Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
!Bluetooth hack!-
Attacco
Matteo Valenza
Pierpaolo Palazzoli
Fabio Mostarda
Grado di difficoltà
Q
uando parliamo di bluetooth intendia- sazione! L'unica "sicurezza" esistente è l'utiliz-
mo quella tecnologia molto diffusa che zo del codice di pairing per stabilire la prima
permette uno scambio di dati via etere. connessione; questo metodo è però facilmente
Non un "dente blu" come indica il significato intercettabile e pressochè inutile ai fini della
letterale del termine ... Moltissimi dispositivi di- sicurezza, e si utilizza per stabilire se la connes-
spongono del bluetooth, primi fra tutti i cellulari, sione tra due dispositivi è legittima.
i pda, i personal computer, i dispositivi di gioco e
di controllo (come mouse, tastiera ecc...); il blue- La tecnologia: standard e
tooth è dunque largamente utilizzato e massic- difetti strutturali del protocollo
ciamente impiegato nella tecnologia moderna. Il protocollo wireless Bluetooth nacque su ini-
L'aspetto preoccupante è che, a fronte di ziativa del gruppo Ericcson, e dal 1999 è sup-
una notevole diffusione di apparati con supporto portato dal consorzio SIG (Bluetooth Special
bluetooth (anche maggiore del wireless 802.11) Interest Group). Il nome non deriva da qualche
e nonostante siano conosciuti numerosi bug che razza ittica svedese, come si potrebbe pen-
li affliggono, non vi sia consapevolezza dei rischi sare di primo acchito, bensì dal soprannome
di sicurezza ad essi associati. Per comprendere
meglio la portata di queste vulnerabilità, convie-
ne portare un esempio concreto. E' noto che Dall'articolo imparerai...
alcune regole poste dalla legislazione di vari • Minima conoscenza di linux.
paesi, come il divieto di parlare al cellulare in au- • Conoscenza dello stack bluetooth linux.
tomobile, hanno favorito lo sviluppo di dispositivi
complementari che permettono di parlare a ma-
Cosa dovresti sapere...
ni libere: il vivavoce d'auto bluetooth o il diffuso
auricolare bluetooth ne sono un esempio; i dati • attaccare dispositivi bluetooth.
che questi dispositivi si scambiano attraversano • imparare a proteggerti da potenziali aggres-
l'aria e non sono crittografati: basterebbe quindi sori.
intercettare il traffico per ascoltare una conver-
# hcitool scan
I maggiori esperti di sicurezza infor- Scanning ...
matica sono concordi nel ritenere che 00:12:D1:XX:XX:XX FlO
Con il comando sdptool browse 00:12:D1:
l'insicurezza dei dispositivi Bluetooth
XX:XX:XX visualizziamo i servizi resi
non derivi tanto dal protocollo, quanto disponibili dal dispositivo 00:12:D1:XX:XX:XX
dalle manchevolezze delle sue imple- # sdptool browse 00:12:D1:XX:XX:XX
mentazioni; in effetti, gli attacchi ad
sce pieno accesso AT, permetten- aver installato correttamente il dispo- se l'antenna non è sostituibile, è pos-
do quindi di effettuare chiamate, sitivo bluetooth sul pc, assicurarsi di sibile seguire questo how to che si
mandare sms, etc... disporre di un kernel con i moduli ne- adatta a qualsiasi antenna usb blue-
• BlueBug: sfruttando implemen- cessari per il collegamento bluetooth. tooth. (link link link antenna trinfinite.
tazioni RFCOMM che non an- Nel caso in cui non siano presenti immagine.) Proseguiamo installando
nunciano tutti i servizi su SDP, i moduli necessari (fare riferimento una suite di programmi di audit e hack
permette di sfruttare tali servizi a kernel.org), ricompilare il kernel di dispositivi bluetooth. BlueDivingNG
nascosti per lanciare comandi e installare il servizio bluetooth. Su è uno script in perl che racchiude in
AT, così da effettuare chiamate, una distribuzione come Debian, l'in- una interfaccia semplice e testuale
mandare sms, etc... stallazione del servizio bluetooth si tutti gli attacchi documentati fino ad
• BlueBump: un attacco che, parten- esegue tramite il comando apt-get oggi. Tramite l'utilizzo combinato di
do da una autenticazione legittima, install bluetooth. Tramite lo script di più programmi e script con Bluedivin-
ad esempio con vCard, cerca di ot- init /etc/init.d/bluetooth restart è pos- gNG è possibile effettuare un test di
tenere il reset della chiavi di pairing sibile avviare il servizio che gestisce sicurezza di alto livello, su dispositivi
del bersaglio al fine di autenticar- il demone bluetooth. Inseriamo il bluetooth di diverso tipo. BlueDivin-
visi in un secondo momento; que- device e osserviamo tramite un tail gNG non è di facile comprensione
st'attacco presuppone quindi un -f /var/log/message il riconoscimento e installazione, cercheremo durante
approccio sotto "mentite spoglie", automatico del device come usb blue- questa lettura di informarvi riguardo
sfruttando tecniche di social en- tooth (esempio di tail -f message). Il la prima installazione. Scaricare ed
gineering o di altro tipo, che poco dispositivo che abbiamo utilizzato
hanno a che fare con il protocollo (usb bluetooth 2.0) ci indica il suo
Listado 3. make-tools.sh
Bluetooth. corretto funzionamento, tramite una
• BlueSmack: è un attacco che luce rossa intermittente. # vi tools/make-tools.sh
sfrutta pacchetti echo L2CAP Assicuriamoci che il dispositivo #!/bin/bash
make
malformati per causare buffer sia installato:
echo -en "\n<<< Compiling bccmd\n"
overflow e DoS. Con il comando hcitool scan cd bccmd_src
• CarWhisperer: sfruttando le chiavi scansioniamo l'aria alla ricerca di make
di default di molti dispositivi vivavo- dispositivi bluetooth. mv bccmd ..
ce per auto, permette di autenticarsi cd ..
ad essi ed ascoltare conversazioni Installazione security echo -en "\n<<< Compiling btftp\n"
cd btftp_src
o addirittura iniettare contenuti au- bluetooth tools make
dio all'interno del veicolo. L'attacco e il download di informazioni mv btftp ..
sensibili, al bluetooth di alcuni cellula- cd ..
E' facile notare come gli attacchi ai ri, è possibile nel caso in cui questi so- echo -en "\n<<< Compiling btobex\
n"
livelli superiori dello stack siano in no vulnerabili; per sapere quali servizi
cd btobex_src
grado di causare con poco sforzo ef- e quali telefoni trovati sono vulnerabili make
fetti notevoli, grazie alla complicità di utilizziamo il programma btscanner. mv btobex ..
implementazioni Bluetooth affette da Questo, abbastanza datato, permette cd ..
bug; forse la causa di questi problemi con una semplice interfaccia Ncurses echo -en "\n<<< Compiling bss\n"
cd bss-0.8
diffusi è una ingegnerizzazione più di sapere con esattezza se il telefono
make
focalizzata sulla semplicità di utilizzo è suscettibile ad alcuni attacchi. L'in- mv bss ..
dell'interfaccia uomo-macchina del- stallazione è molto semplice, esistono cd ..
l'apparato che non sulla sua sicurez- i pacchetti per moltissime distribu- echo -en "\n<<< Compiling
za di esercizio. zioni: nel caso di Debian, è possibile carwhisperer\n"
cd carwhisperer-0.2
installare il programma tramite apt-get
make
Primi passi install btscanner. Eseguiamo btscan- mv carwhisperer ..
Munirsi di un nokia 7650 o nokia ner in terminale con permessi di root, cd ..
8310i o di un motorola razor v3 ... lanciamo un inquiry scan (tramite la echo -en "\n<<< Compiling
Prenderemo come esempio un pressione del tasto 'i') e rapidamente greenplaque\n"
cd greenplaque_src/
nokia 8310i. ci verrà fornito un elenco di dispositivi
make
Chiamiamo il cellulare "FlO", ac- disponibili nel raggio d'azione dell'an- mv src/greenplaque ..
cendete il dispositivo e attivate il blue- tenna bluetooth, indicando la vulne- cd ..
tooth. In questo momento il cellulare, rabilità se nota. Il Gain dell'antenna echo -en "\n<<< Compiling
in modalità "visibile a tutti", manda bluetooth è molto importante, più è redfang\n"
#tar xfvz redfang.tar.gz
nell'etere un messaggio contenente alto il Gain più il nostro segnale si
#mv redfang redfang_src
il nome (FLO) e attende un colle- propagherà nell'aria. Per aumentare il cp redfang_src/fang redfang
gamento senza fili. Assicuriamoci di range d'azione dell'antenna bluetooth,
estrarre BlueDivingNG0.8, all'interno aumenti, ma in quanto esistono delle che sta per attack e lanciamo l'attac-
della cartella troviamo un utile REA- incompatibilità tra i vari device, ed co referito. Molte volte non conoscia-
DME che ci avverte di alcune dipen- avere diverse antenne bluetooth da mo il tipo di attacco che può andare a
denze utili all'esecuzione corretta del poter utilizzare è sicuramente più buon fine così lanciamo 'Try all attack'
programma, come ad esempio un indicato per una attività come la no- tramite la pressione del tasto '3'. Il
kernel 2.4 / 2.6, bluez, sox, obexftp, stra. Lanciamo la procedura di scan programma tenterà di attaccare con
libreadline, expat / XML::simple. All'in- tramite la pressione del tasto 1; alla tutti i mezzi disponibili. Alcuni errori
terno del documento ci sono istruzioni presenza di un dispositivo il compu- dello script in perl fanno bloccare il
per installare in maniera automatica ter emetterà un suono simile ad una programma. Nel caso in cui l'attacco
tutti i programmi tramite lo script in esplosione, non è esploso il pc ... di tipo bluesnarfer non riesca, Blue-
bash make-tools.sh situato all'inter- tranquilli. Il programma scansionerà diving esce, in tal caso rilanciatelo
no della cartella tools/. Editiamolo e l'aria alla ricerca di dispositivi visibili e ripetere l'operazione, riprendendo
cambiamo la path di bss-0.6 a bss- e farà un elenco. dall'attacco seguente. Olte alla como-
0.8 , commentiamo 2 righe relative al Copiamo il bdaddr del dispositivo da interfaccia di attacco è presente
processo di installazione di redfang, e aggiungiamolo ai device conosciuti anche un'area dove sono disponibili
tramite un cancelletto avanti a #tar (add known device) tramite la pres- gli exploit conosciuti 'e'. Da questa, è
xfvz redfang.tar.gz e #mv redfang sione del tasto 4. possibile lanciare exploit direttamen-
redfang_src. Inseriamo il bdaddr e un nome te al dispositivo aggiunto ai known
Apriamo la cartella tools/btftp_ identificativo. Andiamo nel menù 'a' device. Alcuni degli exploit lanciati
src/ ed editiamo il file folder.c. Nelle
prime righe notiamo alcuni include
delle librerie xml da verificare. Uscia- Listado 4. xml libraries
mo senza salvare e cerchiamo l'esat- # locate xmlmemory.h
ta posizione di xmlmemory.h e di /usr/share/doc/libxml-1.8.17-r2/html/gnome-xml-xmlmemory.html
parser.h tramite il comando locate. /usr/include/gnome-xml/xmlmemory.h
Per la distribuzione utilizzata in /usr/include/libxml2/libxml/xmlmemory.h
Rendi sicuro
Listado 7. Scansione con Bluediving
il tuo cellulare
<<< Start scanning for bluetooth devices... Installare software tipo antivirus
<<< Greenplaque scanning mode need two or more hci devices sul cellulare è abbastanza inutile,
<<< Switching to hcitool scanning mode. in quanto questi non possono fare
<<< Start scanning for bluetooth devices...
nulla contro connessioni o vulnera-
<<< Thu Jul 26 19:16:25 2007 Found host FlO addr
00:12:D1:XX:XX:XX class unkown bilità note, possono solo proteggere
da esecuzioni involontarie di codice
Listado 8. Aggiunta manuale di un device malevolo, sotto forma di file di instal-
lazione ecc... I virus per i dispositivi
>>> 4
mobili si comportano come un virus
<<< Manually add a known bluetooth device...
Enter device address: 00:12:D1:XX:XX:XX per pc, tentano di replicarsi inviando-
Enter a nickname for this device: FlO si automaticamente ai destinatari del-
Device FlO (00:12:D1:XX:XX:XX) registered. la rubrica o tramite bluetooth attivo ai
dispositivi compresi nel raggio d'azio-
ne bluetooth, tipicamente 10 Mt.
questi giorni di studio del fenomeno "Vuoi ricevere un messaggio da ..." Tempo fa era possbile far andare
attacco al bluetooth... Molti lasciano questo perchè non tutti i telefoni sono in crash i dispositivi tramite l'utilizzo
inconsciamente o volontariamente vulnerabili e quindi nel sondare la vul- di spazi e caratteri speciali all'interno
il bluetooth acceso e visibile 24 ore nerabilità (nel caso in cui il disp. non del nome di riferimento del dispositi-
su 24 o per la durata dell'accensione fosse vulnerabile) viene visualizzato il vo bluetooth ... esempio : "C3llulare
del dispositivo, perchè come detto messaggio e sicuramente è meglio Di Marc0 --- ZxZ XXX ZZZ xxx
prima il fatto di aver a disposizione un essere mascherati per non incorrere V V VFFFGGGGT Y T Y T Y T Y$%& /
auricolare o un vivavoce in macchina in brutte sorprese. Mascherarsi con &%$£!"£$%&/(" Durante una
ne preclude l'accensione e la visibili- nomi femminili è utile perchè pochi scansione con un altro dispositivo
tà. Non tutti i dispositivi mobili sono ragazzi risponderebbero "no" rifiutan- mobile era classico il repentino
vulnerabili e quindi è utile trovarsi in do il messaggio, altrimenti si potrebbe crash e riavvio del sistema opera-
posti molto affollati tipo scuole, grandi utilizzare il nome "Tim - Ricarica" tivo o addirittura l'impossibilità di
aziende o locali notturni. Molto impor- così sarà visualizzato : "Ricevere collegamento con il dispositivo. La
tante è la quantità di dispositivi anten- un messaggio da Tim - Ricarica ?". chiave di pairing non lasciatela me-
na disponibili all'attaccante perchè, Se trovate dispositivi mobili non vul- morizzata all'interno delle opzioni
come accennavo, esistono diverse nerabili il massimo danno che si può bluetooth del dispositivo, in quanto
incompatibilità tra i device, quindi fare è continuare a tentare di connet- è possibile ricavarla facilmente e
importante utilizzare antenne di tipo tersi e lanciare un ping of the death, la velocemente tramite un attacco di
diverso bluetooth 1 e bluetooth 2 di connessione può essere stabilita an- tipo bruteforce. Utilizzate chiavi di
marche differenti. BluedivingNG ge- che senza scambio di chiavi, magari pairing complesse, faccio questa
stisce più di una antenna bluetooth: io mascherandosi da headset... (cuffie) precisazione perchè le chiavi di pai-
ho testato fino a 4 antenne bluetooth accettando il messaggio ... quindi a ring di default dei comuni dispositivi
contemporaneamente tramite un hub questo punto lanciamo tutti gli attac- mobili sono: "1234" "0000" "1111".
usb alimentato. Attenzione al nome chi possibili, anche se non vanno a In alcuni telefoni, Nokia ad esempio
del dispositivo bluetooth, in quanto buon fine il dispositivo sarà oberato di (N80), nelle opzioni Bluetooth è spe-
il vostro pc potrebbe chiamarsi: "pc richieste e personalmente ho notato cificato se il dispositivo può richie-
di adam" ... meglio mascherare il che telefonini non vulnerabili "svario- dere un dato in rubrica sim: inutile
nome con uno + attribuibile ad un navano", ossia mostravano una estre- dire che è meglio limitarne l'accesso
dispositivo di telefonia ... quindi un ma lentezza ed un uso della batteria da remoto ai soli dispositivi cono-
nome qualsiasi tipo : NokiaN80_giu- massiccio. Alcuni Modelli della Nokia sciuti o ancora meglio a nessuno.
lia Il nome non l'ho scelto a caso ... dopo un attacco al bluetooth non ter- Resta comunque una cosa molto im-
NokiaN80 perchè mi maschero da minavano l'illuminazione del display, portante da fare, tenere aggiornato
nokia e giulia ... mi maschero da quindi consumavano la batteria molto il firmware del dispositivo. Purtrop-
donna ... Come in un recente articolo + velocemente. po le maggiori case produttrici di
pubblicato su questa rivista (tema:
SocialEngineering), è utile masche-
rare la propria identità per il seguente
In Rete
http://trifinite.org Bluesnarf e vari altri tools
motivo: quando con BluedivingNG
http://bluediving.sourceforge.net/ Bluediving
lanciamo scan and attack o automa- http://bluetooth-pentest.narod.ru/ Sito per approfondimenti vari sul Bluetooth
tic attack, su alcuni dispositivi verrà http://video.google.com/videoplay?docid=2254620871308597290 bluesnarfer video
visualizzato il classico messaggio:
Conclusione
Tenere acceso il bluetooth inutil-
mente è uno spreco di energia e
ed è pericoloso per tutti i motivi che
abbiamo spiegato sopra: usate il
bluetooth solo in caso di necessità.
Nessun telefono è esente dal proble-
ma degli attacchi al bluetooth (tranne
quei telefoni che non ne dispongono)
perchè come abbiamo notato l'appara-
to rimane in attesa di un collegamen-
to e continuamente manda in etere il
proprio nome; analogamente al wire-
less, il bluetooth risulta essere una
tecnologia senza un "sicuro" futuro.
Occorre rivedere completamente il
protocollo invece di continuare ad
aumentarne la capacità elaborativa...
Da ultimi studi e ricerche il Bluetooth
è stato notevolmente velocizzato ma
questo aumento non porterà giova-
mento alla sicurezza, anzi renderà
ancora più accessibili i dispositivi mo-
bili e garantirà una velocità di risposta
maggiore rispetto a quella attuale,
con il pericolo che le informazioni
spostate prima in un minuto si sposte-
ranno in 6 secondi.. l
Sull'autore
Snortattack.org, Portale orientato alla
sicurezza informatica, è il risultato
della fusione di conoscenze e colla-
borazione del team. Le tipologie di
argomentazione trattate coprono 360
gradi tutte le tematiche relative alla si-
curezza: attacco/difesa. Grande punto
di forza è l'uso di Snort come soluzione
alle inummerevoli problematiche di
intrusione. Per tenere gli utenti aggior-
nati sulle nuove problematiche sono a
disposizione un forum e una mailinglist.
Con Snortattack.org, si intende creare
uno Snort User Group finalizzato alla
collaborazione per l'Italia e tutto il resto
del Mondo, per l'uso di Snort e la tratta-
zione di problematiche di security.
hakin9 Nº 10/2007 25