )Interest Group ) ; ;Bluetooth 1.0 – Bluetooth 1.0 – 3.0(UWB)3.0(UWB), , pierwsze urządzenie sprzedano w pierwsze urządzenie sprzedano w połowiepołowie 2000 2000;;Nazwa wywodzi od historycznej postaciNazwa wywodzi od historycznej postaci “Harald Blauzahn”“Harald Blauzahn” ; ;Główna idea Bluetooth to tzw.Główna idea Bluetooth to tzw. “cable replacement”“cable replacement” ; ;Personal Area NetworksPersonal Area Networks ; ;
Specyfikacja technicznaSpecyfikacja techniczna
2.400-2.4835 GHz (WiFi, 2.400-2.4835 GHz (WiFi, KameryKamery, etc..), etc..) ; ;Frequency HoppingFrequency Hopping, , ponadponad 3200 3200 skoków na sekundęskoków na sekundę ! (1600 ! (1600 w w czasie trwania połączenia ) ;czasie trwania połączenia ) ;
66
[ 0x00 ] [ 0x00 ] WprowadzenieWprowadzenie
Różnice oraz podobieństwa w stosunku do Różnice oraz podobieństwa w stosunku do WiFiWiFi::Pracuje w tym samym Pracuje w tym samym ISMISM-owym-owym paśmiepaśmie : 2,4Ghz : 2,4Ghz ; ;
WiFi 11 WiFi 11 KanałówKanałów, Bluetooth 79 , Bluetooth 79 Kanałów ;Kanałów ;
Obie technologie wykorzystują Obie technologie wykorzystują frequency hoppingfrequency hopping (WiFi (WiFi „skacze” „skacze” 600600 razy wolniej razy wolniej))
Wifi rozgłasza swoją obecność co kilka ms ;Wifi rozgłasza swoją obecność co kilka ms ;
Bluetooth to nie tylko technologia bezprzewodowa, to kompletny Bluetooth to nie tylko technologia bezprzewodowa, to kompletny framework łączący wiele poziomów aplikacji, sieci, sprzętu ;framework łączący wiele poziomów aplikacji, sieci, sprzętu ;
Mniejszy zasięg (najczęściej) ;Mniejszy zasięg (najczęściej) ;
77
[ 0x00 ] [ 0x00 ] WprowadzenieWprowadzenie
88
[ 0x00 ] [ 0x00 ] WprowadzenieWprowadzenie
Piconets / Scatternets
Jedna Pikosieć może pomieścić 7 aktywnych (255 zaparkowanych) urządzeń typu slave oraz jednego mastera ;
PTP(Point-to-Point Protocol) oraz PTMP(Point-to-Multipoint Protocol) ;
99
[ 0x00 ] [ 0x00 ] WprowadzenieWprowadzenie
Frequency Hopping:
Slave zawsze synchronizuje się z MasteremSkoki 3200 razy na sekundę, przy 79 kanałach, czas trwania ramki 625 us.
Z punktu widzenia bezpieczeństwa takiej transmisji:
Pikosieć ustala Sekwencje poszczególnych ramek bazując na wartości BD_ADDR oraz wartości zegara Mastera, co daje nam unikalna wartość dla każdego połączenia Master-Slave w każdej Pikosieci ;Z powodu stosowania techniki FH bardzo trudno jest podsłuchać (sniffować) transmisję Bluetooth ;Teoretycznie jest to możliwe, ale wymaga posiadania dobrego analizatora widma i specjalnego odbiornika ;Radio Link Power Control -
1010
AnegdotaAnegdotaPierwszy patent dotyczący systemu komunikacjiPierwszy patent dotyczący systemu komunikacjiszerokopasmowej należy do aktorki austriackiej Hedy Lamarr.szerokopasmowej należy do aktorki austriackiej Hedy Lamarr.
Mąż aktorki był producentem broni i słuchała onaMąż aktorki był producentem broni i słuchała onaczęstych dyskusji na temat jak łatwo jest zakłócić sterowanieczęstych dyskusji na temat jak łatwo jest zakłócić sterowanietorped. Wymyśliła, że do sterowania torped można użyć systemu torped. Wymyśliła, że do sterowania torped można użyć systemu Analogicznego do tego jaki używa się do sterowania Pianina przez Analogicznego do tego jaki używa się do sterowania Pianina przez dziurkowane karty. Nasunęło jej to pomysł, że sygnał sterujący torpedamidziurkowane karty. Nasunęło jej to pomysł, że sygnał sterujący torpedamimożna nadawać nie na jednej częstotliwości, lecz na kilkumożna nadawać nie na jednej częstotliwości, lecz na kilkuczęstotliwościach przełączając częstotliwości w regularnych odstępnychczęstotliwościach przełączając częstotliwości w regularnych odstępnychzarówno w odbiorniku jak i w nadajniku. Synchronizacjazarówno w odbiorniku jak i w nadajniku. Synchronizacjamiała być robiona za pomocą kart perforowanych. Uzyskałamiała być robiona za pomocą kart perforowanych. Uzyskałana to patent US 2,292,387 w 1942.na to patent US 2,292,387 w 1942.
Patent ten został utajniony i był niedostępny przez kilkadziesiątPatent ten został utajniony i był niedostępny przez kilkadziesiątlat. Pomysł był wtedy za trudny do zrealizowania. Dopiero wlat. Pomysł był wtedy za trudny do zrealizowania. Dopiero wpołowie lat 50 XX wieku armia Amerykańska zaczęła praktycznąpołowie lat 50 XX wieku armia Amerykańska zaczęła praktycznąrealizację tego pomysłu. realizację tego pomysłu.
1111
0x01 Modyfikacje sprzętu0x01 Modyfikacje sprzętuPoszerzanie zasięgu pracy urządzeń:Wyróżnia się 3 klasy urządzeń :
Class 1 - 100 mW (20 dBm)
Class 2 - 2.5 mW (4 dBm)
Class 3 – 1 mW (0dBm)
Zasięg:Class 3 – 10 M Class 2 – 25 MClass 1 – 100 M
Urządzenia modyfikowane w domu (pół-profesjonalne):
Nawet do 2.6 km!
1212
Bluetooone – podłączenie zewnętrznej anteny tak aby zwiększyć zasięg dongla USB. Wykorzystywane w czasie ataków na duże odległości.
1313
0x01 Modyfikacje sprzętu0x01 Modyfikacje sprzętu
Duże odległości to min. 788 metrów wzdłużDuże odległości to min. 788 metrów wzdłuż
jeziora Antrum (refleksje od tafli jeziora)jeziora Antrum (refleksje od tafli jeziora)
przy użyciu Yagi-combo.przy użyciu Yagi-combo.
1414
0x01 Modyfikacje sprzętu0x01 Modyfikacje sprzętu
Strassen, LuxemburgStrassen, Luxemburg
550 metrów550 metrów
1515
0x01 Modyfikacje sprzętu0x01 Modyfikacje sprzętu
Sprzęt optymalizowany do penetracji, w komplecie:
• Zintegrowany Dongle Linksys ;• Zintegrowany kabel USB ;• Metalowa Parabola ;• 10 X Zoom ;• Celownik Laserowy ;
1616
0x01 Modyfikacje sprzętu0x01 Modyfikacje sprzętu
Optymalizowany doOptymalizowany do
penetracjipenetracji przez ściany:przez ściany:Bundling (Parabola)Bundling (Parabola) ; ;
Polepszona przenikalność przez ściany ;Polepszona przenikalność przez ściany ;
Świetnie się sprawdza w „szklanym” otoczeniu ;Świetnie się sprawdza w „szklanym” otoczeniu ;
Zintegrowane urządzenie Linksys+LinuxZintegrowane urządzenie Linksys+Linux (NSLU2)(NSLU2)
Automatyczny framework (scan&attack) gratis ;Automatyczny framework (scan&attack) gratis ;
1717
0x03 Ataki na sieci bluetooth0x03 Ataki na sieci bluetoothKlasyfikacja „obchodzenia” zabezpieczeń sieci bluetooth.
1818
BlueooverBlueoover to atak typu Bluebug. Wykorzystuje to atak typu Bluebug. Wykorzystuje
błędy w implementacji protokołu przez systembłędy w implementacji protokołu przez system
operacyjny telefonu, pozwala na przejęcie kontrolioperacyjny telefonu, pozwala na przejęcie kontroli
nad telefonem, a więc:nad telefonem, a więc:
Odczytanie książki telefonicznej ;
Odczytanie / wysyłanie SMS ;
Wybieranie numerów ;
Przekazywanie połączeń ;
1919
Ping of DeathPing of Death (jak Win95) (jak Win95)
Wykorzystuję błąd (a raczej pewną właściwość ) na Wykorzystuję błąd (a raczej pewną właściwość ) na poziomie warstwy L2CAP ;poziomie warstwy L2CAP ;
L2CAP Ping – to po prostu L2CAP Ping – to po prostu echo request, echo request, wykorzystywany do sprawdzania obecności hosta oraz wykorzystywany do sprawdzania obecności hosta oraz stanu łącza ;stanu łącza ;
Odpowiednio spreparowany pakiet (potok pakietów) Odpowiednio spreparowany pakiet (potok pakietów) może spowodować wyłączenie urządzenia może spowodować wyłączenie urządzenia (DoS)(DoS) a w a w skrajnych przypadkach może być wykorzystany do ataku skrajnych przypadkach może być wykorzystany do ataku
poprzez przepełnienie bufora poprzez przepełnienie bufora ((Buffer overflow) ;
2020
Najstarszy i najbardziej znany atak na Bluetooth ;
Wykorzystuje zapytania typu “get” w protokole OBEX ;
Zapytania Obex najczęściej nie podlegają procesom uwierzytelniania ;
Atakujący może pobrać z telefonu pliki, np. książkę telefoniczną, IMEI ;
2121
CarWhisperer
Atak pozwala podsłuchiwać oraz nagrywać rozmowy telefoniczne ;
Działa na słuchawki bezprzewodowe oraz na zestawy typu Hands-Free ;
Wykorzystuje błędy w sterownikach ;
Słabe zabezpieczenia urządzeń (PIN 0000 lub 1111) ;
2222
Ataki na Bezprzewodowe KlawiaturyAtaki na Bezprzewodowe Klawiatury
Wykorzystuje błędy w implementacji serwera HID (PC) ;
Pozwala na podsłuchiwanie sekwencji wpisywanych na klawiaturze (np. hasła do banku) ;
Zdalne podłączenie do komputera i nieautoryzowane przejęcie kontroli nad PCtem ;
2323
Ataki z zewnątrz na sieć przedsiębiorstwaAtaki z zewnątrz na sieć przedsiębiorstwa
2424
Ataki Fizyczne (?)Ataki Fizyczne (?)
Wielka Brytania. Centrum Handlowe. Rok 2008Wielka Brytania. Centrum Handlowe. Rok 2008
2525
0x04 Podsumowanie0x04 Podsumowanie
Bluetooth sam w sobie jest bezpiecznym standardem (obecnie) ;
Większość problemów wynika z błędów popełnianych przez producentów w implementacji sterowników ;
Druga sprawa to luki w aplikacjach wykorzystujących tą technologie ;
2626
0x04 Podsumowanie0x04 Podsumowanie
Obrona, warto zapamiętać :Pamiętaj, Bluetooth może być niebezpieczny dla Ciebie lub dla firmy dla której pracujesz (!) ;Nie akceptuj wszystkich połączeń, wysyłek plików jakie otrzymuje twoje urządzenie / telefon, po prostu kliknij NIE ;Wyłącz Bluetooth jeżeli go nie używasz w danej chwili ; Paruj swoje urządzenia w bezpiecznych miejscach (Istnieją odpowiednie rekomendacje SIG) ;Niezwłocznie powiadom dostawce aplikacji, dział IT, programistę, jeżeli podejrzewasz, że Twoje urządzenia padło ofiarą naruszenia / włamania ;
2727
0x05 Podziękowanie0x05 Podziękowanie
Dziękuje Państwu za uwagę Dziękuje Państwu za uwagę ii
zapraszam do dyskusji.zapraszam do dyskusji.
Materiały:Materiały:http://trifinite.org/ (Trifinite Group)
http://Hack.lu (Kevin Finistere & Thierry Zoller)
http://SecurityFocus.com