You are on page 1of 8

I love your phonebook -

!Bluetooth hack!-
Attacco

Matteo Valenza
Pierpaolo Palazzoli
Fabio Mostarda

Grado di difficoltà

L'aspetto preoccupante è che, a fronte di una notevole diffusione


di apparati con supporto bluetooth (anche maggiore del wireless
802.11) e nonostante siano conosciuti numerosi bug che li
affliggono, non vi sia consapevolezza dei rischi di sicurezza ad
essi associati

Q
uando parliamo di bluetooth intendia- sazione! L'unica "sicurezza" esistente è l'utiliz-
mo quella tecnologia molto diffusa che zo del codice di pairing per stabilire la prima
permette uno scambio di dati via etere. connessione; questo metodo è però facilmente
Non un "dente blu" come indica il significato intercettabile e pressochè inutile ai fini della
letterale del termine ... Moltissimi dispositivi di- sicurezza, e si utilizza per stabilire se la connes-
spongono del bluetooth, primi fra tutti i cellulari, sione tra due dispositivi è legittima.
i pda, i personal computer, i dispositivi di gioco e
di controllo (come mouse, tastiera ecc...); il blue- La tecnologia: standard e
tooth è dunque largamente utilizzato e massic- difetti strutturali del protocollo
ciamente impiegato nella tecnologia moderna. Il protocollo wireless Bluetooth nacque su ini-
L'aspetto preoccupante è che, a fronte di ziativa del gruppo Ericcson, e dal 1999 è sup-
una notevole diffusione di apparati con supporto portato dal consorzio SIG (Bluetooth Special
bluetooth (anche maggiore del wireless 802.11) Interest Group). Il nome non deriva da qualche
e nonostante siano conosciuti numerosi bug che razza ittica svedese, come si potrebbe pen-
li affliggono, non vi sia consapevolezza dei rischi sare di primo acchito, bensì dal soprannome
di sicurezza ad essi associati. Per comprendere
meglio la portata di queste vulnerabilità, convie-
ne portare un esempio concreto. E' noto che Dall'articolo imparerai...
alcune regole poste dalla legislazione di vari • Minima conoscenza di linux.
paesi, come il divieto di parlare al cellulare in au- • Conoscenza dello stack bluetooth linux.
tomobile, hanno favorito lo sviluppo di dispositivi
complementari che permettono di parlare a ma-
Cosa dovresti sapere...
ni libere: il vivavoce d'auto bluetooth o il diffuso
auricolare bluetooth ne sono un esempio; i dati • attaccare dispositivi bluetooth.
che questi dispositivi si scambiano attraversano • imparare a proteggerti da potenziali aggres-
l'aria e non sono crittografati: basterebbe quindi sori.
intercettare il traffico per ascoltare una conver-

18 hakin9 Nº 10/2007 www.hakin9.org


!Bluetooth hack!

I dispositivi Bluetooth possono comu- dipendenti dal produttore (e quindi


Listado 1. lsusb nicare tra loro istituendo delle reti ad- statici) e solo gli ultimi 24 sono variabi-
# lsusb
hoc che prendono il nome di piconet; li: questo comporta la fattibilità di sco-
Bus 004 Device 001: ID 0000:0000 ogni rete può contenere sette dispo- vare l'indirizzo di un apparato anche in
Bus 003 Device 002: ID 07b8:b02a sitivi, dei quali uno è eletto Master. assenza di altre informazioni.
D-Link Corp. Il trasferimento dati può avvenire in Sono previsti 3 livelli di sicurezza:
Bus 003 Device 001: ID 0000:0000
modo unidirezionale tra quest'ultimo e
Bus 002 Device 001: ID 0000:0000
Bus 001 Device 001: ID 0000:0000
gli altri apparati; la bidirezionalità è • Security Mode 1: in chiaro.
garantita dalla rotazione della posizio- • Security Mode 2: sicurezza a li-
ne di Master in modalità round robin. vello applicativo, senza concorso
di un sovrano danese del nono se- Reti di maggiori dimensioni potreb- del protocollo Bluetooth.
colo, molto conosciuto nella cultura bero teoricamente essere realizzate • Security Mode 3: crittografia affi-
nordica; il simbolo del Bluetooth è aggregando più piconet mediante data agli apparati.
costituito in effetti dalle iniziali del dispositivi in modalità bridge (slave su
suo nome, scritte in rune antiche. una piconet e master sull'altra), per- Per garantire una certa autentica-
La tecnologia Bluetooth si basa su mettendo la creazione di scatternet. zione tra gli apparati, si può ricorrere
comunicazione radio (da 2.4 a 2.4835 Le velocità di connessione sono pas- alla tecnica di pairing; questo consi-
GHz) a salto di frequenza (fino a 1600 sate dai 200 Kbit/s del Bluetooth 1.0 ai ste nello scambio di una credenziale
volte al secondo); a seconda della 2 Mbit/s dello standard versione 2.1, condivisa (PIN), che viene conserva-
potenza disponibile, possono essere con la prospettiva di crescere ancora. ta ed usata in tutte le comunicazioni
determinate tre classi di dispositivi: Al momento della connessione, il successive tra i due apparati. Dal
dispositivo Bluetooth scambia varie punto di vista della confidenzialità,
• Classe 1: potenza max di 100 informazioni: nome, classe, servizi alcuni apparati Bluetooth supporta-
mW (20 dBm), raggio max 100 e informazioni tecniche (produttore, no due algoritmi crittografici:
metri ecc..); questa scambio avverrà o in
• Classe 2: potenza max di 2.5 mW risposta ad una ricerca effettuata da • E21/E22 per la generazione delle
(4 dBm), raggio max 10 metri un altro device o in seguito ad una chiavi di inizializzazione della
• Classe 3: potenza max di 1 mW richiesta mirata al proprio indirizzo (di connessione
(0 dBm), raggio max 1 metro 48 bit). Di questi 48 bit, i primi 24 sono • E0 per la crittografia dei pacchetti.

Figura 1. Piconet e Scatternet

www.hakin9.org hakin9 Nº 10/2007 19


Attaque

I primi due sono cifrari a blocchi


della famiglia SAFER+, e permet-
tono di generare una chiave di 128
bit a partire da un numero PIN e da
un random di 128 bit; la maggiore
debolezza in questa parte della tec-
nologia Bluetooth sta nel lassismo di
certe implementazioni, che accetta-
no PIN di sole 4 cifre. L'algoritmo E0
è invece un cifrario a stream (come
RC4, per intenderci) basato su chiavi
a 128 bit, e si è rivelato vulnerabile
ad attacchi statistici: il numero di
operazioni necessarie ad ottenerne
la chiave è 2^38 (anzichè 2^128).
Analizzando lo stack Bluetooth, è
facile notare la presenza di un layer
di separazione (HCI, Host controller
Interface) tra servizi di basso livello Figura 2. Bluetooth Stack
(muxing/demuxing radio, sincronizza-
zione dei link, streaming, etc..) e ser- oggi conosciuti contro il protocollo buon fine in quanto ingenuamen-
vizi con maggior grado di astrazione. Bluetooth vero e proprio sono: te accettato dall'utente bersaglio,
I più interessanti dal punto di vista possono portare alla compromis-
della sicurezza sono quelli posti so- • Bruteforcing delle chiavi di E21/ sione dell'apparato.
pra il layer HCI e sotto i protocolli di 22 (con la complicità di password
comunicazione standard (TCP, etc...), corte...) Molto più insidiosi sono gli attacchi
ovvero: • BlueDump, un attacco che sfrut- alle implementazioni dello stack Blue-
ta il meccanismo di pairing. Data tooth, in particolare ai moduli sopra-
• L2CAP (Logical link control and una coppia di device che si sono stanti l'HCI; i più famosi sono:
adaptation protocol): effettua il già autenticati mediante pairing,
multiplexing di servizi superiori, conoscendo l'indirizzo fisico di • BlueSnarf: utilizza una richiesta
l'incapsulamento dei pacchetti e uno di essi è possibile inviare ("pull") di un oggetto OBEX per
la gestione del Channel Identifier; con tale indirizzo una richiesta accedere a servizi sul device
supporta comunicazioni sincrone di Reset del pairing; questa, se bersaglio; a causa dell'incredibi-
e asincrone. accettata, compromette la sicu- le superficialità degli sviluppato-
• RFCOMM: un emulatore di seria- rezza. ri, tale device supporrà che, per
le RS232. • Blueprinting, ovvero la raccolta invocare un oggetto, il richieden-
• SDP: gestione/discovery di servizi. di informazioni tecniche (produt- te debba averlo conosciuto in
• TCS (Telephony Control protocol tore, versione, OS..) da apparati precedenza: ritendendo inutile
Specification) Bluetooth in raggio di rilevazione; l'autenticazione, sarà quindi suf-
• OBEX (OBject EXchange); questo utile sia a fini di auditing di sicu- ficiente invocare tali servizi...ed
servizio permette di scambiare rezza che per creare un databa- essi risponderanno!
oggetti tra diversi apparati me- se di device da attaccare. • HELOMoto: sfrutta gravi bug
diante azioni di "push"; sfortuna- • Bluejacking, una tecnica che OBEX nello stack Motorola, ovvero
tamente, alcune implementazioni sfrutta i messaggi di pairing per il mantenimento di una connessio-
scadenti permettono di effettuare inviare comunicazioni non gradite ne trusted dopo che un qualunque
operazioni di "pull" (reperimento che, se il pairing va comunque a push OBEX viene interrotto; forni-
di oggetti dal nome conosciuto)
senza autenticazione, con conse-
guenze facilmente immaginabili. Listado 2. hcitool scan

# hcitool scan
I maggiori esperti di sicurezza infor- Scanning ...
matica sono concordi nel ritenere che 00:12:D1:XX:XX:XX FlO
Con il comando sdptool browse 00:12:D1:
l'insicurezza dei dispositivi Bluetooth
XX:XX:XX visualizziamo i servizi resi
non derivi tanto dal protocollo, quanto disponibili dal dispositivo 00:12:D1:XX:XX:XX
dalle manchevolezze delle sue imple- # sdptool browse 00:12:D1:XX:XX:XX
mentazioni; in effetti, gli attacchi ad

20 hakin9 Nº 10/2007 www.hakin9.org


!Bluetooth hack!

sce pieno accesso AT, permetten- aver installato correttamente il dispo- se l'antenna non è sostituibile, è pos-
do quindi di effettuare chiamate, sitivo bluetooth sul pc, assicurarsi di sibile seguire questo how to che si
mandare sms, etc... disporre di un kernel con i moduli ne- adatta a qualsiasi antenna usb blue-
• BlueBug: sfruttando implemen- cessari per il collegamento bluetooth. tooth. (link link link antenna trinfinite.
tazioni RFCOMM che non an- Nel caso in cui non siano presenti immagine.) Proseguiamo installando
nunciano tutti i servizi su SDP, i moduli necessari (fare riferimento una suite di programmi di audit e hack
permette di sfruttare tali servizi a kernel.org), ricompilare il kernel di dispositivi bluetooth. BlueDivingNG
nascosti per lanciare comandi e installare il servizio bluetooth. Su è uno script in perl che racchiude in
AT, così da effettuare chiamate, una distribuzione come Debian, l'in- una interfaccia semplice e testuale
mandare sms, etc... stallazione del servizio bluetooth si tutti gli attacchi documentati fino ad
• BlueBump: un attacco che, parten- esegue tramite il comando apt-get oggi. Tramite l'utilizzo combinato di
do da una autenticazione legittima, install bluetooth. Tramite lo script di più programmi e script con Bluedivin-
ad esempio con vCard, cerca di ot- init /etc/init.d/bluetooth restart è pos- gNG è possibile effettuare un test di
tenere il reset della chiavi di pairing sibile avviare il servizio che gestisce sicurezza di alto livello, su dispositivi
del bersaglio al fine di autenticar- il demone bluetooth. Inseriamo il bluetooth di diverso tipo. BlueDivin-
visi in un secondo momento; que- device e osserviamo tramite un tail gNG non è di facile comprensione
st'attacco presuppone quindi un -f /var/log/message il riconoscimento e installazione, cercheremo durante
approccio sotto "mentite spoglie", automatico del device come usb blue- questa lettura di informarvi riguardo
sfruttando tecniche di social en- tooth (esempio di tail -f message). Il la prima installazione. Scaricare ed
gineering o di altro tipo, che poco dispositivo che abbiamo utilizzato
hanno a che fare con il protocollo (usb bluetooth 2.0) ci indica il suo
Listado 3. make-tools.sh
Bluetooth. corretto funzionamento, tramite una
• BlueSmack: è un attacco che luce rossa intermittente. # vi tools/make-tools.sh
sfrutta pacchetti echo L2CAP Assicuriamoci che il dispositivo #!/bin/bash
make
malformati per causare buffer sia installato:
echo -en "\n<<< Compiling bccmd\n"
overflow e DoS. Con il comando hcitool scan cd bccmd_src
• CarWhisperer: sfruttando le chiavi scansioniamo l'aria alla ricerca di make
di default di molti dispositivi vivavo- dispositivi bluetooth. mv bccmd ..
ce per auto, permette di autenticarsi cd ..

ad essi ed ascoltare conversazioni Installazione security echo -en "\n<<< Compiling btftp\n"
cd btftp_src
o addirittura iniettare contenuti au- bluetooth tools make
dio all'interno del veicolo. L'attacco e il download di informazioni mv btftp ..
sensibili, al bluetooth di alcuni cellula- cd ..
E' facile notare come gli attacchi ai ri, è possibile nel caso in cui questi so- echo -en "\n<<< Compiling btobex\
n"
livelli superiori dello stack siano in no vulnerabili; per sapere quali servizi
cd btobex_src
grado di causare con poco sforzo ef- e quali telefoni trovati sono vulnerabili make
fetti notevoli, grazie alla complicità di utilizziamo il programma btscanner. mv btobex ..
implementazioni Bluetooth affette da Questo, abbastanza datato, permette cd ..
bug; forse la causa di questi problemi con una semplice interfaccia Ncurses echo -en "\n<<< Compiling bss\n"
cd bss-0.8
diffusi è una ingegnerizzazione più di sapere con esattezza se il telefono
make
focalizzata sulla semplicità di utilizzo è suscettibile ad alcuni attacchi. L'in- mv bss ..
dell'interfaccia uomo-macchina del- stallazione è molto semplice, esistono cd ..
l'apparato che non sulla sua sicurez- i pacchetti per moltissime distribu- echo -en "\n<<< Compiling
za di esercizio. zioni: nel caso di Debian, è possibile carwhisperer\n"
cd carwhisperer-0.2
installare il programma tramite apt-get
make
Primi passi install btscanner. Eseguiamo btscan- mv carwhisperer ..
Munirsi di un nokia 7650 o nokia ner in terminale con permessi di root, cd ..
8310i o di un motorola razor v3 ... lanciamo un inquiry scan (tramite la echo -en "\n<<< Compiling
Prenderemo come esempio un pressione del tasto 'i') e rapidamente greenplaque\n"
cd greenplaque_src/
nokia 8310i. ci verrà fornito un elenco di dispositivi
make
Chiamiamo il cellulare "FlO", ac- disponibili nel raggio d'azione dell'an- mv src/greenplaque ..
cendete il dispositivo e attivate il blue- tenna bluetooth, indicando la vulne- cd ..
tooth. In questo momento il cellulare, rabilità se nota. Il Gain dell'antenna echo -en "\n<<< Compiling
in modalità "visibile a tutti", manda bluetooth è molto importante, più è redfang\n"
#tar xfvz redfang.tar.gz
nell'etere un messaggio contenente alto il Gain più il nostro segnale si
#mv redfang redfang_src
il nome (FLO) e attende un colle- propagherà nell'aria. Per aumentare il cp redfang_src/fang redfang
gamento senza fili. Assicuriamoci di range d'azione dell'antenna bluetooth,

www.hakin9.org hakin9 Nº 10/2007 21


Attaque

estrarre BlueDivingNG0.8, all'interno aumenti, ma in quanto esistono delle che sta per attack e lanciamo l'attac-
della cartella troviamo un utile REA- incompatibilità tra i vari device, ed co referito. Molte volte non conoscia-
DME che ci avverte di alcune dipen- avere diverse antenne bluetooth da mo il tipo di attacco che può andare a
denze utili all'esecuzione corretta del poter utilizzare è sicuramente più buon fine così lanciamo 'Try all attack'
programma, come ad esempio un indicato per una attività come la no- tramite la pressione del tasto '3'. Il
kernel 2.4 / 2.6, bluez, sox, obexftp, stra. Lanciamo la procedura di scan programma tenterà di attaccare con
libreadline, expat / XML::simple. All'in- tramite la pressione del tasto 1; alla tutti i mezzi disponibili. Alcuni errori
terno del documento ci sono istruzioni presenza di un dispositivo il compu- dello script in perl fanno bloccare il
per installare in maniera automatica ter emetterà un suono simile ad una programma. Nel caso in cui l'attacco
tutti i programmi tramite lo script in esplosione, non è esploso il pc ... di tipo bluesnarfer non riesca, Blue-
bash make-tools.sh situato all'inter- tranquilli. Il programma scansionerà diving esce, in tal caso rilanciatelo
no della cartella tools/. Editiamolo e l'aria alla ricerca di dispositivi visibili e ripetere l'operazione, riprendendo
cambiamo la path di bss-0.6 a bss- e farà un elenco. dall'attacco seguente. Olte alla como-
0.8 , commentiamo 2 righe relative al Copiamo il bdaddr del dispositivo da interfaccia di attacco è presente
processo di installazione di redfang, e aggiungiamolo ai device conosciuti anche un'area dove sono disponibili
tramite un cancelletto avanti a #tar (add known device) tramite la pres- gli exploit conosciuti 'e'. Da questa, è
xfvz redfang.tar.gz e #mv redfang sione del tasto 4. possibile lanciare exploit direttamen-
redfang_src. Inseriamo il bdaddr e un nome te al dispositivo aggiunto ai known
Apriamo la cartella tools/btftp_ identificativo. Andiamo nel menù 'a' device. Alcuni degli exploit lanciati
src/ ed editiamo il file folder.c. Nelle
prime righe notiamo alcuni include
delle librerie xml da verificare. Uscia- Listado 4. xml libraries
mo senza salvare e cerchiamo l'esat- # locate xmlmemory.h
ta posizione di xmlmemory.h e di /usr/share/doc/libxml-1.8.17-r2/html/gnome-xml-xmlmemory.html
parser.h tramite il comando locate. /usr/include/gnome-xml/xmlmemory.h
Per la distribuzione utilizzata in /usr/include/libxml2/libxml/xmlmemory.h

esempio, la posizione è gnome-xml/


xmlmemory.c e gnome-xml/parser.h Listado 5. folder.c
Editiamo il file tools/btftp_src/folder.c # vi tools/btftp_src/folder.c
e correggiamo la posizione delle li- /*
brerie xml, usciamo e salviamo. *
Bluetooth Generic Object Exchange Profile
Torniamo nella directory prin-
*
cipale del programma e lanciamo Copyright (C) 2003 Marcel Holtmann <marcel@holtmann.org>
make-tools.sh, se tutto è corretto non *
dovrebbero esservi errori, i vari tools *
dovrebbero essere compilati e funzio- * This program is free software; you can redistribute it and/or modify
* it under the terms of the GNU General Public License version 2 as
nanti. Lanciamo il programma tramite
* published by the Free Software Foundation;
il comando perl bluedivingNG.pl. Nel *
caso in cui ci fossero errori bloccanti * Software distributed under the License is distributed on an "AS
il programma esce e genera in output * IS" basis, WITHOUT WARRANTY OF ANY KIND, either express or
a display un messaggio contenente * implied. See the License for the specific language governing
* rights and limitations under the License.
l'errore trovato. Fate riferimento al
*
README per altre delucidazioni. * You should have received a copy of the GNU General Public License
Qui sotto, la schermata principale * along with this program; if not, write to the Free Software
di BlueDivingNG.pl * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
*
Attacco a dispositivi */
#ifdef HAVE_CONFIG_H
Bluetooth #include <config.h>
L'utilizzo di BTscanner può anche non #endif
essere necessario inquanto Bluedi- #include <stdio.h>
vingNG è anche un abile scanner #include <errno.h>
#include <time.h>
di device bluetooth. Importante pre-
#include <sys/param.h>
cisare anche che BluedivingNG im- #include <gnome-xml/xmlmemory.h>
plementa una scansione tramite più #include <gnome-xml/parser.h>
device bluetooth la cosiddetta green- #include "goep.h"
plaque. Questa scansione risulta più #include "ftp.h"
precisa non perchè il range di attività

22 hakin9 Nº 10/2007 www.hakin9.org


!Bluetooth hack!

potrebbero far connettere il nostro pc


al dispositivo bluetooth, con o senza
lo scambio di una chiave. Una volta
lanciato l'exploit siamo effettivamente
connessi. A questo punto è possibile
lanciare un attacco: prendiamo in
considerazione bluesnarfer. Con
questo attacco è possibile copiare le
entry della rubrica telefonica, cancel-
larle e inserire di nuove.
Tramite BluedivingNG è anche
possibile fare una injection di file
audio, mandare un file audio diret-
tamente al cellulare, il quale imme-
diatamente provvederà ad eseguirlo
nelle cuffie o nello speaker del tele- Figura 3. BlooverII
fono target. E' divertente osservare
la reazione del povero malcapitato. del programma, ad esempio dato un dispositivo target sarà notevolmente
Per effettuare questi attacchi non è target è possibile selezionare quali impegnato a rispondere al nostro
necessario obbligatoriamente l'uti- attacchi lanciare, che tipo di azioni ping e l'esecuzione del sistema ope-
lizzo di un computer, basta anche un intraprendere ecc... Fondalmental- rativo (tipicamente symbian) risulterà
cellulare. I ragazzi di trifinite, hanno mente svolge egregiamente il suo appesantito se non bloccato comple-
sviluppato un'applicazione chiamata lavoro, anche se alcune volte si bloc- tamente. Questo attacco ricorda il
Bloover e BlooverII (breeder) che fa ca inaspettatamente dopo l'attacco ping of the death che ha afflitto per
un po' il lavoro di bluediving, racchiu- BlueBug. L'esecuzione del program- anni il sistema windows98; precisia-
de diversi attacchi e funzionalità utili ma non compromette le normali fun- mo che l'attacco dos è ancora uno
al nostro scopo... zionalità del telefono target in quanto dei più infallibili e dannosi per un di-
Io personalmente testai la versio- è fatto solo per generare reportistica, spositivo, che si tratti di un apparato
ne breeder (Speciale, edizione 22c3 anche se risulta possibile copiare e telefonico o di un servizio web. Un
) su un Nokia N80, sono compatibili inserire entry della rubrica del ber- altro attacco molto utile è il deauth:
tutti i telefoni ingrado di far girare api saglio. Tornando a BluedivingNG, è quando un dispositivo è associato
java 2.0. Prima di installarlo verifica- possibile anche sniffare il codice di ad un altro è possibile lanciare un
tene la compatibilità. In questo caso pairing durante un legittimo scambio comando di deautenticazione che
il programma è molto versatile, è di chiavi e attaccare direttamente scollega uno dei due dispositivi e li
possibile tramite il menù options ap- un dispositivo mandando un ping riobbliga allo scambio delle chiavi.
portare modifiche di comportamento tramite l2ping; tramite quest'ultimo il Questo attacco è lo stesso che po-
tremmo trovare in un articolo sulla
sicurezza di reti wireless, molto utile
Listado 6. Esecuzione di Bluediving per generare traffico e individuare
bluediving-0.8 # perl bluedivingNG.pl
così più facilmente la chiave scam-
<<< Setting device name to phone of doom biata ad inizio pairing. Altri tipi di
<<< Setting device type to phone attacchi che si possono effettuare
<<< Setting device to non-visible mode sono ad esempio una connessione
<<< Parsing vendor map... Done.
diretta rfcomm shell, dove avendo
_ _ _ _ _
| |__| |_ _ ___ __| (_)_ _(_)_ _ __ _
permessi di root è possibile eseguire
| '_ \ | || / -_) _` | \ V / | ' \/ _` | comandi direttamente dal cellulare.
|_.__/_|\_,_\___\__,_|_|\_/|_|_||_\__, | Effettuare una chiamata o utilizzare il
version 0.8 |___/ servizio modem... in questo caso pe-
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
rò verrà visualizzata sul dispositivo la
[MAIN MENU] menu: [a] Action [e] Exploit [i] Info [t] Tools
[1] Scan
chiamata in corso e quindi vi è anche
[2] Scan and attack la possibilità di essere scoperti o di
[3] Scan and info chiudere la connessione direttamen-
[4] Add Known Device te dal dispositivo.
[5] Change preferences
[6] Show preferences
[7] Show logfile
Bluetooth tips
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-= [x] Exit - Ho deciso di dedicare qualche mi-
nuto ai tips da me riscontrati durante

www.hakin9.org hakin9 Nº 10/2007 23


Attaque

Rendi sicuro
Listado 7. Scansione con Bluediving
il tuo cellulare
<<< Start scanning for bluetooth devices... Installare software tipo antivirus
<<< Greenplaque scanning mode need two or more hci devices sul cellulare è abbastanza inutile,
<<< Switching to hcitool scanning mode. in quanto questi non possono fare
<<< Start scanning for bluetooth devices...
nulla contro connessioni o vulnera-
<<< Thu Jul 26 19:16:25 2007 Found host FlO addr
00:12:D1:XX:XX:XX class unkown bilità note, possono solo proteggere
da esecuzioni involontarie di codice
Listado 8. Aggiunta manuale di un device malevolo, sotto forma di file di instal-
lazione ecc... I virus per i dispositivi
>>> 4
mobili si comportano come un virus
<<< Manually add a known bluetooth device...
Enter device address: 00:12:D1:XX:XX:XX per pc, tentano di replicarsi inviando-
Enter a nickname for this device: FlO si automaticamente ai destinatari del-
Device FlO (00:12:D1:XX:XX:XX) registered. la rubrica o tramite bluetooth attivo ai
dispositivi compresi nel raggio d'azio-
ne bluetooth, tipicamente 10 Mt.
questi giorni di studio del fenomeno "Vuoi ricevere un messaggio da ..." Tempo fa era possbile far andare
attacco al bluetooth... Molti lasciano questo perchè non tutti i telefoni sono in crash i dispositivi tramite l'utilizzo
inconsciamente o volontariamente vulnerabili e quindi nel sondare la vul- di spazi e caratteri speciali all'interno
il bluetooth acceso e visibile 24 ore nerabilità (nel caso in cui il disp. non del nome di riferimento del dispositi-
su 24 o per la durata dell'accensione fosse vulnerabile) viene visualizzato il vo bluetooth ... esempio : "C3llulare
del dispositivo, perchè come detto messaggio e sicuramente è meglio Di Marc0 --- ZxZ XXX ZZZ xxx
prima il fatto di aver a disposizione un essere mascherati per non incorrere V V VFFFGGGGT Y T Y T Y T Y$%& /
auricolare o un vivavoce in macchina in brutte sorprese. Mascherarsi con &%$£!"£$%&/(" Durante una
ne preclude l'accensione e la visibili- nomi femminili è utile perchè pochi scansione con un altro dispositivo
tà. Non tutti i dispositivi mobili sono ragazzi risponderebbero "no" rifiutan- mobile era classico il repentino
vulnerabili e quindi è utile trovarsi in do il messaggio, altrimenti si potrebbe crash e riavvio del sistema opera-
posti molto affollati tipo scuole, grandi utilizzare il nome "Tim - Ricarica" tivo o addirittura l'impossibilità di
aziende o locali notturni. Molto impor- così sarà visualizzato : "Ricevere collegamento con il dispositivo. La
tante è la quantità di dispositivi anten- un messaggio da Tim - Ricarica ?". chiave di pairing non lasciatela me-
na disponibili all'attaccante perchè, Se trovate dispositivi mobili non vul- morizzata all'interno delle opzioni
come accennavo, esistono diverse nerabili il massimo danno che si può bluetooth del dispositivo, in quanto
incompatibilità tra i device, quindi fare è continuare a tentare di connet- è possibile ricavarla facilmente e
importante utilizzare antenne di tipo tersi e lanciare un ping of the death, la velocemente tramite un attacco di
diverso bluetooth 1 e bluetooth 2 di connessione può essere stabilita an- tipo bruteforce. Utilizzate chiavi di
marche differenti. BluedivingNG ge- che senza scambio di chiavi, magari pairing complesse, faccio questa
stisce più di una antenna bluetooth: io mascherandosi da headset... (cuffie) precisazione perchè le chiavi di pai-
ho testato fino a 4 antenne bluetooth accettando il messaggio ... quindi a ring di default dei comuni dispositivi
contemporaneamente tramite un hub questo punto lanciamo tutti gli attac- mobili sono: "1234" "0000" "1111".
usb alimentato. Attenzione al nome chi possibili, anche se non vanno a In alcuni telefoni, Nokia ad esempio
del dispositivo bluetooth, in quanto buon fine il dispositivo sarà oberato di (N80), nelle opzioni Bluetooth è spe-
il vostro pc potrebbe chiamarsi: "pc richieste e personalmente ho notato cificato se il dispositivo può richie-
di adam" ... meglio mascherare il che telefonini non vulnerabili "svario- dere un dato in rubrica sim: inutile
nome con uno + attribuibile ad un navano", ossia mostravano una estre- dire che è meglio limitarne l'accesso
dispositivo di telefonia ... quindi un ma lentezza ed un uso della batteria da remoto ai soli dispositivi cono-
nome qualsiasi tipo : NokiaN80_giu- massiccio. Alcuni Modelli della Nokia sciuti o ancora meglio a nessuno.
lia Il nome non l'ho scelto a caso ... dopo un attacco al bluetooth non ter- Resta comunque una cosa molto im-
NokiaN80 perchè mi maschero da minavano l'illuminazione del display, portante da fare, tenere aggiornato
nokia e giulia ... mi maschero da quindi consumavano la batteria molto il firmware del dispositivo. Purtrop-
donna ... Come in un recente articolo + velocemente. po le maggiori case produttrici di
pubblicato su questa rivista (tema:
SocialEngineering), è utile masche-
rare la propria identità per il seguente
In Rete
http://trifinite.org Bluesnarf e vari altri tools
motivo: quando con BluedivingNG
http://bluediving.sourceforge.net/ Bluediving
lanciamo scan and attack o automa- http://bluetooth-pentest.narod.ru/ Sito per approfondimenti vari sul Bluetooth
tic attack, su alcuni dispositivi verrà http://video.google.com/videoplay?docid=2254620871308597290 bluesnarfer video
visualizzato il classico messaggio:

24 hakin9 Nº 10/2007 www.hakin9.org


!Bluetooth hack!

dispositivi mobili aggiornano solo i


modelli in produzione, e gli aggior-
namenti del firmware non sono fat-
tibili dagli utenti: occorre recarsi nei
centri specializzati e pagare una pic-
cola somma; personalmente ho fatto
aggiornare il Nokia 7650 con l'ultimo
firmware disponibile a 25 Euro.

Conclusione
Tenere acceso il bluetooth inutil-
mente è uno spreco di energia e
ed è pericoloso per tutti i motivi che
abbiamo spiegato sopra: usate il
bluetooth solo in caso di necessità.
Nessun telefono è esente dal proble-
ma degli attacchi al bluetooth (tranne
quei telefoni che non ne dispongono)
perchè come abbiamo notato l'appara-
to rimane in attesa di un collegamen-
to e continuamente manda in etere il
proprio nome; analogamente al wire-
less, il bluetooth risulta essere una
tecnologia senza un "sicuro" futuro.
Occorre rivedere completamente il
protocollo invece di continuare ad
aumentarne la capacità elaborativa...
Da ultimi studi e ricerche il Bluetooth
è stato notevolmente velocizzato ma
questo aumento non porterà giova-
mento alla sicurezza, anzi renderà
ancora più accessibili i dispositivi mo-
bili e garantirà una velocità di risposta
maggiore rispetto a quella attuale,
con il pericolo che le informazioni
spostate prima in un minuto si sposte-
ranno in 6 secondi.. l

Sull'autore
Snortattack.org, Portale orientato alla
sicurezza informatica, è il risultato
della fusione di conoscenze e colla-
borazione del team. Le tipologie di
argomentazione trattate coprono 360
gradi tutte le tematiche relative alla si-
curezza: attacco/difesa. Grande punto
di forza è l'uso di Snort come soluzione
alle inummerevoli problematiche di
intrusione. Per tenere gli utenti aggior-
nati sulle nuove problematiche sono a
disposizione un forum e una mailinglist.
Con Snortattack.org, si intende creare
uno Snort User Group finalizzato alla
collaborazione per l'Italia e tutto il resto
del Mondo, per l'uso di Snort e la tratta-
zione di problematiche di security.

hakin9 Nº 10/2007 25