dab@digitalsec.net - PowerPoint PPT Presentation

About This Presentation
Title:

dab@digitalsec.net

Description:

Toma el nombre del Rey dan s Harald Blaatand (940-981). Conocido como diente azul (bluetooth). Famoso por el dialogo y la conversi n al cristianismo de los vikingos. ... – PowerPoint PPT presentation

Number of Views:93
Avg rating:3.0/5.0
Slides: 47
Provided by: jpar70
Category:
Tags: dab | danes | digitalsec | net

less

Transcript and Presenter's Notes

Title: dab@digitalsec.net


1
Seguridad en bluetooth
  • dab_at_digitalsec.net

NCN V, 18/10/2005
2
Agenda
  • Introducción.
  • Identificación de dispositivos.
  • Vulnerabilidades.
  • Otras consideraciones.
  • Conclusiones.

3
Introducción
  • Historia.
  • Toma el nombre del Rey danés Harald Blaatand
    (940-981).
  • Conocido como diente azul (bluetooth).
  • Famoso por el dialogo y la conversión al
    cristianismo de los vikingos.
  • El emblema viene de sus iniciales.

4
Introducción
  • Bluetooth Special Interest Group (SIG).
  • Diseñado con la intención de sustituir cables en
    pequeños dispositivos.
  • Fundado en 1998 por una organización formada por
    empresas como Ericsson, Nokia, IBM, Toshiba,
    Microsoft e Intel.

5
Introducción
  • Cambios de 1.2 a EDR (Enhanced Data Rate) o 2.0.
  • Mayor alcance hasta 100m.
  • Velocidad 721Kb/sec a 2Mbit/sec.
  • Saltos de frecuencia (evita interferencias).
  • Reducción de velocidad en el establecimiento de
    enlace.

Hedy Lamarr (1913-2000)
6
Introducción
  • Diferencias entre bluetooth y wireless
  • Bluetooth diseñado para sustituir cables en
    pequeños dispositivos móviles.
  • 802.11b diseñado para sustituir cables en LAN.
  • Bluetooth no necesita poco ancho de banda.
  • 802.11b requiere amplio ancho de banda.
  • Similitudes entre bluetooth y wireless
  • Ambas emiten en 2.4Ghz.

7
Introducción
  • Piconet
  • Un maestro por piconet.
  • El maestro define parámetros de conexión.
  • Máximo de 7 clientes esclavos.

8
Introducción
  • Scatternet
  • Un maestro no puede serlo en dos piconet.
  • Dos esclavos en una misma piconet.
  • Soporte opcional.

9
Introducción
  • Modos de seguridad
  • Modo 1 Permite conexiones desde cualquier
    dispositivo.
  • Modo 2 requiere una seguridad sencilla por
    servicio L2CAP.
  • Modo 3 utiliza procedimientos de seguridad antes
    de establecer el canal de la comunicación
  • Uso de autenticación mediante PIN.
  • filtro por dirección de origen (BD_ADDR).
  • Cifrado mediante SAFER.

10
Introducción
  • Pila Bluetooth
  • Bluetooth radio convierte datos a señal de radio
    y viceversa.
  • Baseband parámetros de bajo nivel de conexión
    (cifrar y descifrar paquetes, corrección de
    errores).
  • Link Manager gestión de conexiones, comprueba
    su estado o las elimina si han terminado.
  • L2CAP quienes y donde están conectados. Capa
    Intermediaria entre la API y protocolos más
    bajos.
  • RFCOMM Emula puertos serie.
  • TCS gestiona las conexiones de audio.
  • SDP sistema por el cual se gestionan los
    servicios de los dispositivos.
  • OBEX protocolo de intercambio de datos.

11
Introducción
  • Pila Bluetooth

12
Introducción
  • Seguridad en autenticación - PIN
  • Generalmente de 4 dígitos (soporta hasta 16).
  • Productos con PIN por defecto 0000.
  • Posibilidad de obtener un PIN de 6 dígitos en
    12,5 segundos (fuente _at_atstake).

13
Identificación de dispositivos.
Demostración
  • Captura de tramas HCI.

14
Introducción
  • Claves utilizadas en el Paring
  • Kx Kx E21(LK_RAND, BD_ADDR) clave de cada
    dispositivo Kx (se genera solo una vez).
  • Kinit KinitE22(PIN, PIN_LENGTH, IN_RAND) clave
    inicial necesaria para siguientes pasos.
  • A genera y manda en texto claro a B, IN_RAND,
    un número aleatorio.
  • Se genera en cada dispositivo LK_RAND.
  • Se transmiten los RAND.
  • Klink clave temporal de enlace.
  • Puede ser Kx o Kab (depende del modo de seguridad
    y características del dispositivo).
  • Se utiliza en el proceso de autenticación.

15
Introducción
Clave Kx
Clave Kinit
16
Introducción
  • Autenticación en el Paring
  • Dispositivo B transmite a A su BD_ADDR.
  • Dispositivo A, genera AU_RAND y lo transmite a
    B.
  • Dispositivo B genera SRES y lo envía a A.
  • SRES SRESE1(AU_RAND, BD_ADDRb, Klink)
  • Se comprueba que ambos dispositivos tienen el
    mismo SRES y se concluye la autenticación.

17
Introducción
  • Clave Kab, generada dependiendo del modo de
    seguridad
  • Ambos dispositivos crean la clave.
  • Se genera en cada dispositivo LK_RANDx.
  • Se transmiten LK_RAND usando Kinit.
  • Se genera la clave K del otro dispositivo, con el
    LK_RAND y Kinit.
  • Se genera Kab KabXOR(Ka,Kb).

18
Introducción
Autenticación
Clave Kab
19
Introducción
  • Cifrado de datos
  • Los datos se cifran con el algoritmoXOR(BD_ADDR,
    CLOCKa, Kc).
  • Generación de Kc
  • Kc KcE3(EN_RAND, Klink, COF).
  • COF Obtenido de ACO, en el proceso de
    autenticación.
  • COF Concatenación de ambas BD_ADDR.
  • CLOCKa hora del sistema.

20
Introducción
Clave Kc
Cifrado de datos
21
Identificación de dispositivos.
  • Identificación de dispositivos visibles.
  • Hcitool herramienta del paquete bluez de
    Linux.
  • hcitool scan
  • 222222222222 PDA
  • 333333333333 t630
  • 444444444444 nokia660
  • Obtención de información posiblemente
    interesante modelos y marcas de dispositivos.

22
Identificación de dispositivos.
  • Blueprint.
  • Identificación de dispositivos utilizando una
    base de datos, que almacena
  • BD_ADDR.
  • Servicios (SDP).
  • sdptool browse --tree 00027838943C
    ./bp.pl
  • 00027838943C -nomac
  • 000AD9_at_4063698
  • device Sony Ericsson T610
  • version R1L013
  • date n/a
  • type mobile phone
  • note n/a

23
Identificación de dispositivos.
BluePrint
Demostración
24
Identificación de dispositivos.
  • RedFang.
  • Identificación de dispositivos no detectables,
    mediante fuerza bruta.
  • Soporte para múltiples dongles.
  • Excesivamente lento.

25
Identificación de dispositivos.
RedFang
DEMOSTRACION
26
Identificación de dispositivos.
  • Bluespam.
  • Identificación de la categoría de dispositivos
    con el fin de mandarle Spam.
  • Clase mediante este atributo es posible obtener
    que tipo de dispositivo es.
  • https//www.bluetooth.org/foundry/assignnumb/
    document/baseband

27
Vulnerabilidades
  • Bluejacking.
  • Consiste en enviar un contacto cuyo nombre es el
    texto que se desea que aparezca a la persona en
    la pantalla de su terminal.
  • No es una vulnerabilidad, no implica riesgo.
  • Utilizada para mandar mensajes de texto a modo de
    chat.
  • http//www.bluejackq.com/

28
Vulnerabilidades
  • PSM Scanning.
  • Comprobar los servicios disponibles sin utilizar
    SDP (browse).
  • Similar a un análisis de puertos en TCP/IP.
  • Herramienta BTAudit. http//www.betaversion.net/b
    tdsd/download/

29
Identificación de dispositivos.
DEMOSTRACION
PSM Scanning
30
Vulnerabilidades
  • BlueSnarf.
  • Es posible obtener datos confidenciales sin
    realizar autenticación agenda, sms.
  • Utilizando OBEX realiza el GET en un servicio
    utilizado generalmente para recibir contactos
    (vCards) OBEX PUSH.
  • Archivos conocidos (IrMC, Ir Mobile
    Communications). Ejemplo telecom/pb.vcf.
  • Sony Ericsson T68, T68i, R520m, T610, Z1010.
  • Nokia 6310, 6310i, 8910, 8910i.

31
Identificación de dispositivos.
DEMOSTRACIÓN
BlueSnarf
32
Vulnerabilidades
  • BlueSnarf.
  • Similar en concepto a bluesnarf.
  • El contenido es navegable (semejante a un FTP).
  • Se pueden obtener datos de sistemas de
    almacenamiento externos SD, MMC.
  • Permite escritura y lectura.
  • No existen datos públicos (WTH).

33
Vulnerabilidades
  • Bluebug.
  • Riesgo alto.
  • Permite realizar una conexión al terminal e
    introducir comandos AT (RFCOMM).
  • Llamadas de voz/datos, envío de SMS, obtención de
    información IMEI, modelo del sistema, agenda.
  • Lista de comandos AT

http//new.remote-exploit.org/index.php/BT_main.
34
Identificación de dispositivos.
BlueBug
DEMOSTRACIÓN
35
Vulnerabilidades
  • BlueSmack.
  • Denegación de servicio al estilo ping de la
    muerte.
  • Se realiza utilizando peticiones del tipo
    request, en L2CAP.
  • No requiere autenticación.
  • Riesgo bajo.

36
Identificación de dispositivos.
Demostracion
BlueSmack
37
Vulnerabilidades
  • Abuso del modo 3.
  • Ataque que aprovecha la falta de autorización por
    canal.
  • Ejecución
  • El atacante consigue introducirse en la lista de
    dispositivos de confianza, enviando una vCard por
    ejemplo. Requiere ingeniería social.
  • El dispositivo no comprobará a que servicios
    puede acceder permitiéndole acceder al servicio
    de puerto serie, Obex FTP, etc.

38
Vulnerabilidades
  • BlueBump.
  • Requiere ingeniería social crear una conexión
    segura.
  • Ejemplo Enviar un vCard y forzar el modo-3.
  • El atacante solicita borrar su clave, manteniendo
    la conexión establecida.
  • La victima no controla que aun sigue la conexión
    establecida. El atacante solicita que la clave se
    regenere.
  • El atacante consigue entrar en la lista de la
    victima sin tener que autentificarse nuevamente.

39
Vulnerabilidades
  • BlueDump o Bluespoof.
  • Se realiza para obtener el PIN del emparejamiento
    de dos dispositivos.
  • Es necesario conocer ambas BD_ADDR.
  • Consiste en realizar un spoof de uno de los
    dispositivos (BD_ADDR y class) y enviar una
    petición del tipo HCI_Link_Key_Request_Negative_R
    eply, que causa la generación de una nueva
    clave.

40
Vulnerabilidades
  • Denegación de servicio en OBEX
  • Mala implementación del protocolo OBEX.
  • Dispositivos afectados nokia 7610, 3210,
    otros?.
  • Envío de un archivo con caracteres prohibidos
    por el protocolo y \. (Punto 4.3, pagina
    46 de IrOBEX12.pdf).
  • Requiere aceptar la conexión riesgo bajo.

0day!
41
Identificación de dispositivos.

DOS OBEX
DEMOSTRACIÓN
42
Otras consideraciones
  • Carwhisper.
  • Enlace con sistema de manos libres en coches.
  • Clave por defecto.
  • Oír o interferir en las conversaciones.

43
Otras consideraciones
  • Bluetooone / Bluesniper.
  • Potenciar la señal de los dispositivos bluetooth
    mediante antenas.
  • Bluesniper

http//www.tomsnetworking.com/Sections-article106.
php
44
Otras consideraciones
  • Gusanos.
  • Cabir vallez_at_29A.
  • Primer gusano de transmisión vía bluetooth.
  • Requiere aceptar la instalación
  • Riesgo bajo.
  • Commwarior e10d0r.
  • Primer virus de propagación por MMS.
  • Lasco vallez_at_29A.
  • Evolución de Cabir
  • Infecta otros archivos .sis.

45
Medidas de Seguridad
  • Desactivar Bluetooth si no se utiliza.
  • Configurar el dispositivo como no detectable.
  • Utilizar un nombre que no sea representativo de
    las especificaciones técnicas.
  • Utilizar un PIN complejo.
  • No aceptar conexiones de dispositivos
    desconocidos.
  • Verificar, de forma periódica, los dispositivos
    tipificados como de confianza.
  • Configurar el dispositivo para que acepte
    cifrado.
  • Mantener el firmware actualizado.

46
Conclusiones
  • Los fallos encontrados pertenecen a una mala
    implementación del protocolo en el dispositivo.
  • Actualmente se puede considerar un protocolo
    seguro.
  • Se han reportado debilidades en multitud de
    sistemas distintos.

47
Referencias
  • http//www.bluetooth.org
  • http//www.trifinite.org/
  • http//www.securityfocus.com/infocus/1836.
  • http//www.blackops.cn/whitepapers/atstake_smashin
    g_teeth.pdf
  • http//www.geektown.de/index.php?catid9blogid1.

48
Agradecimientos
  • Organización de NCN, Govern Balear, Parc BIT.
  • !dSR
  • FREED0M, ICEHOUSE, Ilo--.

GRACIAS
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2025 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "dab@digitalsec.net" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!