Um estudo prtico das ameas de segurana em dispositivos portteis com Windows Mobile

Bruno Paulo Usiglio Kovacs e Vanesa de Freitas Monteiro Departamento de Informtica PUC-Rio Rua M. S. Vicente 225, 22453-900 Rio de Janeiro RJ, Brazil {bruno.kovacs@gmail.com ; freitasmon@ig.com.br} Professor orientador: Markus Endler

Resumo: esta monografia se prope a apresentar ameaas de segurana a dispositivos de computao mvel, dando foco principal queles que utilizam o sistema operacional Windows Mobile. As vias de contaminao abordadas sero os padres BlueTooth e Wi-fi (802.11). Experimentos prticos foram realizados, procurando reproduzir pesquisas de grupos especializados no assunto.

Palavras-chave: PDA, PocketPC, handheld, Wi-Fi, Bluetooth, redes sem-fio, malware, trojan, worm, ameaa, segurana, Windows Mobile, porta dos fundos, WEP, WPA, criptografia, chave.

ndice
1. Introduo................................................................................................................................... 3 1.1. Objetivo e Definies ......................................................................................................... 4 1.1.1. Definio de um dispositivo mvel ................................................................................ 4 1.1.2. Ameaa de segurana................................................................................................... 4 1.1.3. Rede sem fio.................................................................................................................. 5 1.2. Introduo ao Windows Mobile.......................................................................................... 5 1.3. Introduo ao IEEE 802.11................................................................................................ 6 1.3.1. Funcionamento .............................................................................................................. 8 1.3.2. Origem e significado do termo 'Wi-Fi'............................................................................ 9 1.4. Introduo ao WEP............................................................................................................ 9 1.5. Introduo ao WPA.......................................................................................................... 10 1.6. Introduo ao Bluetooth................................................................................................... 11 Ataque Locais ........................................................................................................................... 13 2.1.1. Obstculos encontrados para se atacar um PDA ....................................................... 13 2.1.2. Arquivos .CAB ............................................................................................................. 14 2.1.3. Execuo automtica de aplicaes (auto-run) .......................................................... 14 2.1.4. Restaurao das configuraes de fbrica ................................................................. 15 2.1.5. Internet Explorer para PDAs........................................................................................ 16 2.1.6. Viso reduzida de URLs.............................................................................................. 16 2.1.7. Modelo de Objeto de Domnio do PIE (PIE Domain Object Model)............................ 17 2.1.8. Acesso a arquivos locais usando o Pocket IE............................................................. 17 2.1.9. Monitorao de teclas digitadas .................................................................................. 18 2.1.10. Anlise forense ............................................................................................................ 19 2.1.11. Engenharia reversa de binrios................................................................................... 19 2.1.12. Servidor de FTP oculto ................................................................................................ 21 2.1.13. Controle remoto ........................................................................................................... 22 2.2. Descrio de ameaas especficas ................................................................................. 23 Ataques atravs da Rede ......................................................................................................... 23 3.1. Classificao geral de tipos de ataques .......................................................................... 23 3.1.1. Formas de ataques genricas ..................................................................................... 23 3.1.2. Quebra de chave da criptografia ................................................................................. 24 3.1.3. Tomada de controle do dispositivo.............................................................................. 24 3.1.4. Pontos de acesso falsos.............................................................................................. 24 3.1.5. Viso geral de worms/virus conhecidos ...................................................................... 25 3.2. Ataques via interface Bluetooth ....................................................................................... 26 3.2.1. Varrendo endereos Bluetooth.................................................................................... 26 3.2.2. Reduzindo a margem de endereos possveis ........................................................... 27 3.2.3. Descobrindo endereos Bluetooth enquanto se comunicam...................................... 27 3.2.4. Comunicao via Bluetooth entre dispositivos & segurana....................................... 28 3.2.5. Problemas relacionados a fabricantes ........................................................................ 29 3.2.6. O Risco de conexo APs falsos ............................................................................... 30 3.2.7. Ataques especficos..................................................................................................... 32 3.3. Ataques via interface IEEE 802.11 .................................................................................. 34 3.3.1. Ataques ao WEP ......................................................................................................... 34 3.3.2. Ataques ao WPA ......................................................................................................... 35 3.3.3. Ataques de invaso de memria (Buffler Overflow attacks) ....................................... 35 3.3.4. Captura de trfego....................................................................................................... 36 3.3.5. Anlise de vulnerabilidades......................................................................................... 37 3.3.6. Abrindo portas para um ataque ................................................................................... 37 Checklist de Segurana para dispositivos mveis em redes sem-fio ...................................... 38 Avaliao Prtica ...................................................................................................................... 40 5.1. Testes com Emuladores vs Teste com dispositivos fsicos............................................. 40 5.1.1. Descrio do ambiente de testes com emuladores .................................................... 40

2.

3.

4. 5.

5.1.2. Descrio do ambiente de testes com dispositivos fsicos ......................................... 41 5.1.3. Vantagens e desvantagens quanto aos ambientes .................................................... 42 5.2. Discusso sobre metodologia e critrios de avaliao.................................................... 42 5.3. Testes com emuladores................................................................................................... 43 5.4. Testes locais .................................................................................................................... 45 5.5. Testes com Bluetooth ...................................................................................................... 48 5.6. Testes com IEEE 802.11 ................................................................................................. 50 6. Concluso................................................................................................................................. 53 7. Referncias Bibliogrficas ........................................................................................................ 55

ndice de figuras
Figura 1: IEEE 802.11 e o modelo OSI/ISO........................................................................................ 7 Figura 2: Opo de ser descoberto ou no....................................................................................... 12 Figura 3: Cdigo para retornar configurao de fbrica do dispositivo (Hard reset) ..................... 15 Figura 4: Cdigo em HTML que ir finalizar imediatamente o Pocket Internet Explorer.................. 16 Figura 5: barra de endereos reduzida pode enganar usurios ....................................................... 17 Figura 6: servidor de FTP identifica-se atravs de cone na rea de trabalho ................................. 21 Figura 7: Janela exibida ao iniciar a aplicao VirtualCE ................................................................. 22 Figura 8: Exemplo de configurao da autenticao de uma configurao Bluetooth..................... 29 Figura 9: A descoberta de dispositivos no divulga seu endereo Bluetooth .................................. 31 Figura 10: vxSniffer em ao ............................................................................................................ 36 Figura 11: Emulao do Windows Mobile 2003 SE em PocketPC................................................... 41 Figura 12: Emulao do Windows Mobile 2003 SE em SmartPhone............................................... 41 Figura 13: VxSniffer coletou trfego da interface local ..................................................................... 44 Figura 14: Detalhes de uma requisio do protocolo ARP ............................................................... 44 Figura 15: Acesso via FTP atravs da Internet ao PocketPC e exibio dos arquivos locais. ........ 46 Figura 16: Autenticao com senha para acesso remoto (Atravs da aplicao VirtualCE) ........... 46 Figura 17: Controle remoto do PocketPC via Internet ...................................................................... 46 Figura 18: Controle remoto do PocketPC via Internet ...................................................................... 47 Figura 19: Controle remoto do PocketPC via Internet ...................................................................... 47 Figura 20: Editando o registro do Windows Mobile atravs da aplicao Mobile Registry Editor . 48 Figura 21: Habilitando a interface Bluetooth do dispositivo .............................................................. 49 Figura 22: Configurando a interface Bluetooth do dispositivo para estar visvel .............................. 49 Figura 23: Aplicao btCrawler com funo de bluesnarfing habilitada via edio de registro........ 49 Figura 24: Mini-stumbler no reconheceu a interface de rede sem fio............................................. 50 Figura 25: Captura de trfego da rede 802.11 do LAC..................................................................... 51 Figura 26: Detalhes do segmento TCP capturado............................................................................ 51 Figura 27: Anlise do contedo capturado. Pode-se visualizar o contedo das requisies........... 52 Figura 28: Exibio dos pacotes capturados. ................................................................................... 52 Figura 29: Ferramenta E-eye WiFi Scanner identificou uma rede 802.11 com WEP habilitado ...... 53

1.

Introduo
Um PDA (Personal Digital Assistant), ou Assistente Pessoal Digital, um computador de dimenses reduzidas, dotado de grande capacidade computacional, normalmente cumprindo as funes de agenda, sistema de escritrio, oferecendo recursos multimdia e entretenimento, com possibilidade de interconexo com um computador pessoal e uma rede sem-fio para acesso a correio eletrnico e internet. Infelizmente, este simples dispositivo pode gerar um furo de segurana na estrutura de muitas corporaes, que pode ser explorado por pessoas com fins no amigveis. Atualmente, a maioria das empresas nem mesmo cita a verificao de dispositivos mveis em suas polticas de segurana ou em sistemas de controle, ou ainda, no possuem idia de como estes so utilizados na sua prpria rede ou em localidades remotas. No apenas o dispositivo mvel em si pode ser comprometido, tendo suas informaes capturadas, mas pode ser contaminado por um cavalo de tria e transformado em um livre ponto de acesso rede corporativa. Este documento analisa algumas das formas de se atacar um dispositivo mvel e quais as conseqncias que podero ser geradas.

1.1. Objetivo e Definies

O objetivo principal deste trabalho apresentar ameaas de segurana que podem afetar dispositivos de computao mvel, considerando o escopo dos sistemas operacionais de mercado Windows Mobile 2003/5.0 e as tecnologias de rede sem-fio Bluetooth e 802.11. Estas tecnologias sero apresentadas de forma introdutria, de modo a contextualizar as ameaas estudadas. Alm da teoria apresentada, experincias prticas so conduzidas, apresentando um relatrio tcnico com resultados obtidos no final do trabalho.

1.1.1. Definio de um dispositivo mvel

Vamos considerar que um dispositivo mvel um equipamento digital que serve para realizar tarefas dirias de trabalho. Isso inclui todos os Pocket PCs, Palms, SmartPhones e relacionados. Alm destes, outros dispositivos mveis que utilizam a plataforma Windows CE.NET. Apesar de laptops se enquadrarem neste perfil, estes no tero foco deste trabalho.

1.1.2. Ameaa de segurana

So consideradas ameaas de segurana, aquelas que possam comprometer a confidencialidade, integridade e disponibilidade de dados e servios utilizados pelos usurios da

infra-estrutura de computao mvel. A seguir, definimos cada um dos trs pilares da segurana de informao: Confidencialidade - propriedade que limita o acesso informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio da informao. Integridade - propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento, manuteno e destruio). Disponibilidade - propriedade que garante que a informao esteja sempre disponvei para o uso legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao.

1.1.3. Rede sem fio

Rede sem fio um termo utilizado para designar a interconexo de computadores em um sistema sem o uso de fios, por meio de dispositivos apropriados. Atualmente, as ondas de rdio so o meio mais eficaz para possibilitar estas ligaes. So exemplos de tecnologias de rede sem fio abordadas neste artigo o BlueTooth e o 802.11, vulgo Wi-fi.

1.2. Introduo ao Windows Mobile

Viso Geral O Microsoft Windows Mobile uma plataforma de sistema operacional de 32 bits, multitarefa e multisegmentado. Tem uma estrutura de arquitetura aberta que d suporte a uma variedade de dispositivos de comunicao, entretenimento e computao mvel. um sistema operacional inteiramente novo, compacto, porttil e proporciona uma interface intuitiva e de fcil aprendizado, incorporada de elementos familiares do Windows para PCs. compatvel com os melhores e mais teis hardwares do mercado tais como: modem cards, Flash cards, Color Digital Camera Card, cabos de sada VGA e porta Paralela, entre outros.

Diferentes Verses O Windows Mobile, lanado em Junho de 2003, est disponvel em diferentes classes de equipamentos:

Windows Mobile Pocket PC Permite controlar os contatos, agenda, tarefas a fazer, anotaes, tocar msicas, vdeos, jogar, receber e enviar e-mails, e mensagem instantnea, dentre outras funes. Essa a verso do Widows Mobile para os computadores mveis.

Windows Mobile Pocket PC Phone O sistema combina os recursos padres do Windows Mobile para Pocket PC com os recursos para telefonia, integrados ao PDA. possvel, por exemplo, discar para uma pessoa em sua lista de contatos, enviar mensagens SMS, navegar pela Internet, etc. Pode-se considerar esse sistema o Pocket PC com recursos de celular, onde o principal continua sendo o PDA;

Windows Mobile Smartphone Neste caso o foco diferente. O Windows Mobile para Smartphones integra recursos de PDA em um equipamento criado para ligaes de voz, e do tamanho dos atuais aparelhos celulares. O sistema desenvolvido para operao com uma mo, e otimizado para comunicao de voz e dados, permitindo o acesso sem fio ao Outlook, navegao segura na Internet e rede corporativa. Em funo das diferenas em relao s outras verses do Windows Mobile, os programas para smartphone so especficos, e no geral incompatveis com as outras verses do sistema.

1.3. Introduo ao IEEE 802.11

Uma rede sem fio do padro 802.11 (wireless LAN - WLAN ou WiFi) um sistema de transmisso de dados desenvolvido para oferecer acesso rede independentemente de localizao, atravs de ondas de rdio ao invs de uma infra-estrutura cabeada. A aceitao em larga escala desta tecnologia depende da criao de um padro de mercado para garantir a compatibilidade e confiabilidade de produtos de diversos fabriacantes. A especificao 802.11 [Padro IEEE 802.11 (ISO/IEC 8802-11: 1999)] como um padro para redes sem fio foi formalmente aprovada pelo Instituo de Engenheiros de Eltrica e Eletrnica (Institute of Electrical and Electronics Engineers - IEEE) no ano de 1997. Esta verso do 802.11 oferece velocidades de transmisso de dados de 1 e 2 Mbps e um conjunto de mtodos de sinalizao e outros servios. Como todos os padres do IEEE, o 802.11 tem foco nas duas camadas inferiores do modelo OSI/ISO: camadas fsica e de enlace. Qualquer aplicao de rede, sistema operacional de rede, protocolo, incluindo o TCP/IP e o Novell Netware, iro funcionar em

redes sem fio em conformidade com este padro da mesma forma que funcionam nas redes Ethernet.

Figura 1: IEEE 802.11 e o modelo OSI/ISO A grande motivao e benefcio quanto s redes sem fio o aumento de mobilidade. O fato da estao no estar confinada a um ponto de rede cabeado, permite ao usurio que se locomova livremente por praticamente qualquer lugar, conectado rede. Outra vantagem o custo-benefcio da implantao de uma rede que exija conectividade em localidades de difcil acesso para realizar cabeamento, como no caso de prdios antigos e paredes rgidas. Alm disso, a reduo de custo total de propriedade, especialmente em lugares de mudanas constantes, devido ao mnimo de cabeamento realizado e baixo custo de instao de equipamentos e pontos de acesso para usurios. Redes sem fio permitem usurios acessar recursos da rede sem que dependam de pontos de rede em lugares especficos, dando assim as seguintes vantagens: Acesso imediato a informaes de pacientes mdicos, ao lado dos mesmos, o que til para mdicos e para equipes mdicas. Acesso rpido para consultores externos ou auditores, que estejam em servio ao longo da extenso da empresa.

Facilita o controle de supervisores como gerentes de linhas de montagem, auditors de depsitos ou engenheiros de construo, pois por exemplo oferece acesso a bancos de dados de qualquer lugar. Configurao de rede simplificada, exigindo menor dependncia do envolvimento de times de suporte em eventos expordicos, como palestras. Acesso mais rpido a informaes de clients para vendedores e varejistas, resultando em uma melhor qualidade de servio e consequente satisfao do cliente. Permite administradores de rede acessarem recursos a partir de qualquer lugar dentro da empresa, permitindo-os resolver problemas com mais velocidade. O padro 802.11 possui 6 verses de modulao pelo ar, todas usando o mesmo protocolo. As mais populares so as verses a , b e g. Estas, foram desenvolvidas levando em considerao problemas de segurana, mas a verso que teve este assunto levado mais srio foi a verso i. Outras verses do padro (cf, h, j) so melhoramentos e extenses de verses anteriores. O 802.11b foi o primeiro padro largamente aceito, seguido pelas verses 802.11a e 802.11g. Os padres 802.11b e 802.11g usam a faixa de freqncia de 2.4 gigahertz (GHz) e devido a este fato, podem sofrer interferncias com fornos de micro-onda, telefones sem-fio, dispositivos Bluetooth e outros equipamentos que fazem uso da mesma faixa. O 802.11a usa a faixa de 5 GHz, e por isso no afetado por produtos que operem na faixa de 2.4Ghz. A faixa de freqncia do spectro utilizada pode ser utilizada em vrios pases, sendo que as limitaes mais acirradas ocorrem nos Estados Unidos.

1.3.1. Funcionamento
Uma tpica rede Wi-Fi contem um ou mais pontos de acesso (Access Points - APs) e um ou mais clientes. Um AP transmite para todos que podem escutar (broadcast) o seu SSID (Service Set Identifier, nome da rede) atravs de pacotes chamados beacons, o que acontece normalmente a cada 100 ms. Os beacons so transmitidos na velocida de 1 Mbit/s, so pacotes que tem pouca durao e por isso no impactam significativamente em performance. Como a velocidade mnima aceitvel para se conectar rede de 1Mbit/s, assume-se que a taxa de transmisso dos beacons suficiente para atender at o cliente em piores situaes. Baseado no SSID, o cliente pode escolher qual rede se conectar. Caso mais de um AP pertena mesma rede, o firmware do cliente pode escolher automaticamente o AP mais prximo. Como a transmisso feita atravs do ar neste tipo de rede, as mesmas propriedades de uma rede em barra so compartilhadas, por exemplo, at colises podem aparecer. No entanto, as redes Wi-Fi no so capazes de realizar deteco de coliso, e por isso usam um mtodo para evitar colises.

1.3.2. Origem e significado do termo 'Wi-Fi'

Apesar da similaridade entre os termos 'Wi-Fi' e 'Hi-Fi', declaraes feitas por Phil Belanger, membro do grupo Wi-Fi Alliance contradizem a crena popular de que 'Wi-Fi' significa 'Wireless Fidelity.' De acordo com Belanger, a empresa Interbrand desenvolveu a marca 'Wi-Fi' para o grupo Wi-Fi Alliance para ser usada para descrever produtos de rede sem fio baseados no padro IEEE 802.11. Segundo Belanger, o termo 'Wi-Fi' e seu logotipo similar a um yin yang foram criados pela Interbrand, contratada pelo grupo para identificar produtos compatveis e fazer uma campanha de marketing.

1.4. Introduo ao WEP

O primeiro protocolo de segurana adotado, que conferia no nvel do enlace uma certa segurana para as redes sem fio foi o WEP (Wired Equivalent Privacy). Este protocolo, usado ainda hoje, utiliza o algoritmo RC4 para criptografar pacotes que so trocados numa rede sem fio a fim de tentar garantir confidenciabilidade aos dados de cada usurio. Alm disso, utiliza-se tambm a CRC-32, uma funo de deteco de erros que ao fazer o "checksum" de uma mensagem enviada gera um ICV (Integrity Check Value) que deve ser conferido pelo receptor da mensagem no intuito de verificar se a mensagem recebida foi corrompida e/ou alterada no meio do caminho.

Vulnerabilidades do WEP No entanto, aps vrios estudos e testes realizados com este protocolo, foram achadas algumas vulnerabilidades e falhas que fizeram com que o WEP perdesse quase toda a sua credibilidade. No WEP, os dois parmetros que servem de entrada para o algoritmo RC4 so a chave secreta k de 40 bits ou 104 bits e um vetor de inicializao de 24 bits. A partir desses dois parmetros, o algoritmo gera uma seqncia criptografada RC4 (k,v). Porm, como no WEP a chave secreta k a mesma utilizada por todos os usurios de uma mesma rede, devemos ter um vetor de inicializao diferente para cada pacote a fim de evitar a repetio de uma mesma seqncia RC4. Essa repetio de seqncia extremamente indesejvel, pois d margem a ataques bem sucedidos e conseqente descoberta de pacotes por eventuais intrusos. Alm disso, h tambm uma forte recomendao para que seja feita a troca das chaves secretas periodicamente aumentando-se com isso a segurana da rede. Porm, essa troca quando

 feita, realizada manualmente de maneira pouco prtica e por vezes invivel, quando se trata de redes com um nmero muito alto de usurios. Ainda, uma falha do WEP constatada e provada atravs de ataques bem sucedidos a natureza de sua funo detectora de erros. A CRC-32 uma funo linear e que no possui chave. Essas duas caractersticas tornam o protocolo suscetvel a dois tipos de ataques prejudiciais e indesejveis: possvel fazer uma modificao de mensagens que eventualmente tenham sido capturadas no meio do caminho sem que isso seja descoberto pelo receptor final devido a linearidade da funo detectora de erros, e alm disso, pelo fato da funo no possuir uma chave, tambm possvel descobrir uma seqncia secreta RC4 e de posse desta, ser autenticado na rede e introduzir mensagens clandestinas nesta.

1.5. Introduo ao WPA

Tambm chamado de WEP2, ou TKIP (Temporal Key Integrity Protocol), a primeira verso do WPA (Wi-Fi Protected Access) surgiu de um esforo conjunto de membros da Wi-Fi Aliana e de membros do IEEE, empenhados em aumentar o nvel de segurana das redes sem fio ainda no ano de 2003, combatendo algumas das vulnerabilidades do WEP. A partir desse esforo, pretendia-se colocar no mercado produtos que utilizassem WPA, pois algumas caractersticas fazem dele uma tima opo de segurana: Pode-se utilizar WPA numa rede hbrida que tenha WEP instalado. Migrar para WPA requer somente atualizao de software. WPA desenhado para ser compatvel com o prximo padro IEEE 802.11i.

Vantagens do WPA sobre o WEP A substituio do WEP pelo WPA trouxe como vantagem uma melhora da criptografia dos dados ao utilizar um protocolo de chave temporria (TKIP) que possibilita a criao de chaves por pacotes, alm de possuir funo detectora de erros chamada Michael, um vetor de inicializao de 48 bits (ao invs de 24 como no WEP) e um mecanismo de distribuio de chaves. Alm disso, uma outra vantagem a melhoria no processo de autenticao de usurios. Essa autenticao utiliza o 802.1x e o EAP (Extensible Authentication Protocol), que atravs de um servidor de autenticao central faz a autenticao de cada usurio antes deste ter acesso a rede. O WPA, que est em fase de substituio do WEP, conta com tecnologia aprimorada de criptografia e de autenticao de usurio. Cada usurio tem uma senha exclusiva, que deve ser digitada no momento da ativao do WPA. No decorrer da sesso, a chave de criptografia ser

10

trocada periodicamente e de forma automtica. Assim, torna-se infinitamente mais difcil que um usurio no-autorizado consiga se conectar rede sem fio. A chave de criptografia dinmica uma das principais diferenas do WPA em relao ao WEP, que utiliza a mesma chave repetidamente. Esta caracterstica do WPA tambm conveniente porque no exige que se digite manualmente as chaves de criptografia - ao contrrio do WEP.

1.6.

Introduo ao Bluetooth
A tecnologia de rede sem fio Bluetooth oferece uma maneira simples para realizar a comunicaes de diversos dispositivos mveis entre si, e tambm o acesso destes Internet sem a necessidade de cabos. O Bluetooth foi construdo para facilitar a transmisso de informao dentro de uma faixa relativamente pequena (em torno de dez metros). Trabalha de forma a reduzir o risco de interferncias entre dispositivos Bluetooth. Mudando a freqncia 1600 vezes em um segundo, muito improvvel que dois dispositivos, numa mesma rea, tero conflito entre si. O que torna o Bluetooth realmente atraente que ele automaticamente controla o processo de comunicao entre dispositivos. Varrendo a rea em volta por outros dispositivos Bluetooth e, estabelecendo uma conexo entre os descobertos, criado um tipo de mensagem informando a existncia da rede Bluetooth, denominada piconet, que se propaga entre os dispositivos criando uma rede de comunicao. O Bluetooth suportado e utilizado em produtos de mais de 3000 empresas, tais como Sony Ericsson [10], Nokia [27], Motorola [11], Intel [13], IBM [14], Toshiba [15], Apple [21], Microsoft [16] e at mesmo a Toyota [17], Lexus [19] e BMW [18]. Uma variedade de produtos disponveis no mercado possuem rdios Bluetooth integrados, como por exemplo impressoras, computadores portteis, teclados, carros e os mais populares, telefones celulares, tomando 60% do mercado de dispositivos Bluetooth. Esta tecnologia j ganhou muita popularidade, com mais de 3 milhes de produtos sendo vendidos toda semana. De acordo com o IDC [28], haver mais de 922 milhes de dispositivos com Bluetooth em todo o mundo at 2008. A tecnologia pode ser bastante interessante e til, mas tambm pode ser uma grande ameaa privacidade de seus usurios. A tecnologia foi padronizada por um grupo chamado "Blueetooth Special Interest Group (SIG)". As empresas fundadoras do grupo so a Ericsson [20], IBM [14], Intel [13], Nokia [27] e Toshiba [15], e depois, passaram a fazer parte 3Com [24], Lucent Technologies [25], Microsoft Corporation [16] e Motorola Inc [11]. A tecnologia ganhou sua verso atual, que trabalha com uma faixa de freqncia disponvel globalmente de 2.4 GHz, que permite que dois dispositivos mveis, em um raio de

11

distncia de 10-100 metros, transfiram/recebam dados com velocidade de 723.2Kbps ou 2.1Mbps utilizando uma nova especificao de transferncia de dados licenciada em 2005 (Enhanced Data Rate specification). Cada dispositivo pode simultaneamente se comunicar com at sete outros dispositivos. O Bluetooth foi feito pensando-se em segurana, oferecendo servios como autenticao, criptografia, qualidade de servio e outros recursos de segurana. No entanto, a tecnologia ainda est vulnervel em vrios aspectos, abrindo portas para ataques. Os usos mais comuns do Bluetooth atualmente so: Fone de ouvido para celular sem fio Sincronizar informaes como calendrios, agenda telefnica, entre um PDA e um PC Conectar uma impressora, teclado, ou mouse a um PC sem uso de fios Realizar transferncia de fotos ou msicas entre telefones celulares A tecnologia est em constante evoluo, visando aumentar seu grau de segurana, funcionalidade e facilidade de uso.

Recursos de segurana da tecnologia Bluetooth

O recurso mais comum e mais conhecido de um dispositivo Bluetooth a possibilidade de mant-lo invisvel ou no, perante outros ao seu redor, como mostrado a seguir:

Figura 2: Opo de ser descoberto ou no

12

Quando um dispositivo est visvel, este pode ser facilmente encontrado utilizando scanners (programas de varredura da rede sem fio em busca de dispositivos). Alguns scanners tambm tm a funo de sniffer, ou seja, podem fazer a coleta de trfego de forma passiva. Configurar o dispositivo como invisvel, impede que scanners o encontrem, mas no impede que dispositivos que tenham conhecimento do endereo fsico de sua interface de rede (MAC) realizem comunicao com este, por exemplo, quando os dispositivos j estavam se comunicando previamente.

2.

Ataque Locais
Ataques locais so aqueles que se faz necessrio a manipulao direta do dispositivo mvel, ou seja, deve-se t-lo nas prprias mos para executar a operao desejada. Nesta seo, sero apresentadas diversas tcnicas de ataque realizadas nesta modalidade, objetivando principalmente o roubo de informaes, infeco do dispositivo para posterior entrada atravs de redes sem fio e mostrar o quanto se torna vulnervel o dispositivo quando em mos erradas.

2.1.1. Obstculos encontrados para se atacar um PDA

Um dos obstculos que um atacante dever atravessar o fato de que a maioria dos sistemas operacionais de dispositivos mveis esto armazenados em memria somente para leitura (ROM). Este um grande desafio, pois realizar a depurao de aplicaes que so executadas diretamente na ROM nem sempre possvel. Como resultado, o atacante dever direcionar o seu ataque para uma aplicao terceira, que tenha sido instalada manualmente pelo dono do sistema. Assim, deve-se buscar uma falha nesta aplicao atravs de uma tcnica conhecida como teste cego (blind testing ou blackbox testing), pois no se tem acesso ao cdigo desta, mas pode-se tentar atac-la por fora, por exemplo, atravs de campos de entrada de variveis. Em segundo lugar, pode-se dizer que cada PDA nico. Isso significa que se a Dell [22] e a HP [23] oferecem modelos portando Windows Mobile, no significa que estes usam a mesma verso do sistema. Cada empresa instala junto com os mdulos essenciais do sistema, componentes particulares, o que pode dificultar bastante o desenvolvimento de cdigo malicioso para tais equipamentos. Como se j no fosse suficiente, atualizaes da ROM podem impactar drasticamente no sistema de arquivos utilizado e como os mdulos de sistema mais bsicos so carregados. Como resultado, existem grandes diferenas entre dois PDAs com relao ao endereamento de memria.

13

Em terceiro, as tcnicas de ataque a dispositivos mveis so relativamente novas. Um atacante deve ter dedicao e grande conhecimento tanto do processador quanto do sistema operacional do alvo. O ponto em que queremos chegar : atacar um PDA no to fcil quanto atacar um PC. Uma vez aceitas as limitaes, iremos apresentar os vetores e mtodos usados para deixar um PDA pronto para ser atacado.

2.1.2. Arquivos .CAB

Arquivos .CAB (cabinet files) so usados pela Microsoft [16] h muitos anos para agrupar diversos arquivos em um nico, que sero usados durante a instalao de alguma aplicao. Desta forma, no nenhuma surpresa que o mesmo formato de arquivo.CAB usado pelo Windows Mobile para instalar programas que foram tanto transferidos diretamente para o PDA pela rede, quanto transferidos atravs de uma conexo do ActiveSync*. O problema no est no fato do PDA usar estes arquivos, mas sim em como estes so processados e sequencialmente excludos. Prximo criao dos arquivos .CAB, foi descoberto que tais arquivos se auto-excluam aps terem sido executados. Enquanto este comportamento provavelmente uma tentativa de ajudar usurios a manterem a memria de seus dispositivos limpa, ironicamente se parece muito com o de cavalos de tria encontrados em PCs. O comportamento em si observado no aparenta um risco de segurana significativo, porm uma boa forma de ser ocultar a instalao de portas de entrada em PDAs. Como a execuo de .CABs pode criar arquivos e entradas no registro do sistema, alm de substituir ou excluir outros existentes, um usurio pode ser facilmente induzido a instalar cdigo malicioso escondido em um pacote aparentemente inofensivo. Por exemplo, como saber se o jogo que foi transferido de um site na Internet no contm surpresas indesejveis? A boa notcia que o Windows Mobile no exclui automaticamente os arquivos .CAB. Esta medida no ir proteger o sistema contra infeco, mas ir possibilitar a inspeo do contedo dos arquivos instalados.

2.1.3. Execuo automtica de aplicaes (auto-run)

Outra grande ameaa a execuo automtica de aplicaes. A simples insero de cartes de memria pode levar execuo de cdigo malicioso. Como o Windows Mobile foi desenvolvido pela Microsoft, a presena de um arquivo chamado autorun.exe em uma pasta chamada 2577 (considerando que o dispositivo trabalha com processador ARM) ser copiado para a pasta local do Windows e executado. Se o arquivo for algum tipo de cdigo malicioso, ser executado sem a interveno do usurio. Para ilustrar o estrago potencial, imagine que o cavalo de tria brador.exe (detalhado mais adiante), fosse renomeado para autorun.exe e inserido nesta pasta, dentro de um carto de memria dedicado a jogos de Atari. O carto provavelmente

14

seria compartilhado entre muitas pessoas dentro de uma empresa e infectaria cada PDA sem o consentimento de seus donos. O estrago causado na verdade vai de acordo com a vontade do desenvolvedor do cavalo de tria, que pode variar desde a instalao de um servidor FTP oculto at a execuo de um mecanismo do dispositivo que apaga todos os dados, voltando sua configurao original (hard reset).

2.1.4. Restaurao das configuraes de fbrica

Os PDAs em geral armazenam seus dados em memria interna dos tipos RAM e ROM. Os componentes bsicos do sistema operacional so gravados em memria Flash, enquanto os arquivos e programas adicionais em memria RAM. Os modelos mais recentes comearam a incluir maior quantidade de memria ROM, mas mesmo assim no onde a maioria dos documentos, calendrios e listas de afazeres so armazenados. O efeito colateral resultante desta arquitetura o fato de que o equipamento precisa de uma fonte constante de energia, caso contrrio, ir perder as informaes gravadas na RAM. A maioria das pessoas est ciente das conseqncias de se deixar a bateria descarregar completamente, mas o que as pessoas no tem conhecimento que a limpa total dos dados pode ser facilmente causada com a execuo de apenas algumas linhas de cdigo, apresentadas a seguir. Caso acontea destas linhas de cdigo serem executadas acidentalmente atravs da insero de um carto de memria ou atravs de um executvel transferido pela Internet, o PDA voltar ao estado em que foi tirado de sua caixa.
#include <windows.h> #include <winioctl.h> #define IOCTL_HAL_REBOOT CTL_CODE(FILE_DEVICE_HAL, 15, METHOD_BUFFERED, FILE_ANY_ACCESS) extern "C" __declspec(dllimport)void SetCleanRebootFlag(void); extern "C" __declspec(dllimport) BOOL KernelIoControl( DWORD dwIoControlCode, LPVOID lpInBuf, DWORD nInBufSize, LPVOID lpOutBuf, DWORD nOutBufSize, LPDWORD lpBytesReturned); int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { SetCleanRebootFlag(); KernelIoControl(IOCTL_HAL_REBOOT, NULL, 0, NULL, 0, NULL); return 0; }

Figura 3: Cdigo para retornar configurao de fbrica do dispositivo (Hard reset) O problema em si no a existncia deste cdigo, mas sim o fato de que o comando KernelIoControl pode ser chamado por qualquer aplicao executando no sistema. Em outras

15

palavras, a falta de segurana no nvel do ncleo do sistema operacional (Kernel), pode transformar um comando til em um potencial ataque.

2.1.5. Internet Explorer para PDAs

No mundo dos PCs, o Internet Explorer alvo de muitas aplicaes contendo cdigo malicioso que desejam explorar vulnerabilidades de segurana neste software (exploits). Felizmente, muitos destes ataques no so possveis contra Pocket PCs porque o Pocket Internet Explorer (Pocket IE) uma verso muito mais simples quando comparado a seu pai. No entanto, este fato no significa que o PIE est livre de potenciais ataques. A seguir, descrevemos uma srie de mtodos que podem ser usados para atac-lo:

Negao de servio (DoS Denial of Service) Apesar do PIE portar uma verso tambm simplificada do interpretador de JavaScript, ainda possvel criar uma certa quantidade de ataques baseados em scripts que iro forar o usurio a reiniciar seu PDA. Alm destes, existem outros problemas que podem causar a finalizao imediata do PIE. Por exemplo, uma das falhas do software existe na maneira em que ele verifica listas em HTML que usam formatao CSS (Cascading Style Sheets), ilustrado a seguir:
<style> #layer1 div.sublayer1 { width:50%; margin:0 1 2 3; padding:4; float:right; } #layer1 div.sublayer2 { width:50%; margin:0 1 2 3; padding:4; float:right; } </style> <div id="layer1"> <div class="sublayer1"> <ul>111</ul> </div> <div class="sublayer2"> <ul>222</ul> </div> </div>

Figura 4: Cdigo em HTML que ir finalizar imediatamente o Pocket Internet Explorer

2.1.6. Viso reduzida de URLs

H muitos anos atrs, foi descoberto que o Internet Explorer processava endereos contendo caracteres codificados com Unicode. Quando esta falha era combinada com requisies HTTP do tipo usuario:senha@dominio, era possvel enganar pessoas fazendo-as achar que estavam acessando links vlidos. No entanto, estas eram direcionadas a pginas falsas. Dado o tamanho limitado da barra de endereos do PIE, fcil imaginar que algum no iria suspeitar

16

que foi vtima deste tipo de ataque. Por exemplo, o link a seguir ir direcion-lo a www.airscanner.com, ao invs de www.puc-rio.br. http://www.puc-rio.br&login.rand%00%01AE67D12EF9090AB933@%36%39%2E%30%2E%32%30%30%2E%31%30%36/

2.1.7. Modelo de Objeto de Domnio do PIE (PIE Domain Object Model)

Janelas e divises (frames) sempre foram muito usadas por desenvolvedores de aplicaes web para apresentar diversas pginas em um mesmo contexto de visualizao. O ponto que gostaramos de ressaltar que o cdigo presente em uma janela no pode enxergar ou modificar o cdigo presente em outra. A razo para isso que um atacante poderia esconder uma janela com cdigo malicioso e tentar induzir o usurio e fornecer informaes confidenciais. A seguir, ilustramos uma maneira de explorar este tipo de situao: Note que a URL que aparentemente est sendo acessada (johnny.ihackstuff.com) est na verdade apontando para uma pgina em outro servidor Web. Quando acessada, o contedo da pgina alterado pelo cdigo no exibido devido ao pequeno tamanho da barra:

Figura 5: barra de endereos reduzida pode enganar usurios

2.1.8. Acesso a arquivos locais usando o Pocket IE

Outro recurso a possibilidade de acesso a arquivos locais usando o Pocket Internet Explorer. Combinando este artifcio com o problema citado anteriormente de execuo de

17

cdigo em frames ocultas, temos um verdadeiro risco de segurana. A seguir, listamos apenas uma pequena quantidade de tipos de arquivos que podem ser carregados atravs de um frame e aberto com o PIE: XLS HTC, HTP CPL (itens do painel de controle) INI Imagens 2BP Acesso qualquer pasta Acesso pasta raiz Um vetor potencial encontrado o fato do PIE permitir a visualizao de pginas previamente acessadas, armazenadas em cache, e que podem ser posteriormente modificadas devido uma frame oculta. Por exemplo, seria fcil obter o cache de acesso pgina da PUCRIO, alterar o cdigo no que diz respeito s propriedades de formulrios, direcionando o envio das informaes preenchidas para um servidor web nocivo, o que iria capturar usurios e senhas quando o boto Enviar fosse pressionado.

2.1.9. Monitorao de teclas digitadas

O mundo dos PCs j est alerta quanto infeco de leitores de teclado (keyloggers), pois h tempo so usados em ataques. No entanto, quando voltamos ao mundo dos Pocket PCs, no se tem dado a mesma importncia ou considerado que a probabilidade de existncia deste tipo de malware tambm existe. Provavelmente, pois o conceito de teclado em um dispositivo mvel bem diferente do existente em PCs. Ao invs de um dispositivo fsico, o Pocket PC usa uma interface virtual que simula teclas reais. Mesmo que isso dificulte a captura de teclas digitadas, de jeito nenhum isso se tornou impossvel. Quando o PDA iniciado, primeiro ele avalia o registro do sistema e busca quaisquer dispositivos de entrada. Por padro, so eles: o teclado, o Block Recognizer, Letter Recognizer e o Transcriber. Cada um destes controlado por uma biblioteca dinmica (DLL) presente em memria ROM, que possui tanto a interface grfica quanto o cdigo de converso da entrada para caracteres. Por exemplo, o teclado principal controlado pela biblioteca MSIM.DLL. Graas arquitetura dos painis de entrada, relativamente fcil criar um novo teclado e instal-lo no sistema. Na verdade, existem diversas verses de teclado que podem ser obtidas e incorporadas ao sistema. Com base nisso, pode-se criar uma verso especial de teclado, com uma pitada adicional de cdigo, que captura a entrada digitada e armazena-a em um arquivo texto. Depois disso, descobrimos quais seriam as entradas de registro necessrias para removermos a ligao com o teclado atual e as substiturmos por outras que chamaro o novo

18

teclado. Para finalizar, criamos um pacote .CAB contendo todas as nossas invenes; quando executado, substitui o teclado original por um idntico, porm registrando cada tecla digitada. A seguir, listamos as chaves de registro a serem alteradas para que a infeco seja bem sucedida: 1. IsSIPInputMethod desabilitada para o teclado original: CLSID: 42429667-ae04-11d0-a4f8-00aa00a749b9 (Trocar de 1 para 0) 2. Nome e cone Keyboard carregado da dll keylogger.dll 3. Novo teclado possui possui o prprio CLSID configurado 4. HKCU\ControlPanel\SIP\DefaultIM\{CLSID} 5. IsSIPInputMethod habilitado para o teclado falso Uma vez instalado, o usurio final no ter idia de que seu teclado foi substitudo por um modelo mais avanado. Alm disso, a nica maneira de se descobrir que uma nova DLL est sendo chamada pelo sistema atravs de depurao dos executveis responsveis pela gerncia do teclado ou outro perifrico usado pelo PDA.

2.1.10. Anlise forense

Os PDAs em geral possuem uma capacidade de armazenamento de dados muito limitada (excluindo os cartes de memria que podem chegar a alguns GBs). Desta forma, se h necessidade de acesso realmente rpido, deve-se transferir estes dados a um PC. Ou ento, fazse uso de uma poderosa ferramenta de anlise forense, isto , uma ferramenta de visualizao exata dos dados presentes na RAM e na ROM (dumper). A comunidade policial comeou recentemente a levar em conta PDAs encontrados em cenas de crime. Para ajudar, foram criados diversos programas de anlise forense que podem encurtar o caminho de busca por informaes interessantes. Por exemplo, a empresa Paraben [29] criou um software que instala um agente temporrio em um PDA, que automaticamente transfere todo o contedo do mesmo para um PC, mantendo a integridade de ambos. Outras ferramentas fazem uso do recurso de execuo automtica mencionado anteriormente, carregando todo o contedo do PDA para um carto de memria SD (Secure Digital Card) fazendo uso do recurso de autorun. Isso significa que basta um perodo curto de tempo em mos erradas para todos os dados de um PDA serem roubados.

2.1.11. Engenharia reversa de binrios

A plataforma Windows Mobile para Pocket PCs tipicamente executada sob um processador ARM (Advanced RISC Multiprocessor), conhecido por baixo aquecimento, por operar em baixo nvel de potncia e consumo de energia. Este fato, combinado com o reduzido nmero de instrues disponveis (RISC Reduced Instruction Set) faz com que aprender e entender o

19

conjunto de instrues seja relativamente fcil, principlamente quando comparado a outros processadores. A primeira coisa que deve ser entendida ao se aplicar engenharia reversa a um arquivo binrio como o seu processador funciona. Em geral, este ir ler os cdigos de operao (opcodes) em algum lugar especfico na memria (indicado pelo registrador PC program counter), e executar um comando bastante especfico. Dependendo da instruo, o processador ir somar, subtrair, saltar para outra parte da memria ou simplesmente no fazer nada (NOP). Para ajudar o trabalho do processador, existem 32 registradores de 1 byte cada, totalizando 8 bytes de memria auxiliar. Tais registradores tm apenas a funo de agilizar o trabalho do processador, pois o acesso a estes registradores muito rpido, ao contrrio do que acontece quando o acesso realizado na RAM. Para realmente explorar os binrios de um PocketPC, sero necessrios alguns programas. Primeiro, um desassemblador (disassembler) para converter o cdigo hexadecimal para um formato mais legvel, formado por instrues de operao (opcodes). Um bom exemplo deste tipo de aplicao o IDA Pro, o qual suporta binrios do Windows CE. Em segundo, usamos o depurador de cdigo includo no conjunto de ferramentas de desenvolvimento para Windows CE da Microsoft (CE++). Este ltimo necessrio para observar e alterar o cdigo do binrio em tempo de execuo. Por ltimo, ser necessrio um editor hexadecimal para alterar o cdigo para realizao de testes no sistema. A ferramenta sugerida a UltraEdit, mas existem diversas opes. Tendo estas ferramentas reunidas, pode-se passear pelo Windows Mobile, observando cuidadosamente o que est acontecendo. A nica coisa que resta nesta estria a necessidade de se entender as instrues realizadas pelo processador. Em outras palavras, de muita utilidade entender o assembly do ARM. Felizmente, entendendo as seguintes intrues, possvel ler e at mesmo escrever rotinas em assembly que podero ser executadas em um Pocket PC: MOV (Mover) Copia o valor de um registrador para outro, podendo ser o destino da cpia um registrador fixo (hardcoded) ou no. CMP (Comparar) Compara o valor de um registrador com outro. B (Branch) altera o fluxo de execuo do programa, apontando para outro endereo de memria BL (Branch Link) - altera o fluxo de execuo do programa, apontando para outro endereo de memria e depois retorna para posio inicial.

20

LDR/STR (Load Register / Store Register) Armazena ou carrega um dado para ou da RAM em um dos registradores. Existem outros opcodes no mencionados aqui. Para maiores informaes quanto ao assembly de processadores ARM, sugerimos uma visita www.arm.com e a pesquisa nos manuais dos processadores.

2.1.12. Servidor de FTP oculto

Uma vez entendido como funciona um programa em baixo nvel, pode-se fazer qualquer coisa para alterar as suas funcionalidades. Neste caso, foi possvel transformar um legtimo servidor FTP em uma porta de entrada invisvel e indetectvel.

Figura 6: servidor de FTP identifica-se atravs de cone na rea de trabalho Para isso, primeiramente localizamos o trecho de cdigo responsvel pela exibio do cone na barra de tarefas. Graas ao recurso de listagem de nomes de funo do IDA Pro, detectamos uma delas chamada Shell_NotifyIcon. Depois de encontrada, o seu cdigo foi alterado da seguinte forma: MOV Shell_NotifyIcon R03A 01 00 EB para para MOV R0, 00 00 A0 E1

O lado esquerdo mostra o comando original, seguido dos valores em hexadecimal originais. Para impedir a exibio do cone, o cdigo foi alterado para que o programa no realizasse nenhuma operao (Na verdade foi alterado para realizar um NOP virtual, fazendo com que o contedo de R0 fosse copiado para o prprio R0).

21

A porta padro tambm foi alterada de 21 para uma de valor mais alto, que provavelmente no chamaria muito a ateno. Esta alterao to fcil quando localizar o valor absoluto da porta em questo e alter-lo para o de preferncia.

2.1.13. Controle remoto

Para o prximo exemplo, encontramos uma aplicao que nos permite acessar remotamente um dispositivo executando Windows Mobile: vRemote. Neste caso, o programa exibie uma janela sempre que iniciado, o que alerta o usurio de sua presena, o que queremos retirar.

Figura 7: Janela exibida ao iniciar a aplicao VirtualCE A seguir mostramos as alteraes feitas na aplicao para remover completamente qualquer sinal visual indicador da presena do vRemote sendo executado. BL ShowWindow A6 15 00 EB para para MOV R0, R0 (Virtual NOP) 00 00 A0 E1

Novamente, fomos capazes de fazer tais alteraes fazendo uso do IDA Pro e tendo como alvo a funo ShowWindow, sobreescrevendo-a com um trecho de cdigo com NOP e mais duas outras partes que faziam referencia a esta funo. A questo destes exemplos que aplicaes comuns para Windows Mobile podem ser facilmente modificadas. Mais informaes sobre alterao de aplicao em baixo nvel podem ser encontradas no livro Aggressive Network Self Defense. O primeiro captulo do livro entra em

22

detalhes sobre como duas pessoas, cada uma portando seu Pocket Pc, podem travar uma batalha digital atravs de modificaes de cdigo em baixo nvel.

2.2. Descrio de ameaas especficas

O Windows Mobile ainda no atraiu muita ateno no que diz respeito verses publicamente conhecidas de vrus e cavalos de tria. At Agosto de 2005, somente duas aplicaes maliciosas criadas para Windows Mobile foram identificadas. Apesar deste nmero ser pequeno, a sofisticao tecnolgica empregada grande, como descrito a seguir.

3. Ataques atravs da Rede

A plataforma Windows Mobile foi desenvolvida para dispositivos operados em redes sem-fio. E tambm vulnervel a muitas das ameaas que existem para o mundo dos PCs. A seguir, descrevemos uma srie de ataques que podem ser feitos contra um PDA localizado em uma rede sem-fio sem que haja prvia manipulao direta do dispositivo.

3.1. Classificao geral de tipos de ataques

3.1.1. Formas de ataques genricas
Os PDAs geralmente usam um adaptador de rede sem fio com baixo consumo de energia. A partir de ento, pode-se acessar a Web, e-mails, etc. Considerando que o equipamento trabalha com baixas taxas de consumo de energia, a intensidade do sinal wireless utilizado tambm baixa. Sendo assim, relativamente fcil provocar um nvel de interferncia (utilizando um Acess Point ou at mesmo um laptop) suficiente para impedir que o dispositivo possa se conectar ao local correto, mas induzindo-o a se conectar em um ponto de acesso malintensionado (rogue access point). Alm disso, algumas vezes possvel realizar um ataque de negao de servio do tipo ping DoS, que ir consumir todos os recursos disponveis do PDA, fazendo com que fique extremamente lento, impraticvel de se trabalhar. Por final, pode-se tambm atacar servios em PCs, por exemplo o Active Sync* na porta 901, o que ir impedir que um PDA associado possa se conectar.

23

3.1.2. Quebra de chave da criptografia

Atualmente, diversas tecnologias de criptografia so empregadas para proteo dos dados trafegados nas redes sem fio. No incio, na maioria dos casos nenhuma criptografia era utilizada, sendo possvel para qualquer pessoa nas proximidades da rede observar o trfego em texto puro (incluindo credenciais de usurios, mensagens de correio eletrnico, etc). A questo evoluiu para um sistema de criptografia fraco, chamado WEP (Wired Equivalent Privacy), burlada pouco tempo depois de seu lanamento, devido sua chave ser esttica e de tamanho reduzido. Atualmente, os sistemas de autenticao j adquiriram uma maturidade aceitvel, fazendo uso de certificados digitais como mtodo de autenticao e chaves de criptografia dinmicas. Os ataques de quebra de chave de criptografia pretendem burlar tais sistema, de modo a capturar o trfego de forma no criptografada.

3.1.3. Tomada de controle do dispositivo

A literal invaso de dispositivos mveis significa a tomada de controle do equipamento, de forma a utiliz-lo remotamente como se fosse de forma local. Diferentes nveis de acesso podem ser obtidos, de acordo com a porta de entrada utilizada. Esta ltima pode ser uma porta dos fundos instalada atravs de um cavalo de tria ou at mesmo atravs da explorao de uma vulnerabilidade crtica em alguma aplicao. Pode-se dizer que este tipo de ataque o mais perigoso, pois pode oferecer controle completo do sistema.

3.1.4. Pontos de acesso falsos

Uma das formas mais prticas para se obter credenciais de usurios, induz-los a tentaram efetuar uma conexo sem fio e se autenticar em um ponto de acesso falso (chamados na literatura de rogue access points). O usurio descuidado ir identificar um ponto de acesso com o mesmo nome da rede que est acostumado a usar e rapidamente tem as suas credenciais capturadas. Existem ferramentas que emitem beacons (pacotes transmitidos para notificar os usurios da presena de uma rede sem fio) simulando a existncia de diversas redes, confundindo usurios e at mesmo wardrivers (atacantes que circundam reas buscando redes sem fio de interesse). Este tipo de ataque se aplica s tecnologias 802.11 e Bluetooth, mas principalmente 802.11.

24

3.1.5. Viso geral de worms/virus conhecidos

A partir do final de 2005, virii disseminveis por redes sem fio cresceram num ritmo grande em nmero e sofisticao. Como exemplo, o primeiro vrus para Pocket PC (Dust) a aparecer era incrivelmente complexo. Tinha uma tecnologia de penetrao equivalente ao vrus Chernobyl Win32, que foi o primeiro vrus para PCs a quebrar o Anel 0, protegido pelo sistema operacional Windows. Alm disso, menos de um ano depois do Dust, inmeras ameaas foram identificadas. Por exemplo, criadores de vrus tm desenvolvido trojans e tm os combinado com a capacidade de propagao do vrus Carib (Cabir) via Bluetooth. Em um ano, houve uma evoluo de vrus equivalente aos 20 anos que levou para PCs. O problema devido rpida evoluo de ameaas o fato de que os dispositivos mveis atuais no suportam softwares de antivrus sofisticados nas plataformas correntes. Por exemplo, sistemas operacionais embutidos no usam interrupes (chamadas de sistema para o kernel), ento uma heurstica de vrus no PDA ou Smartphone no pode bloquear uma interrupo especfica caso haja suspeita de vrus. Outro problema a aparncia enganosa e obsoleta da indstria de antivrus. A velha proteo desta, freqentemente opera atravs de um princpio antiquado de segurana atravs da incerteza. O Trojan Brador O Brador foi o primeiro trojan para Pocket PC. Ele d total controle remoto do dispositivo a um hacker que pode estar at do outro lado do mundo. Isso um problema principalmentepara executivos ou administradores de rede que, como muitos outros, usam o Pocket PC para controlar toda a infraestrutura da empresa. O Brador um sucesso em parte, pois o sistema operacional do Pocket PC no vem com um monitor de processos nativo. Sem um monitor de processos, difcil identificar e remover trojans. No Pocket PC falta esse recurso e quando um usurio tenta apagar o arquivo malicioso, o sistema apresenta uma mensagem de erro dizendo que o programa est em uso. Neste caso, o nico jeito de remover o trojan seria realizando o reset de fbrica do sistema. Felizmente, existem ferramentas apropriadas que fazem isso sem a necessidade da restaurao completa.

25

3.2. Ataques via interface Bluetooth

Ataques via bluetooth tem sido destaque j h algum tempo. No entanto, quando se chega mais perto para analis-los, percebe-se que em sua grande maioria os alvos so telefones celulares, no PDAs. Apesar disso, existem alguns problemas que devem ser endereados. importante ressaltar que estes problemas podem ou no estar presentes no seu equipamento, dependendo da implementao da tecnologia empregada pelo fabricante do mesmo. O primeiro ataque chamado bluejacking, o que no nada alm do envio de mensagens para um dispositivo mvel com a interface bluetooth habilitada. O prximo problema que pode afetar usurios de PDAs so os ataques de negao de servio via bluetooth. Uma das formas de faz-lo enviando um pacote do tipo ping para o dispositivo, que poder alocar os recursos, fazendo com que ningum mais possa se conectar. Existem outros ataques que podem desabilitar ou tirar servios de operao. PIN cracking a ltima forma de ataque que mencionamos. Como o BlueTooth protegido por uma senha de apenas 4 dgitos (PIN personal identification number), torna-se fcil realizar um ataque de fora bruta e descobr-la. Normalmente isso pode ser conseguido em algumas horas, dependendo de quantos clientes esto atacando o alvo. possvel tambm encontrar dispositivos ocultos atravs de fora bruta aplicada a endereos fsicos (MAC addresses) de interfaces de rede bluetooth.

3.2.1. Varrendo endereos Bluetooth

O endereo MAC Bluetooth uma seqncia de 6 bytes que identifica o dispositivo. Os primeiros 3 bytes so atribudos pelo IEEE e identificam o fabricante do equipamento. Os ltimos 3 bytes so atribudos pelo prprio fabricante. Em teoria, habilitar o modo invisvel deveria proteger os usurios de conexes no autorizadas. Na prtica, mesmo assim ainda possvel localizar tais dispositivos. Existem ferramentas, por exemplo, que realizam ataques de fora bruta em busca de dispositivos invisveis. Uma dessas ferramentas o "RedFang"[31], criada por Ollie Whitehouse [9], que tenta se conectar a todos os endereos fsicos possveis, at que receba respostas para tais tentativas de conexo. Na verdade, esta ferramenta mais uma prova de conceito do que de fato uma ferramenta de hacking. O principal obstculo na verdade o tempo necessrio para se realizar o ataque, pois a verificao de apenas um dispositivo leva de 2.5 a 10 segundos em mdia. Para se ter uma noo melhor, temos que o espao de endereamento da Sony Ericsson [10] comporta 16.777.216 possveis endereos. Se assumirmos que a verificao de cada dispositivo leva 6 segundos, a varredura total levar 1165 dias, o que significa que levaria trs anos para encontrar todos os dispositivos da Sony Ericsson [10] escondidos em uma sala. Percebe-

26

se, assim, que no esta uma forma efetiva de se obter tais informaes. Exatamente por isso foram criadas novas tcnicas, que realizam o mesmo servio de forma muito mais eficiente.

3.2.2. Reduzindo a margem de endereos possveis

Em primeiro lugar, caso o fabricante seja conhecido, o nmero de endereos possves imediatamente limitado a 16.777.216 alternativas. Alm disso, alguns dispositivos Bluetooth costumam utilizar faixas de endereos mais previsveis, de acordo com o modelo. Por exemplo, o endereo da maioria dos celulares Sony Ericsson P900 [10] comea com os seguintes sete dgitos hexa "00:0A:D9:E", o que significa que restam somente cinco dgitos hexadecimal para serem descobertos. Esta informao reduz a busca de mais de 16 milhes de endereos para apenas 1.048.576 possibilidades! Alm disso, o quarto byte do endereo costuma estar na faixa "E7-EE", o que reduz ainda mais o nmero de possibilidades para 524.288. Com isso, o ataque de fora bruta levaria 36 dias, que apesar de j ser absurdamente menor, mesmo assim no prtico. O tempo necessrio para realizar a varredura no s pode ser diminudo pela reduo das faixas de endereamento, mas tambm pela acelerao do processo de varredura. A verso atual do "RedFang" [31] permite a distribuio do trabalho da varredura entre diferentes dispositivos. Se usarmos oito dispositivos para isso, reduzimos o tempo total da busca por celulares Sony Ericsson [10] para quatro dias e meio. Apesar deste tempo ser relativamente alto, pode-se esperar a reduo deste tempo atravs de tcnicas mais avanadas.

3.2.3. Descobrindo endereos Bluetooth enquanto se comunicam

Endereos MAC Bluetooth podem ser descobertos observando o trfego de comunicao entre dispositivos, pois o endereo em si no criptografado mesmo que o usurio utilize criptografia. Este um dos principais problemas com a especificao do Bluetooth. O chaveamento de freqncia em uso pelos dispositivos que ocorre 1600 vezes por segundo fornece uma proteo bsica ao trfego no criptografado. No entanto, o chaveamento de freqncias ocorre de forma pseudo-randmica, o que significa que um hacker com as ferramentas necessrias poderia sincronizar com um padro pr-definido de chaveamento entre dois dispositivos em comunicao. Alm disso, a seqncia usada no chaveamento compartilhada para todos os membros da mesma piconet (rede de dispositivos BlueTooth), o que d boa vantagem ao hacker. Na verdade, j existem equipamentos no mercado que so capazes de capturar trfego Bluetooth com grande facilidade e analis-lo, mas ainda custa muito caro (em torno de U$ 10.000), o que dificulta a aquisio para a maioria dos hackers. Os hackers podem tirar proveito de pessoas descuidadas que deixam seus telefones no modo visvel. s vezes, necessrio deix-los temporariamente no modo visvel para fazer o

27

primeiro contato com um novo dispositivo - pairing, descrito mais a frente. Esta necessidade de tornar o dispositivo visvel uma grande vantagem para os hackers, pois podem se aproveitar deste curto espao de tempo quando os dispositivos se tornam visveis e at mesmo de esquecimentos de revert-los para o modo invisvel. Quando visvel, os hackers podem descobrir o endereo do dispositivo instantaneamente. Nenhum dos celulares com Bluetooth do mercado permitem a entrada manual de um endereo para a realizao de sincronizao com outro dispositivo (pairing), o que significa que obrigatoriamente o celular deve ficar em modo visvel para ser encontrado e realizar a comunicao. Como o endereo do dispositivo nico e imutvel, basta o atacante descobr-lo somente uma vez. Ou seja, basta que o dispositivo fique visvel por um curto espao de tempo para o hacker descobrir seu endereo, e mesmo que retorne ao modo invisvel, o atacante poder se conectar, sem que seu dono possa negar esta conexo. Isso acontece, pois um dispositivo Bluetooth nunca nega uma conexo bsica L2CAP. Os dispositivos atuais no bloqueam esse tipo de conexo por se tratar de uma conexo de baixo nvel, no existe ainda esta funcionalidade, nem mesmo bloqueio por endereos. Por padro, no existe um firewall para Bluetooth.

3.2.4. Comunicao via Bluetooth entre dispositivos & segurana

Umas das principais funes que envolve segurana de Bluetooth a comunicao entre dois dispositivos (pairing). Por padro, a comunicao no autenticada, e praticamente qualquer dispositivo pode se conectar a qualquer outro. No entanto, para acessar determinadas funes como transferncias de arquivos, normalmente exigi-se uma autenticao, baseada em uma chave simtrica, cadastrada em ambos os dispositivos (PIN codes ou passkeys).

28

Figura 8: Exemplo de configurao da autenticao de uma configurao Bluetooth. Uma vez esta chave cadastrada, gerada uma chave de sesso, que armazenada na memria e possibilitar a comunicao entre estes mesmos dispositivos no futuro sem passar por esta fase de autenticao novamente.

3.2.5. Problemas relacionados a fabricantes

Infelizmente para os usurios de dispositivos Bluetooth, o processo de autenticao e autorizao para acessar servios no corretamente implementado pelos desenvolvedores. Estas fraquezas j afetam alguns aparelhos e permitem o roubo de agendas de telefone, informaes de calendrio, fotos e at mesmo a efetuao de ligaes telefnicas ou envio de SMS a partir do dispositivo atacado. Tudo devido falta de controle de acesso adequada. Apenas para ilustrar o perigo potencial, imagine que algum tomou o controle do telefone celular de um indivduo e envia uma mensagem de SMS para a polcia com uma ameaa. Automaticamente a polcia ir identificar o nome a que est associado linha telefnica de origem, chegando facilmente ao dono do aparelho invadido. O indivduo culpado ter ainda bastante dificuldade de provar que nada fez, pois normalmente no h registro das conexes via Bluetooth. A vulnerabilidade de segurana mencionada facilmente explorada e no requer nenhuma habilidade especial. Apenas dois comandos comuns so necessrios para roubar uma agenda telefnica de um aparelho T610:

29

# hcitool scan Scanning . 00:0A:D9:15:0B:1C T610-phone # obexftp -b 00:0A:D9:15:0B:1C --channel 10 -g telecom/pb.vcf -v Browsing 00:0A:D9:15:0B:1C ... Channel: 7 No custom transport Connecting...bt: 1 done Receiving telecom/pb.vcf...\done Disconnecting...done Isso tudo o que se faz necessrio para roubar informaes de um aparelho T610 inseguro. Ambos os commandos hcitool e obexftp so comandos tpicos de Bluetooth, disponveis em qualquer distribuio Linux [12] com o pacote de expanso Bluetooh. Esta vulnerabilidade foi descoberta por Adam Laurie [26] e afeta diversos dispositivos, incluindo: Nokia [27] 6310, 6310i, 8910, 8910i, Sony Ericsson [10] T68, T68i, R520m, T610, Z600 e possivelmente outros. Foi profundamente estudada pelo grupo trifinite, que inclusive desenvolveu uma aplicao chamada Blooover, que explora a vulnerabilidade. No uma surpresa que alguns usurios menos experientes destes dispositivos, por exemplo, aqueles que s precisam fazer ligaes ou enviar mensagens de testo, tenham conhecimento de que seus aparelhos celulares precisam receber atualizaes de software. mais incrvel ainda observar que dispositivos com falhas to srias podem estar ainda no mercado. Qualquer auditoria de segurana na fase de testes do sistema operacional (antes de disponibilizar no mercado) deveria apresentar tais resultados. Ou seja, fica claro que alguns fabricantes destes dispositivos no se importam muito com a segurana, o que traz uma espectativa de que o nmero de falhas de segurana cresa ainda mais no futuro.

3.2.6. O Risco de conexo APs falsos

O procedimento de sincronizao de dispositivos apresenta mais um risco. A lista de dispositivos descobertos apresenta somente seu nome, e no seu endereo Bluetooth.

30

Figura 9: A descoberta de dispositivos no divulga seu endereo Bluetooth Como o dispositivo tem um nome, ele pode ser facilmente modificado pelos usurios. Portanto, no deveria ser usado como um identificador nico do dispositivo no processo de sincronizao; O endereo Bluetooth realmente deveria ser comparado para verificaes complementares. Este pequeno detalhe poderia ser explorado de diversas maneiras, especialmente em servios oferecidos publicamente atravs de Bluetooth. Por exemplo, um Ponto de Acesso (Access Point AP) poderia ser substitudo por outro com fins maliciosos, porm com o mesmo nome e aceitando as mesmas informaes de autenticao dos usurios. No entanto, todas as informaes que passarem por ele sero capturadas e analisadas, em busca de senhas e informaes sigilosas. Este ataque tambm pode ser executado de forma alternativa. Em muitos lugares pblicos, existem quiosques destinados propaganda de produtos, e muitas vezes oferecendo contedo via Bluetooth, como, por exemplo, toques para celular e jogos. No caso, quando o usurio selecionou o contedo a ser copiado, automaticamente o nome do dispositivo do transmissor deste contedo inserido na lista de contatos. O problema que o dispositivo que se intitula MOBILE-KIOSK", no necessariamente quem diz ser. Tal visitante poderia ser um hacker que alterou o nome de seu notebook para MOBILE-KIOSK". Certamente, estes ataques poderiam ser evitados caso o processo de autenticao fosse melhor implementado, pois atualmente so implementados de forma pobre e as senhas normalmente so estticas (ou seja, no existe uma poltica de alterao de senhas periodicamente).

31

3.2.7. Ataques especficos

Bluejacking - Consiste no envio de mensagens, inclusive spam, para dispositivos eletrnicos alheios via bluetooth. A tcnica surgiu inocentemente, quando um usurio identificou nas proximidades um telemvel Nokia [27] com Bluetooth ativo e enviou, por diverso, uma mensagem que dizia "Compre Ericsson. Empresas de marketing levaram o conceito adiante e criaram o Bluecasting, em que um equipamento especial dispara propaganda para todos os aparelhos que passam perto. A prtica classificada como spam e proibida em muitos pases. Bluesnarfing Consiste em roubo das informaes dos aparelhos alheios. Basta que o dispositivo (s os modelos mais antigos so vulnerveis) esteja com o Bluetooth ativado e em modo visvel para que uma pessoa mal-intencionada nas proximidades possa invad-lo e roubar o contedo da agenda e catlogo de endereos, por exemplo. Bluetooth Sniping - Embora o alcance tpico de um dispositivo Bluetooth seja de 10m e de um laptop possa chegar a 100m, um grupo de pesquisa em aplicaes sem fio, construiu um rifle bluetooth capaz de captar sinais de dispositivos localizados a mais de 1 km. Apesar da aparncia ameaadora, o equipamento apenas um transmissor/receptor de alta potncia acoplado a uma antena direcional que deve ser apontada para o alvo. Um micro porttil recebe os sinais da antena e mostra as identificaes dos aparelhos bluetooth, abrindo caminho para aes de Bluejacking e Bluesnarfing. Durante os testes do equipamento em Los Angeles, o grupo conseguiu encontrar dezenas de aparelhos Bluetooth em minutos, simplesmente apontando a arma para prdios comerciais ao redor. A brincadeira recebeu o nome de Bluetooth Sniping. Ataques de SMS - Uma vulnerabilidade em potencial do SMS permitir que um dispositivo receba ou envie uma mensagem a qualquer momento, independente se uma ligao de voz ou dado esteja em andamento. Se o dispositivo estiver indisponvel, a mensagem ser armazenada no servidor central. O servidor, ento, ir tentar retransmitir a mensagem at que possa entregar a mensagem. De fato, h ferramentas que so usadas para inundar servios de SMS. O mesmo princpio destas, quando unido com o poder de replicao de um vrus, pode potencialmente resultar em ataques de Negao de Servio em ampla escala. Outro exemplo de uma inundao de vrus de SMS que ocorreu na Escandinvia. Quando um usurio recebia uma mensagem, o vrus bloqueava os botes do dispositivo, o que se tornou um ataque de Negao de Servio contra todo o sistema. De maneira semelhante, uma empresa norueguesa encontrou um outro exemplo de cdigo malicioso. Eles encontraram um certo SMS que congelava telefones que recebiam esta mensagem. O cdigo impedia o uso do teclado logo que o SMS era recebido.

32

Carib (Caribe, Cabir)

Primeiro vrus conhecido para Bluetooth, alvo de telefones mveis. Mesmo o prprio vrus sendo relativamente inofensivo, ele representa uma nova era para criadores de vrus e um novo conjunto de preocupaes para os proprietrios de telefones mveis. Um vrus pode ser escrito, infectar um nico dispositivo e provavelmente ter vida curta. Para manter o vrus vivo, ele deve ser capaz de se propagar de um dispositivo para outro. Isso chamado de infector ou vetor de infecco. Enquanto vetores de infeco tm mudado e evoludo ao longo dos anos, o mais comum via e-mail. Uma vez um dispositivo infectado, o vrus usa seu prprio mecanismo de envio de e-mails ou o cliente de e-mail da vtima para se disseminar para os e-mails que encontra no sistema. Outros vetores de infeco so drives de disquete e software pirata. Novos vetores so raros simplesmente porque h um nmero limitado de novos mtodos de comunicao. Apesar do conceito de descobrimento de dispositivos via Bluetooth ser excelente, nos ltimos anos diversas vulnerabilidades tm sido encontradas no protocolo que torna possvel a obteno de informaes de usurios, envio de mensagens no solicitadas e realizao de outros ataques. Entretanto, at agora esses ataques tm sido feitos somente em laboratrio ou para mandar mensagens no solicitadas a outros dispositivos Bluetooth. Embora o worm Caribe em si seja inofensivo, recentemente tem sido misturado a outros malwares, criando novas ameaas. Uma vez o dispositivo infectado, ele varre outros dispositivos Bluetooth at encontrar um (e somente um). Depois, tenta enviar para o alvo uma cpia de si. Neste ponto, a vtima instigada com uma caixa de dilogo, que pergunta se a pessoa gostaria de aceitar o arquivo que chega. Se a vtima aceitar, o arquivo se transferir e outro prompt aparecer alertando que a origem do arquivo no pde ser verificada. Se a vtima escolher a opo Continuar, o dispositivo ir perguntar vtima pela ltima vez se deseja mesmo instalar o programa. Neste ponto, o dispositivo j est infectado. Uma vez infectado, uma tela aparece no dispositivo da vtima com a mensagem CaribeVZ/29a. Ento, o dispositivo infectado comea a varrer outros que possam ser infectados. O Caribe transferir o arquivo uma nica vez. Alm do mais, somente telefones Nokia [27] da srie 60 mostram-se vulnerveis, pelo menos de acordo com um memorando interno escrito pela Symbian. Ainda, esse worm requer interao de um usurio sem conhecimento algum, pois trs alertas so emitidos, dificultando a disseminao do Caribe. Quer dizer, at que ele seja misturado a outro malware. via Bluetooth. Apesar deste worm no se aplicar ao escopo de sistemas operacionais deste trabalho, interessante citar o caso do Caribe por ser o pioneiro a se espalhar

33

3.3. Ataques via interface IEEE 802.11

Ataques a PDAs em redes sem fio no so um problema especfico dos PDAs. No entato, considerando que a maioria dos usurios de PDAs possuem uma conexo Wi-Fi para ler/responder e-mails, conectar-se ao escritrio ou acessar a Internet, devemos considerar este vetor de ataque. Resumidamente, podemos dizer que o usurio do PDA poder ser atacado das seguintes formas: quebra da chave criptogrfica WEP (Wired Equivalent Privacy), quebra da chave criptogrfica WPA (Wi-Fi Protected Access), ataques Man in The Middle (MiTM), injeo de contedo Web, ataques passivos (coleta de trfego), pontos de acesso maliciosos (rogue acess points), ataques de negao de servio e estouro de pilha (buffer overflow). Atravs destes, um atacante pode interceptar mensagens de correio eletrnico, obter acesso rede interna de empresas, capturar senhas, enganar usurios induzindo-os a acessar pginas com cdigo malicioso, dentre outros.

3.3.1. Ataques ao WEP

Diversas falhas no algoritmo WEP foram encontradas, que seriamente colocam em dvida a sua confiabilidade. Em particular, as ameaas mais conhecidas so: Ataques passivos para decriptar trfego baseado em anlise estatstica. Ataques ativos para injeo de trfego a partir de estaes no autorizadas. Ataques ativos para decriptar trfego, baseados na manipulao de pontos de acesso. Ataques baseados na criao de dicionrios construdos a partir de trfego coletado, que permite a decriptao automtica de trfego em tempo real. Todos os ataques citados podem ser realizados com equipamentos de baixo custo e de fcil aquisio. Alm disso, se aplicam tanto ao WEP de 40 quanto ao de 128 bits e ao padro 802.11b, uma extenso para suportar maiores taxas de transmisso, mas que manteve intocada a implementao do WEP. Vamos apresentar com mais detalhes somente o primeiro tipo de ataque, por ser o mais comum.

34

Ataque passivo para decriptao de trfego Este ataque possvel devido ao seguinte fato: uma pessoa pode capturar todo o trfego encriptado da rede sem fio at que uma coliso do vetor IV seja identificada. Ao aplicar a funo lgica XOR entre dois pacotes que usam este mesmo vetor de inicializao (IV), o atacante automaticamente obtm o resultado do XOR do texto puro das mensagens de cada pacote. O resultado obtido pode ser usado para se fazer inferncias sobre o contedo destas. Como o trfego IP bastante previsvel e inclui diversas redundncias, estas podem ser usadas para dar vrias dicas sobre o contedo das mensagens. Tentativas de adivinhao mais inteligentes so usadas posteriormente e algumas vezes conseguem identificar todo o contedo da mensagem. No entanto, quando tais adivinhaes estatsticas baseadas em apenas dois pacotes no so insuficientes para identificar o contedo da mensagem, possvel trabalhar com outros pacotes cujo vetor IV tambm colidiu. Em um tempo relativamente pequeno, possvel cotetar trfego encriptado com a mesma chave, fazendo com que a qualidade da anlise estatstica cresa rapidamente. Uma vez que seja possvel desencriptar toda a mensagem, todos os outros pacotes que usam o mesmo vetor IV podero ser desencriptados automaticamente.

3.3.2. Ataques ao WPA

Atualmente, a nica forma de atacar o algoritmo WPA causando uma re-autenticao forada de um usurio que esteja utilizando a rede. necessria uma conexo real e pode ser necessrio esperar para que a re-autenticao acontea.

Ataque de re-autentiucao forada Neste ataque simples e efetivo, basta forar um usurio ativo a se re-autenticar e capturar o trfego da re-conexo e re-autenticao, o que economiza tempo, pois no mais necessrio esperar at que ocorra uma re-autenticao espontnea. Aps alguns segundos, a reautenticao j deve estar completa e poder ser feito um ataque de dicionrio contra a chave primria de encriptao PMK (primary master key).

3.3.3. Ataques de invaso de memria (Buffler Overflow attacks)

O Windows Mobile to vulnervel a ataques de invaso de memria (ou estouro de pilha em algumas tradues) quanto a sua famlia de grandes irmos. O prprio servidor de FTP usado para os testes dotado de um. O executvel ftpsvr.exe implementa comandos comuns de FTP, mas infelizmente no verifica os parmetros passados. Isso significa que um atacante pode sobrescrever a pilha de execuo com cdigo assembly e ter este cdigo arbitrrio executado.

35

Mesmo que alguns detalhes possam variar entre dispositivos e verses de sistema, vamos mostrar que possvel fazer um ataque via rede e injetar cdigo que ir causar um hard reset no PDA. Felizmente, esse tipo de ataque relativamente limitado em PDAs. Como no existe efetivamente uma shell de comando, um ataque para ser completo requer um upload de alguma aplicao para que o controle total do sistema seja obtido. J citamos um exemplo de aplicao como esta anteriormente: o calavo de tria brador.exe.

3.3.4. Captura de trfego

Um sniffer prov a seu utilizador uma viso do trfego passante na rede. Atualmente, a maioria das redes cabeadas baseada em switchs, o que dificulta muito este tipo de ataque (mas no o torna impossvel). Neste caso, estamos falando de redes onde os PDAs normalmente no esto conectados. No caso de uma rede sem fio, esta funciona de forma parecida com um HUB (topologia em barra), pois todos escutam o trfego da rede (claro, desde que estejam presentes na localidade de sinal). Como a entrada e sada de Pockets PCs, Smartphones e derivados nas mos ou bolsas de visitantes em empresas no so muito controladas, torna-se fcil capturar trfego wireless para futura anlise. Alguns sniffers para Windows Mobile necessitam que o dispositivo esteja conectado a alguma rede antes que possa capturar trfego. No entanto, esta dificuldade no existe nos sniffers para Linux, podendo facilmente capturar o trfego do canal desejado (Kismet e tcpdump so exemplos de tais ferramentas). A figura a seguir mostra a captura de trfego de um usurio da rede quando acessava a pgina do Google, utilizando o vxSniffer:

Figura 10: vxSniffer em ao

36

 importante ressaltar que um Pocket PC, por exemplo, suporta interface Ethernet, alm da wireless, o que permite a sua conexo direta a um HUB ou switch e mais uma vez, capturar trfego.

3.3.5. Anlise de vulnerabilidades

Uma vez dentro da rede, os PDAs podem realizar o mesmo tipo de varredura que um PC. Varreduras atravs de requisies ICMP, por servios conhecidos e at mesmo exploits podem ser executados a partir de um equipamento como este. Por exemplo, um iPAQ rodando Linux [12] pode ser usado para executar a ferramenta mais conhecida de varradura de redes, Nmap. O Linux [12] pode ir alm, pois facilita muito a criao de scripts em Perl, que podem ser usados para diversos tipos de teste de invaso.

3.3.6. Abrindo portas para um ataque

A seguir, discutiremos sobre um mtodo simples de se obter acesso annimo e remoto a uma rede wireless, transformando o PDA em uma verdadeira porta dos fundos feita em hardwar. O propsito disso apenas mostrar o quanto se pode ir longe ao se atacar redes wireless usando PDAs para que a concincia da necessidade de se aumentar o nvel de segurana nas corporaes seja levada srio. 1. Instalar uma distribuio do Linux [12] de acordo com a preferncia 2. Instalar drivers necessrios para o funcionamento das interfaces wireless e Ethernet 3. Criar um script de configurao da interface wireless para inicar em modo ad-hoc aps a inicializao do sistema. O uso de criptografia opcional. A interface deve comear a operar em algum canal livre, escolha. 4. Instalar as aplicaes SSH, Nmap e tcpdump no PDA. 5. V at o local desejado e conecte a interface ethernet rede, de forma que fique bem escondido. 6. Ligue o PDA. 7. A partir de um laptop ou outro PDA, conecte-se ao equipamento via IP pr-estabelecido, usando tnel SSH. 8. Agora, pode-se usar o tcpdump para capturar trfego da rede, identificando endereamento para ento alterar o correspondente na interface Ethernet

37

4. Checklist de Segurana para dispositivos mveis em redes sem-fio

A seguinte tabela fornece uma checklist de segurana para PDAs e Smartphones. Esta apresenta boas prticas de uso e recomendaes para se criar e manter um ambiente seguro para o uso destes dispositivos. A primeira coluna (Boa Prtica), caso marcada, significa que a informao deve ser implementada. A segunda (Deve-se considerar), significa que a recomendao deve ser fortemente analisada por trs motivos: primeiro, ir aumentar o nvel de segurana do ambiente atravs do oferecimento de um tipo de proteo complementar, segundo, a recomendao utiliza a tcnica de segurana em camadas (defense-in-depth strategy). Terceiro, trar impactos de performance, operacionais e custo. Em resumo, cada organizao deve avaliar o custo benefcio da implementao.

Checklist Recomendao de segurana Boa prtica Deve-se considerar

Desenvolver uma poltica de segurana para a organizao, que direcione o uso de todos os dispositivos de computao mvel. Assegurar que os usurios da rede so treinados (security awareness) quanto aos riscos de segurana e esto cientes dos inerentes a dispositivos de computao mvel. Realizar uma avaliao de risco para entender o valor dos bens presentes na organizao que necessitam de proteo. Conduzir prticas de auditoria espordicas, mas continuamente, para monitorar e possivelmente detectar incidentes de segurana ligados dispositivos de computao mvel. Assegurar que os limites de acesso fsico por vias externas s dependncias da organizao so suficientes em termos de proteo, para todo o permetro de prdios da organizao. Fazer uso de controles de acesso fsico nos prdios e outras reas (Como identificao por crachs com fotografias, cartes inteligentes, biometria e outros). Minimizar o risco de perda ou roubo atravs do uso de fechaduras e cabos de segurana. Identificar todos os dispositivos mveis com o nome do proprietrio e informaes de contato da organizao.

38

Assegurar que os usurios saibam onde reportar a perda ou roubo do um dispositivo. Assegurar que os dispositivos so guardados de forma segura quando fora de uso. Certifica-se de que mdulos adicionais (perifricos, cartes de memria, etc) esto protegidos adequadamente quando fora de uso, como preveno contra roubos. Habilitar o pedido de senha ao se ligar cade dispositivo de computao mvel. Criar e manter uma poltica de manuteno de senhas adequada, (troca de senhas periodicamente, normas de formao, etc). Assegurar que aplicativos de sincronizao com dispositivos mveis instalados nas estaes de trabalho so protegidos por senha. Armazenar dados necessrios em mdulos apropriados e de forma encriptada.

10

11

12

13

14

15

16

Visitar freqentemente websites de fabricantes em busca de correes e verses mais recentes dos softwares utilizados.

17

Instalar correes de software em dispositivos e estaes de trabalho afetadas. Review security-related mailing lists for the latest security information and alerts.

18

Acompanhar listas de discusso relacionadas na Internet para obter as ltimas informaes e alertas de segurana.

19

Assegurar que todos os dispositivos tenham mecanismos de bloqueio automtico aps um perodo de inatividade.

20

Sincronizar regularmente dispositivos com suas respectivas estaes de trabalho. Evitar armazenar informaes confidenciais no dispositivo mvel. Se necessrio, deve-se mov-las para um local mais seguro quando possvel. Desligar em perodos de inatividade, portas de comunicao do dispositivo.

21

22

23

Instalar software de antivrus em todos os dispositivos mveis.

39

24

Instalar firewalls pessoais em todos os dispositivos mveis.

25

Assegurar que os PDAs so disponibilizados para os usurios com software/firmware de controle de acesso.

26

Instalar clientes de VPNs em todos os dispositivos mveis que transmitem dados atravs de redes wireless.

27

Assegurar que um usurio possa ser autenticado de forma segura local ou remotamente, para acessar os recursos da organizao.

28

Usar criptografia robusta e utilitrios de proteo de senha para proteger dados sensveis e aplicaes.

29

Usar solues de segurana adequada ao tamanho da organizao para gerenciar a segurana de dispositivos de forma centralizada.

30

Assegurar que ferramentas de anlise de segurana so usadas para avaliar dispositivos mveis. Quando dispositivos no forem mais ser utilizados, todas as configuraes e dados devem ser apagados adequadamente, evitando a possvel exposio de informaes sensveis.

31

5.

Avaliao Prtica

5.1. Testes com Emuladores vs Teste com dispositivos fsicos

5.1.1. Descrio do ambiente de testes com emuladores
Alm do trabalho terico, foram realizados testes bsicos usando emuladores dos seguintes dispositivos mveis/sistema operacional: Pocket PC / Windows Mobile 2003 SE Pocket PC / Windows Mobile 5.0 Smart Phone / Windows Mobile 2003 SE Smart Phone / Windows Mobile 5.0

40

Atravs do Device Emulator Manager (gerenciador de imagens), carregamos as imagens dos sistemas operacionais dos dispositivos, sendo possvel simular o fato do dispositivo estar ou no em sua base (craddle). A documentao do emulador afirma que este suporta os mesmos binrios utilizados pelos equipamentos reais, tanto quanto a arquitetura do processador ARM. Foi possvel fazer a comunicao do emulador com o Microsoft ActiveSync, software de sincronizao de dados entre o PocketPC e o PC.

Figura 11: Emulao do Windows Mobile 2003 SE em PocketPC

Figura 12: Emulao do Windows Mobile 2003 SE em SmartPhone

5.1.2. Descrio do ambiente de testes com dispositivos fsicos

Os testes prticos com dispositivos fsicos foram realizados no Laboratrio de Colaborao Avanada (LAC/Laboratory of Advanced Collaboration) da Pontifcia Universidade Catlica do Rio de Janeiro (PUC-RIO). O ambiente foi composto pelos seguintes modelos de PocketPC e mais um PC com acesso Internet: HP IPaq HX2490b - Microsoft Windows Mobile 5.0 (Windows CE 5.0) Interfaces de rede Wi-Fi e Bluetooth

41

HP IPaq H5450 - Microsoft Windows Mobile 2003 (Windows CE 4.2) - Interfaces de rede WiFi e Bluetooth

5.1.3. Vantagens e desvantagens quanto aos ambientes

Os testes foram realizados nos dois ambientes citados anteriormente devido presena de vantagens e desvantagens oriundas de cada um. O ambiente de testes com emuladores nos trouxe a facilidade de trabalhar com aplicaes desenvolvidas para os sistemas operacionais Windows Mobile 2003 e 5.0 em arquitetura ARM, em nossas prprias mquinas pessoais. Estas aplicaes foram encontradas na Internet e pde-se verificar a compatibilidade e reconhecimento pelos mesmos. Alm disso, permitiu o manuseio parcial destas aplicaes, sendo possvel descobrir como funcionavam antes de test-las em dispositivos fsicos do laboratrio. Os testes com emuladores nos permiram alm de tudo, conhecer melhor o prprio sistema operacional estudado, apesar das limitaes de performance ocasionadas devido aos recursos da mquina hospedeira. Os testes com dispositivos reais foram mais ilustrativos, pois representavam a realidade ou algo muito similar ao ambiente utilizado por um atacante. Os testes com dispositivos reais possibilitaram as aplicaes a executarem de forma mais performtica do que nos emuladores, mas a grande vantagem era a facilidade de uso das interfaces de rede 802.11 e Bluetooth nativamente.

5.2. Discusso sobre metodologia e critrios de avaliao

As vulnerabilidades testadas sero apresentadas individualmente, com a sua respectiva descrio e resultados obtidos na prxima seo. Sero avaliadas aquelas que forem possveis dentro do espao de tempo e recusos disponveis para a realizao deste trabalho.

Procedimento dos testes Os procedimentos utilizados podem ser comparados a ataques reais, pois fizeram uso de aplicaes conhecidas e utilizadas por atacantes, que podem ser obtidas facilmente na Internet. Na verdade, testes em laboratrio podem apresentar poder de explorao ainda maior do que ataques reais, pois o ambiente pode ser ajustado, aumentando ou diminuindo a dificuldade para se obter sucesso. Um atacante real, muitas vezes, precisa buscar meios alternativos para facilitar a sua execuo, atravs de tcnicas como, por exemplo, engenharia social.

42

Critrios de avaliao O critrio de sucesso utilizado nos testes foi a reproduo de experimentos com o uso de aplicaes desenvolvidas pela comunidade de segurana mundial. Cada teste foi feito individualmente, estipulando um limite de tempo e nmero de tentativas para casos falhos. Estes variaram para cada situao at que comprovassem funcionamento ou falha.

5.3. Testes com emuladores

Requisitos de sistema operacional para uso dos emuladores: Windows Server 2003 com Service Pack 1 Windows XP Teste: Instalao da ferramenta de varredura de redes Wi-fi Mini-Stumbler Descrio: Uma das aplicaes mais conhecidas para varredura de redes 802.11 chamada NetworkStumbler. Esta capaz de medir o sinal de cada rede detectada, indicar se usa criptografia ou no e prover informaes sobre o hardware identificado. No entanto, uma verso especfica para PocketPCs foi criada, com o nome Mini-Stumbler. Restries para funcionamento: o emulador preferencialmente deve estar configurado para usar a interface Wi-Fi do PC onde est sendo executado. Resultados: A aplicao foi instalada com sucesso, mas no foi possvel utilizar suas funes principais mesmo com PC local possuindo interface de rede sem fio. A aplicao s suporta uma quantidade limitada de equipamentos, listados em: http://www.stumbler.net/compat/.

Teste: Captura de trfego da rede com a ferramenta VxSniffer Descrio: O VxSniffer uma aplicao para coleta de trfego de rede, que funciona deixando a interface em modo promscuo ou somente observando o trfego originado/destinado interface local. Assim, caso a rede no faa uso de criptografia, possvel observar o que os usurios ao redor esto acessando em tempo real, coletar credenciais de contas pessoais e outras informaes sigilosas. possvel determinar qual a interface de rede do dispositivo que ser usada para esta funo. Restries para funcionamento: uso do software ActiveSync para sincronizao de arquivos e instalao da ferramenta.

43

Resultados: A aplicao foi instalada com sucesso e foi possvel coletar trfego da interface local da mquina hospedeira do emulador. No entanto, como esta est ligada a um switch, somente o trfego de broadcast ou local pde ser observado.

Figura 13: VxSniffer coletou trfego da interface local

Figura 14: Detalhes de uma requisio do protocolo ARP

Teste: Uso de ferramenta de anlise forense (dumper) para coleta de todas as informaes do dispositivo para posterior anlise. Descrio: Foi utilizada a ferramenta PDA Seizure, uma das mais conhecidas para anlise forense de dispositivos mveis. Restries para funcionamento: A aplicao suporta somente os seguintes modelos da srie IPAQ: H 1940, H 3630, H 3670, H 3760, H4155, HX2110, HX4705, RX1955, RX3115, RX3715, RZ1715. Mais informaes: http://www.paraben-forensics.com/cell_models.html. Resultados: No foi possvel utilizar esta ferramenta com o emulador, pois esta s compatvel com uma verso do ActiveSync inferior nica verso compatvel com o emulador.

44

5.4. Testes locais

Teste: Execuo de aplicaes por Auto-run Descrio: Um arquivo chamado autorun.exe em uma pasta chamada 2577 na raiz de um carto de memria (considerando que o dispositivo trabalha com processador ARM) copiado para a pasta local do Windows Mbile e executado automaticamente caso detectado. Se o arquivo for algum tipo de cdigo malicioso, executado sem a interveno do usurio. Para realizar este teste, foi usado um carto de memria do tipo SD (Secure Digital Card), utilizando binrios obtidos atravs de fontes na Internet, especficos para executarem um soft reset no dispositivo, ou seja, reinici-lo independente do estado em que esteja operando. Restries para funcionamento: necessidade de um carto de memria e manuseio direto do equipamento. Resultados: Foi comprovado que o sistema de auto-run funciona nas condies descritas a cima. Foi observado instanteneamente o reiniciar do sistema assim que o SD Card foi inserido.

Teste: Infeco com porta dos fundos (backdoor) Descrio: Teste de manipulao de binrios existentes, transformando-os em uma porta dos fundos. Foram realizados testes com um servidor FTP e um servidor de terminal remoto. Restries para funcionamento: para ser acessado, o dispositivo deve estar acessvel via rede. Em nossos testes, o acessamos atravs da Internet pois existia um endereo IP pblico associado ao IP interno do dispositivo atravs de NAT (network address translation). Resultados: O servidor de FTP pde ser instalado e testado (acessamos o PocketPC atravs da Internet), mas apesar de utilizarmos a ferramenta indicada para edio do binrio, no foi possvel excluir a rotina de exibio do cone da aplicao (nico identificador de sua presena no sistema). Quanto aplicao de terminal remoto, foi possvel test-la com sucesso, acessar o dispositivo atravs da Internet mas, da mesma forma, no editamos o binrio para torn-lo invisvel para o usurio. A seguir, as telas obtidas:

45

Figura 15: Acesso via FTP atravs da Internet ao PocketPC e exibio dos arquivos locais.

Figura 16: Autenticao com senha para acesso remoto (Atravs da aplicao VirtualCE)

Figura 17: Controle remoto do PocketPC via Internet

46

Figura 18: Controle remoto do PocketPC via Internet

Figura 19: Controle remoto do PocketPC via Internet

Teste: Uso de ferramenta de anlise forense (dumper) para coleta de todas as informaes do dispositivo para posterior anlise. Descrio: Foi utilizada a ferramenta PDA Seizure, uma das mais conhecidas para anlise forense de dispositivos mveis. Restries para funcionamento: A aplicao suporta somente os seguintes modelos da srie IPAQ: H 1940, H 3630, H 3670, H 3760, H4155, HX2110, HX4705, RX1955, RX3115, RX3715, RZ1715. Mais informaes: http://www.paraben-forensics.com/cell_models.html. Resultados: A verso do ActiveSync exigida pela aplicao a 3.7.0 ou 3.7.1. Removemos a verso 4.0 e tentamos instalar uma das verses requisitadas, mas no obtivemos sucesso devido incompatibilidades com o Windows XP. A aplicao pde ser iniciada, mas ao tentar-se adquirir a imagem do PDA, a comunicao no foi estabelecida com sucesso. Abaixo, apresentamos uma tela que mostra as informaes que poderiam ter sido obtidas:

47

5.5. Testes com Bluetooth

Teste: Roubo de informaes (agenda telefnica, calendrio, fotos, etc - Bluesnarfing) e envio de mensagens inoportunas (Bluejacking). Descrio: As tcnicas de Bluesnarfing e Bluejacking foram implementadas na aplicao BTCrawler, suportada pelo Windows Mobile 2003/5.0. Restries para funcionamento: nem todos os dispositivos com suporte a Bluetooth so vulnerveis a estes ataques. Segundo o desenvolvedor da aplicao, os seguintes so: Nokia 6310, 6310i (at a verso de firmware 5.51), Nokia 8910, 8910i, SE T610 FW:R1A081, SE T630 FW:R4C003, SE T68i FW:R2B025, SE Z600 FW:R2E004, SE Z1010. Resultados: Foi possvel instalar a aplicao, mas apesar da comunicao via Bluetooth dos dispositivos estar operando normalmente, a aplicao foi incapaz de detectar telefones celulares com Bluetooth habilitados ou outros PocketPCs. A seguir, mostramos as telas de configurao do dispositivo para que ficasse no modo visvel e da aplicao btCrawler, a mais indicada para este tipo de teste. Obs.: A funo de Bluesnarfing da aplicao precisou ser habilitada atravs da edio do registro do PocketPC (feita com uso de aplicao terceira).

Figura 20: Editando o registro do Windows Mobile atravs da aplicao Mobile Registry Editor

48

Figura 21: Habilitando a interface Bluetooth do dispositivo

Figura 22: Configurando a interface Bluetooth do dispositivo para estar visvel Procedimento para habilitar a funo de bluesnarfing: 1. Criar a seguinte chave de registro: \HKCU\Software\Microsoft\Bluetooth\Mode 2. Criar a seguinte DWORD: Nome: ISC Valor: 1

Figura 23: Aplicao btCrawler com funo de bluesnarfing habilitada via edio de registro.

49

5.6. Testes com IEEE 802.11

Teste: Instalao da ferramenta de varredura de redes Wi-fi Mini-Stumbler Descrio: Uma das aplicaes mais conhecidas para varredura de redes 802.11 chamada NetworkStumbler. Esta capaz de medir o sinal de cada rede detectada, indicar se usa criptografia ou no e prover informaes sobre o hardware identificado. No entanto, uma verso especfica para PocketPCs foi criada, com o nome Mini-Stumbler. Restries para funcionamento: a interface de rede sem fio deve ser identificada pelo dispositivo. Resultados: A aplicao foi instalada com sucesso, mas no foi possvel utilizar suas funes pois a interface Wi-Fi dos dispositivos disponveis para teste no foram identificadas pela aplicao.

Figura 24: Mini-stumbler no reconheceu a interface de rede sem fio.

50

Teste: Captura de trfego da rede com a ferramenta VxSniffer Descrio: O VxSniffer uma aplicao para coleta de trfego de rede, que funciona deixando a interface em modo promscuo ou somente observando o trfego originado/destinado interface local. Assim, caso a rede no faa uso de criptografia, possvel observar o que os usurios ao redor esto acessando em tempo real, coletar credenciais de contas pessoais e outras informaes sigilosas. possvel determinar qual a interface de rede do dispositivo que ser usada para esta funo. Restries para funcionamento: para coletar trfego de outras estaes, a interface de rede deve suportar o modo promscuo. Resultados: A aplicao foi instalada com sucesso, mas s foi possvel varrer o trfego de rede originado ou destinado ao dispositivo mvel, pois sua interface Wi-fi no permite ser configurada para modo promscuo. A seguir, apresentamos as telas capturadas com detalhes do trfego:

Figura 25: Captura de trfego da rede 802.11 do LAC

Figura 26: Detalhes do segmento TCP capturado

51

Figura 27: Anlise do contedo capturado. Pode-se visualizar o contedo das requisies.

Figura 28: Exibio dos pacotes capturados.

Teste: Quebra da chave criptogrfica WEP (Wired Equivalent Privacy). Descrio: Existem diversas implementaes para atacar o algoritmo criptogrfico WEP, tanto em suas verses de chave de 40 ou 104 bits. No entanto, a nica disponvel para Windows Mobile foi criada pela empresa E-Eye Security, sendo chamada de Retina Wifi Scanner. Restries para funcionamento: apesar do manual afirmar que a ferramenta funciona em PocketPCs, no tivemos sucesso ao utiliz-la pois o sistema exibiu um erro afirmando que no suporta a aplicao. Resultados: Infelizmente a aplicao no foi reconhecida como vlida quando executada no PocketPC. Fizemos os testes em Windows XP, sendo capazes de identificar redes 802.11, medindo seu sinal e identificando caractersiticas dos Access Points, mas no foi possvel quebrar a chave WEP. A "resposta" da chave foi inserida ao dicionrio de ataque, mas a aplicao retornou erros afirmando que no conseguiu iniciar o ataque. Tivemos uma sria impresso de que esta aplicao de carter experimental e no possuir todos os recursos funcionando corretamente. Um indcio disso a sua gratuidade.

52

Figura 29: Ferramenta E-eye WiFi Scanner identificou uma rede 802.11 com WEP habilitado

6.

Concluso
Este trabalho ilustrou ameaas de segurana a dispositivos de computao mvel, abrangendo os principais sistemas operacionais e tecnologias de rede sem fio do mercado. Percebe-se que ainda no h uma conscincia dos perigos existentes por quase a totalidade dos usurios destes dispositivos. Muitos deles so executivos e apesar de carregarem consigo informaes sigilosas, que nunca deveriam cair em mos erradas, no se preocupam com este tipo de problema. Existe uma tendncia natural para a evoluo das ameaas que cincurdam dispositivos mveis, medida que seu uso se torne mais popular. Algumas empresas j esto se preparando e desenvolvendo softwares para aumentar o nvel de segurana de PDAs, como por exemplo

53

sistemas de criptografia de dados e firewalls pessoais. O poder de disseminao das ameaas se tornar cada vez maior, causando grandes prejuzos aos no preparados. Cabe aos desenvolvedores de software, buscarem melhorar a qualidade de seus produtos para que menos falhas de segurana ocorram, e tambm aos usurios de PDAs a reclamarem quando esto insatisfeitos com a qualidade de determinada soluo. A indstria de tecnologia est sempre sob presso, e s abre espao para aspectos que no so vistos como lucrativos quando o mercado exige. No entanto, existe um movimento presente buscando aumentar a conscincia quanto ameaas de segurana de modo geral e evitar que acontea novamente nos PDAs o que acontece com estaoes de trabalho e mquinas pessoais, infectadas com virus e worms, que j causaram prejuzos enormes a diversas instituies. Os testes realizados neste estudo apresentaram vulnerabilidades de grande impacto, mas que atualmente j podem ser remediadas com mecanismos substitutos. Por exemplo, a quebra de chaves WEP estimulou fortemente o estudo de novas solues de criptografia, dando origem ao WPA, considerado seguro atualmente. Tcnicas como BlueSnarfing, que d margem captura de informaes sigilosas via bluetooth, no afetam dispositivos recm-fabricados, pois j receberam correes de segurana para remediar esta vulnerabilidade. No entanto, j se pode notar a tendncia de que usurios de dispositivos mveis estejam cada vez mais conectados Internet, que dependam cada vez mais destes recursos e que cdigos maliciosos sero criados para explorar este fato. A explorao poder se dar de inmeros maneiras, por exemplo, capturando senhas de banco e credenciais de aplicaes (como correio eletrnico), e algumas ainda mais preocupantes, como a identificao da localizao fsica da vtima e contaminao dos dispositivos por mecanismos de espionagem. Infelizmente, os dispositivos mveis mais comuns de mercado ainda so muito heterogneos em termos de configurao de hardware, drivers especficos e pode-se dizer que at mesmo em termos de sistemas operacionais. Este fato foi de certa forma uma barreira para nossos testes, pois muitas das aplicaes disponveis hoje para provas de conceito suportam apenas alguns dispositivos, com interfaces de rede especficas, o que nos impediu de verificar o funcionamento de muitas destas. Pode-se dizer que o nmero de ameaas de segurana a dispositivos de computao mvel existentes atualmente proporcional quantidade de usurios e maturidade dos mecanismos de proteo. Isso significa que muito ainda ir evoluir neste cenrio, e portanto, deve-se estar preparado para o aparecimento de ameaas inovadoras, com grande poder de destruio e roubo de informaes em massa.

54

7.

Referncias Bibliogrficas
[1] BLUEJACKQ - URL: www.bluejackq.com [2] WIKIPEDIA BLUEJACKING (ROUBO DE DADOS) URL: http://pt.wikipedia.org/wiki/Bluetooth#Bluejacking_.28Roubo_de_dados.29 [3] WIKIPEDIA WEP - URL: http://pt.wikipedia.org/wiki/WEP [4] WIKIPEDIA WPA - URL: http://pt.wikipedia.org/wiki/WPA [5] WIKIPEDIA IEEE 802.11 URL: http://pt.wikipedia.org/wiki/ieee_802.11 [6] NIKITA BORISOV, IAN GOLDBERG, E DAVID WAGNER; SECURITY OF THE WEP ALGORITHM URL: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html [7] SETH FOGIE, INSECURE MAGAZINE, EDIO 1.3, PDA ATTACKS: PALM SIZED DEVICES - PC SIZED THREATS URL: www.insecuremag.com. [8] CYRUS PEIKARI, INSECURE MAGAZINE, EDIO 1.4, PDA ATTACKS, PART 2: AIRBORNE VIRUSES - EVOLUTION OF THE LATEST THREATS. [9] http://www.noconname.org/ponentes/olliewhitehouse.htm [10] SONY ERICSSON - URL: http://www.sonyericsson.com [11] MOTOROLA - URL: http://www.motorola.com.br [12] LINUX URL: http://br-linux.org/ [13] INTEL - URL: http://www.intel.com [14] IBM - URL: http://www.motorola.com.br [15] TOSHIBA - URL: http://www.toshiba.com [16] MICROSOFT - URL: http://www.microsoft.com [17] TOYOTA - URL: http://www.toyota.com [18] BMW - URL: http://www.bmw.com [19] LEXUS - URL: http://www.lexus.com [20] ERICSSON - URL: http://www.ericsson.com [21] APPLE - URL: http://www.apple.com [22] DELL - URL: http://www.dell.com [23] HP - URL: http://www.hp.com [24] 3COM - URL: http://www.ecom.com.br [25] LUCENT - URL: http://www.lucent.com [26] ADAM LAURIE - URL: http://trifinite.org/trifinite_group_adam.html [27] NOKIA URL: http://www.nokia.com [28] IDC - URL: http://www.idclatin.com/brasil/ [29] PARABEN - URL: http://www.paraben.com

55

[30] HOME

OF

BTCRAWLER

BLUETOOTH

DIAGNOSTIC

TOOL

URL:

http://www.silentservices.de/btCrawler.html [31] RED FANG BLUETOOTH TOOL http://www.netstumbler.com/2003/08/18/software_tool_steals_data_via_bluetooth/

56