PDF de programación - Seguridad en Bluetooth

Seguridad en Bluetooth

To Blue, or Not to Blue: That is the Question

Raúl Siles
FIST – Fiberparty 2010
26 febrero 2010

2010 © Taddong S.L. Todos los derechos reservados

www.taddong.com

Raúl Siles
Founder & Senior Security Analyst

Índice

•  Tecnologías Bluetooth
•  Seguridad en el estándar Bluetooth
•  Amenazas y vulnerabilidades en Bluetooth
•  Ataques contra manos libres Bluetooth:

– Descubriendo el lado oculto…
– Captura e inyección de audio

•  Recomendaciones de seguridad y

defensas

2010 © Taddong S.L. Todos los derechos reservados

3

Dedicado a …

Imágenes de pitufos: www.smurf.com

2010 © Taddong S.L. Todos los derechos reservados

4

Tecnologías Bluetooth

•  Comunicaciones inalámbricas personales
•  Movilidad, flexibilidad, sencillez, etc
•  Interoperabilidad
•  Sustituir los cables: USB, serie, paralelo…
•  Bajo consumo y bajo coste
•  Ausencia de infraestructuras:

– ¿Quién tiene el control?

2010 © Taddong S.L. Todos los derechos reservados

5

Especificación Bluetooth

•  Radio frecuencia: rango sin licencia

– 2,402 a 2,480 Ghz (79 canales de 1 Mhz)
– FHSS (1600 saltos/segundo)

•  Estándar IEEE 802.15.1 (v2.1 ó v3.0)
•  Clase de dispositivo: 1, 2 ó 3

– Distancia ≈ +100, 10 ó 1 m (100-1 mW)

•  Ancho de banda: +2,1 Mbps ó 24Mbps

http://www.ieee802.org/15/

2010 © Taddong S.L. Todos los derechos reservados

6

Dirección del dispositivo

•  BD_ADDR

– Bluetooth Device ADDRess
•  48 bits (6 bytes) ≈ MAC 802
•  Empleada en el patrón de salto
•  Empleada como algo secreto

MSB

NAP

16 bits

UAP

8 bits

LAP

24 bits

Asignado por el IEEE al fabricante

(OUI)

Asignado por el fabricante al

dispositivo

LSB

2010 © Taddong S.L. Todos los derechos reservados

7

Seguridad en el estándar Bluetooth

•  Patrón de salto (BD_ADDR y reloj)
– BD_ADDR no está en las cabeceras
•  Modos de seguridad: 1, 2 y 3 (LMP)
•  Autentificación:

– PIN
– Claves de enlace

•  Autorización: acceso/confirmación usuario
•  Cifrado: E0

2010 © Taddong S.L. Todos los derechos reservados

8

Amenazas y vulnerabilidades en

Bluetooth

•  Privacidad:

– Comunicaciones
– Almacenamiento
– Dispositivos

•  Objetivos
– Móviles
– Manos libres,
teclados, etc

•  Disp. visibles
•  Rango de señal
•  Suplantación
•  Bluesnarfing,
bluebugging,
blueline, etc

•  Captura tráfico
•  PIN cracking…

Curso de dos días de seguridad en Bluetooth

2010 © Taddong S.L. Todos los derechos reservados

9

Ataques contra manos libres y

auriculares Bluetooth

2010 © Taddong S.L. Todos los derechos reservados

10

Descubriendo el lado oculto…

•  Dispositivos Bluetooth ocultos:

– Adivinación de la BD_ADDR
– Fue visto previamente
– Emparejamiento inicial
– Combinación de tecnologías: WiFi & BT
– Fuerza bruta sobre la BD_ADDR (248)
 Obtención de parte de la BD_ADDR mediante

captura de tráfico

Toda la seguridad de algunos dispositivos (auriculares o manos

libres) está basada en la ocultación de la BD_ADDR: ¿PIN?

2010 © Taddong S.L. Todos los derechos reservados

11

Obtención del LAP…

LSB Trama Bluetooth MSB

72 bits

54 bits

0- 2745 bits

Código de acceso

(access code)

Cabecera de banda

base

Datos del mensaje o paquete

LAP del maestro

(3 últimos bytes de la BD_ADDR)

LSB Bluetooth Access Code (72 bits) MSB

4 bits

Preámbulo

64 bits

Sync Word

4 bits

Finalización

Sincronización (1) Identificación de la picored (1)

2010 © Taddong S.L. Todos los derechos reservados

12

USRP, GNU-Radio, gr-bluetooth, y

el proyecto BNAP-BNAP

•  USRP: Universal SW Radio Peripheral
•  GNU-Radio: radio definida por SW
•  Pila Bluetooth (D. Spill & A. Bittau)
•  Proyecto BNAP-BNAP (J. Wright)
•  BTScanner: parche para LAP

2010 © Taddong S.L. Todos los derechos reservados

13

Captura e inyección de audio en

auriculares y manos libres

•  Auriculares y manos libres

– Dispositivos ocultos
– PIN por defecto y fijo

•  Si conoces el PIN… y descubres la

BD_ADDR…
•  Carwhisperer

– Captura
– Inyección

2010 © Taddong S.L. Todos los derechos reservados

14

Recomendaciones de seguridad y

defensas

2010 © Taddong S.L. Todos los derechos reservados

15

Uso de Bluetooth en las

organizaciones

2010 © Taddong S.L. Todos los derechos reservados

16

Decálogo de recomendaciones (1)

1.  ¡Apágalo! ¡Salvemos el planeta!
2.  Dispositivo oculto o no visible
3.  Habilitar sólo los perfiles necesarios (¿?)
4.  Habilitar autentificación & autorización
5.  Cambiar los valores por defecto:

–  Marca y modelo, propietario, etc
6.  Actualizar software y firmware

2010 © Taddong S.L. Todos los derechos reservados

17

Decálogo de recomendaciones (2)

7.  Uso en entornos peligrosos

–  Emparejamiento inicial

8.  Selección del PIN y renovación
9.  Intentos de conexión no solicitados

–  Marketing de proximidad

10. Gestión de la BD de dispositivos

emparejados (… y ¡borrado!)

Dispositivos y uso autorizados, inventario, configuración

por defecto, auditorías, pruebas de intrusión…

2010 © Taddong S.L. Todos los derechos reservados

18

¿Preguntas? 

2010 © Taddong S.L. Todos los derechos reservados

19

www.taddong.com

[email protected]