PDF de programación - Bluetooth - La Amenaza Azul

Bluetooth-La Amenaza Azul



Por Ezequiel Martin Sallis
Senior Security Consultant

CISSP Certified



Introducción

El Estándar Bluetooth, nacido en 1994 y formalizado en 1998 por el Bluetooth-
SIG (Special Interest Group), es una tecnología inalámbrica de bajo costo, que
opera en la banda no licenciada de 2.4Ghz de frecuencia (misma banda que
utilizan algunos estándares de la tecnología 802.11). Básicamente posee cuatro
canales, tres canales sincrónicos de voz (64 Kbps por canal) y un canal de datos
asincrónicos. La velocidad de transmisión de los canales asincrónicos es de
723,2 Kbps mientras que la del canal asincrónico es de 433,9 Kbps.


Existen hoy en día tres versiones de Bluetooth



• Bluetooth Protocolo V1.1 No provee compatibilidad para coexistir con

802.11

• Bluetooth Protocolo V1.2 (2003) Data Rate 1Mbps

Bluetooth Protocolo V2.0 +EDR (Enhanced Data Rate) (2004)

•
Data Rate 3Mbps


Uno de los hechos que hacen que esta tecnología sea de bajo costo, es la
potencia necesaria para funcionar, tan sólo 0,1 Watts que sin duda alguna
reduce considerablemente el consumo de los equipos y que además permite ser
incorporada en los teléfonos celulares y las PDA sin que afecte en exceso el
consumo de sus baterías.
La tecnología Bluetooth permite la comunicación inalámbrica, entre diferentes
dispositivos que la incorporen sin necesidad de linea de vista y son el
reemplazo esperado de la tecnología infrarroja. Sin embargo, la frecuencia que
opera (2.4Ghz banda no licenciada), debió enfrentarse al temor elemental de
cualquier comunicación inalámbrica, la interferencia, y a fin de superarla se
implementaron las siguientes características:


 Frequency Hoping: Patrón de saltos predefinido
 Saltos de 1Mhz sobre 79 frecuencias diferentes entre 2.402 GHz y

2.480 GHhz

 Saltos entre frecuencias más rápidos que en otras tecnologías

inalámbricas (1600 Saltos por segundo)


Este punto a su vez incorpora, un medida importante desde el punto de vista de
la seguridad, ya que para poder monitorear el trafico de una comunicación
debemos formar necesariamente parte de la misma, de lo contrario la única
alternativa viable es la de adquirir costosos equipos que puedan monitorear

trafico, sin la necesidad de ser parte de la conexión, algo viable solo para unos
pocos adinerados.

Bluetooth STACK

La pila del protocolo Bluetooth esta conformada de la siguiente manera:



Radio Layer

Baseband Layer

Es la capa mas baja, define las características

de la transmisión, cada dispositivo esta

clasificado en tres clases diferentes:

• Clase 1 100 Metros Aproximadamente
•Clase 2 10 Metros Aproximadamente

•Clase 3 1 Metro Aproximadamente
Es la capa física, provee corrección de errores
y características de seguridad, a través de la
encripción de datos, también administra los

saltos de frecuencia y

los datos contenidos en el header del paquete
Es el contenedor de aproximadamente 20 PDU

Protocol Data Units, estas unidades son

enviadas desde un dispositivo al otro, algunas

Link Manager Protocol (LMP)

de las mas utilizadas son:

Host Controller Interface

The Logical Link Control and
Adaptation Protocol (L2CAP)

•Power Control
•Autenticacion

•Calidad de Sevicio (QOS)
Envía comandos a las capas dos capas
inferiores, permitiendo una vía para la

utilización, de las bondades de Bluetooth
Controla el link entre dos dispositivos, y
además es la encargada de proveer los

servicios a los mismos

Cable Replacement Protocol

Es el protocolo de transporte, envía la señal

(RFCOMM)

montada sobre L2CAP

Service Discovery Protocol

(SDP)

Busca otros dispositivos Bluetooth disponibles

y tiene la provee la capacidad de establecer
una conexión con los mismos, se comunica

directamente con la capa de L2CAP


Redes

Cuando se conectan más de un dispositivo BT compartiendo un mismo canal,

de comunicación forman una red denominada Piconet. Dichas redes están
compuestas por un dispositivo Master quien impone la frecuencia de saltos

para la Piconet, y todos los demás dispositivos son los denominados Slaves
(esclavos). Las Piconet solo pueden aceptar hasta 7 dispositivos Slaves
conectados al mismo tiempo, sin embargo, son soportados hasta 200
dispositivos pasivos.

Los dispositivos esclavos pueden a su vez estar interconectados a diferentes
Piconet, formando lo que se denomina una Scatternet, pero esta característica
no se aplica al dispositivo Master ya que el mismo solo puede estar en una
Piconet.

Seguridad

Los dispositivos con Bluetooth tienen básicamente dos estados o modos
posibles:


 Modo Descubrimiento
 Modo No Descubrimiento


Cabe mencionar que si algún dispositivo se encuentra en modo No
Descubrimiento, igualmente puede ser mapeado siempre y cuando el atacante
conozca la Mac Address (BD_ADDR)

Básicamente los modelos de Seguridad de los dispositivos Bluetooth se
clasifican en tres modos primarios:

Modo 1: Sin seguridad (Modo Default)

Esencialmente, los mecanismos de autenticación y cifrado están deshabilidatos

Modo 2: Aplicación/ Nivel Servicio

Ocurre en la capa L2CAP, nivel de servicios. Primero se establece un canal entre
el nivel LM y el de L2CAP y recién entonces se inicializan los parámetros de
seguridad. Como característica, el acceso a servicios y dispositivos es
controlado por un Gestor de Seguridad por lo cual variando las políticas de
seguridad y los niveles de confianza se pueden gestionar los accesos de
aplicaciones con diferentes requerimientos de seguridad que operen en
paralelo. Otra característica importante de este modo es que no hay ninguna
codificación adicional de PIN o claves.

Modo 3: Autenticación vía PIN/ Seguridad a nivel MAC/ Encripción

Ocurre a nivel de Link y todas las rutinas se corren internamente en el chip BlueTooth
por lo que nada se transmite en texto plano. A diferencia del Modo 2, los
procedimientos de seguridad se inician antes de establecer algún canal y el cifrado se
basa en la autenticación PIN y seguridad MAC. Básicamente, comparte una clave de
enlace (clave de link) secreta entre dos dispositivos. Para generar esta clave, se usa un
procedimiento de “paring” cuando los dos dispositivos se comunican por primera vez


Proceso de Paring

Para comprender el proceso de Paring o Emparejamiento, debemos aclarar que
por default, la comunicación Bluetooth no se valida, de manera tal que
cualquier dispositivo puede o podría hablar con cualquier otro. Un dispositivo
Bluetooth se autentifica con otro si por requiere utilizar un determinado
servicio (por ejemplo para el servicio de marcación por modem). Como ya
mencionamos, la forma de autentificarse es mediante códigos PIN (cadena
ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dispositivo
cliente como así también el proveedor del servicio, debe introducir el código
PIN, obviamente, en ambos dispositivos el código ingresado debe ser
exactamente el mismo. Al finalizar este proceso correctamente, ambos
dispositivos generan una clave de enlace la cual se puede almacenar en el
propio dispositivo o en un dispositivo de almacenamiento externo. Dicha clave
será utilizada la siguiente vez que se comuniquen ambos dispositivos sin la
necesidad de la intervención de los usuarios para que coloquen nuevamente sus
contraseñas. Si alguno de los dos dispositivos pierde la clave, se debe a realizar
todo el proceso nuevamente.
Todo este proceso es conocido como
emparejamiento o Paring.

Riesgos y Ataques en la tecnología Bluetooth

Es muy común encontrarse en los archivos almacenados en las PDA y en los
Celulares, los usuarios y las contraseñas de las PC y hasta de los servidores que
para no dejarlos anotados en un papel lo anotan en sus dispositivos móviles.
Los lugares de mayor riesgo o donde es fácilmente posible obtener información
como la mencionada anteriormente es en lugares públicos como por ejemplo:


En el cine
En una plaza con mucha gente
En una biblioteca
En un centro comercial o en un bar
En un campo de fútbol
En alguna tienda de telefonía
En el tren – autobús



Según estadísticas los usuarios sueles utilizar los dispositivos como pda o
celulares para lo siguiente:


• 85% utiliza estos dispositivos para almacenar el dia a dia del negocio
• 85% Las utiliza para almacenar contactos y direcciones relacionadas con

el negocio

• 33% Las utiliza para almacenar PINs y Passwords
• 32% Para recibir y enviar correo
• 25% Para llevar el detalle de sus cuentas bancarias

• 25% Para almacenar informacion corporativa
• Fuente: Pointsec Mobile Technologies


Como podemos ver la información comprometida, puede o no ser de carácter
corporativo, pero puede brindar al atacante de obtener datos que permitan
desarrollar luego una estrategia de ataque mas efectiva.

Desde principios de 2003, comenzaron a hacerse publicas, algunas debilidades
y vulnerabilidades que afectaban directamente a esta tecnología.

La primera de ellas, fue descubierta por la gente de Atstake, y fue denominada
War Nibling, y permite descubrir en a todos los dispositivos que esten en el
alcance del atacante esten estos en modo descubrimiento o no.

Después y de la mano de Adam Laurie y la gente del grupo Trifinite, fueron