Bluetooth, Sicherheitsprobleme und der Weihnachts-Test

  • Warum eigentlich Bluetooth?
  • Schutzmechanismen
  • Angriffsarten auf Bluetooth
  • Der Weihnachts-Test
  • Verteidigungsmethoden
  • Bibliographie

Warum eigentlich Bluetooth?

Neue Technologien durchdringen rasch alle Bereiche des täglichen Lebens. Selbst Geräte, die bis vor kurzem nur in utopischen Filmen existierten, können wir uns nicht mehr aus unserem Leben wegdenken.

Die Firma Ericsson begann 1994 damit, die Bluetooth-Technologie zu entwickeln, vier Jahre später gründeten Ericsson, IBM, Nokia, Intel und Toshiba die Bluetooth SIG (Special Interest Group), die den gemeinsamen Standard dafür erarbeitete. Heute sind die meisten Mobiltelefone und viele andere Geräte mit einem Bluetooth-Interface ausgestattet – und auch einige Hersteller von Haushaltstechnik nutzen diese Technologie bereits.

Auf dem Markt erschienen bereits Transceiver, die es ermöglichen, Bluetooth mit Geräten zu nutzen, die ursprünglich gar nicht damit ausgerüstet sind. Und so gibt es mittlerweile Bluetooth-Kopfhörer, -Autozubehör und -Tastaturen – das ist aber nur eine unvollständige Auflistung der Anwendungen im Alltag.

Die große Verbreitung und die Neuartigkeit der Technik taten das ihre, denn Hacker werden grundsätzlich von neuen und unbekannten Technologien angezogen. Bereits zu Beginn des Jahres 2000 richteten Hacker ihre Aufmerksamkeit auf Bluetooth und die damit verbundenen Sicherheitsprobleme.

Die Arbeit der Forschungsgruppen @stack und shmoo gab den Anstoß in diese Richtung und auch für die Antiviren-Industrie wird dieses Thema zunehmend aktuell. Bluetooth entwickelte sich zu einem wichtigen Medium für Würmer. So verbreiten sich etwa Cabir, Lasco und Comwar über Bluetooth auf Symbian-Geräte.

Ursprünglich sollte Bluetooth den Kabelsalat zwischen verschiedenen Geräten ersetzen, so dass Maus, Drucker, Mobiltelefon und GPS-Empfänger ohne Kabel und auch trotz weniger vorhandener Schnittstellen gleichzeitig an ein Notebook angeschlossen werden konnten.

Mit der Zeit begann Bluetooth, in den Bereich kabelloser lokaler Netzwerke einzudringen. Manche Techniker glauben, dass es eine Alternative zu Wi-Fi schaffen kann – obwohl sich diese Technologien meiner Ansicht nach eher ergänzen und sich Ihre Anwendungsbereiche zwar überschneiden, es aber dennoch zahlreiche unterschiedliche Anwendungen gibt.

Die Grundlage für Bluetooth bildet das Piconet, das aus einem Master und bis zu 7 Nebenstellen (Slaves) besteht, die in einem Radius von 10 Metern angeordnet sind. Einzelne Piconetze können sich mit weiteren verteilten Netzen (Scatternets) verbinden. Diese Verbindung ist allerdings nur zwischen Master und Slave möglich.

Abb.1

Bluetooth-Geräte arbeiten in einem nicht-genehmigungspflichtigen Frequenzbereich von 2,4 bis 2,4835 GHz. Um Konflikte mit anderen in diesem Bereich arbeitenden Geräten zu vermeiden, wird ein Algorithmus mit sprunghafter Frequenzänderung genutzt: Bluetooth macht 1.600 Frequenzsprünge pro Sekunde.

Die Arbeitszeit mit einer bestimmten Frequenz wird als Time-Slot bezeichnet und beträgt 625 Mikrosekunden. Die Slaves, die im Piconetz verbunden sind, stellen die Frequenz auf Kommando des Masters nach einem pseudozufälligen Algorithmus gleichzeitig um. Der gesamte Frequenzbereich ist in 79 Kanäle mit einer Bandbreite von je 1 MHz eingeteilt. Die Daten werden durch Signale übertragen, die aus 1, 3 oder 5 Takten bestehen können.

Es existieren zwei Verbindungstypen: ACL (Asynchronous Connectionless – asynchron ohne Verbindung) und SCO (Synchronous Connection Oriented – synchron mit Verbindungsherstellung).

Der erste Typ wird zur Übertragung von Daten genutzt, die zu einem beliebigen Zeitpunkt auftauchen können, ein Slave kann dabei nur eine ACL-Verbindung mit dem Master aufbauen.

Der zweite wird zur Datenübertragung in Echtzeit genutzt, zum Beispiel bei der Übertragung von Sprache. Ein Slave kann hier bis zu drei SCO-Verbindungen mit dem Master erstellen, bei einem Durchsatz von 64 KB.

Die Bluetooth-Spezifikation definiert drei Geräteklassen:

Klasse 1 1100 mW 100m
Klasse 2 22.5 mW10m
Klasse 3 31 mW10m

Die Mehrzahl der Geräte gehört zu den Klassen 2 oder 3

Der Protokollstack sieht folgendermaßen aus:

Abb.2

Um die Schutzmöglichkeiten besser verstehen zu können, sollten wir uns genauer mit der Bluetooth-Spezifikation beschäftigen:

Schutzmechanismen

Wie in der Spezifikation festgelegt, kann die Nutzerinformation durch die Chiffrierung der übertragenen Daten geschützt werden, während Zugangscode und Paketkopf im offenen Zustand weitergegeben werden. Bei der Chiffrierung wird die Chiffre EO verwendet. Ein Angriff auf Grundlage des Verbindungskanals ist möglich.

Bluetooth bietet drei Sicherheits-Stufen:

Ungeschützt (No Security):

Bei dieser Betriebsart sind weder Chiffrierung, noch Authentifizierung aktiv und das Gerät selbst arbeitet im ungeschützten Sendebetrieb (Promiscuous).

Geschützt auf Grundlage einer Anwendung oder eines Dienstes (Application/Service Based (L2CAP)):

Hier führt der Security Manager nach dem Herstellen der Verbindung die Authentifizierung durch, so dass der Zugang zum Gerät eingeschränkt werden kann.

Geschützt auf Grundlage des Verbindungskanals (Link Layer PIN Authentification/MAC Address Encryption):

Die Authentifizierung erfolgt vor Einrichten der Verbindung, zudem wird eine transparente Chiffrierung genutzt. Doch auch in dieser Betriebsart kann das Gerät gehackt werden.

Die Grundlage für die Sicherheit von Bluetooth sind Schlüssel, die auf der Basis eines PIN-Codes hergestellt werden. Die Länge eines PIN-Codes kann zwischen 1 und 16 Byte betragen. Heute nutzt die Mehrzahl der Geräte einen 4-Byte-Code.

Zunächst generiert sich auf der Grundlage eines PIN-Codes ein 16-Byte-Link-Key nach dem Algorithmus E2. Anschließend berechnet sich auf Grundlage des Link-Key nach dem Algorithmus E3 der Encryption-Key. Der erste Schlüssel wird für die Authentifizierung genutzt, der zweite für die Chiffrierung:

Abb.3

Die Authentifizierung erfolgt nach folgendem Schema:

  1. Das Gerät, das die Verbindung initiiert, schickt zunächst seine Adresse (BD_ADDR). Diese 48-Bit-Adresse ist einmalig, wie die MAC-Adresse einer Netzkarte. Nach dieser Adresse kann der Gerätehersteller bestimmt werden.
  2. Als Antwort wird eine zufällige 128er-Folge AU_RAND (Challenge) gesendet.
  3. Auf Basis von BD_ADDR, Link-Key und AU_RAND generieren beide Geräte die Chiffrenfolge SPES.
  4. Das Gerät, das die Verbindung angefragt hat, schickt seine SPES.
  5. 5. Das angesprochene Gerät vergleicht die erhaltene SPES mit der eigenen, bei Übereinstimmung wird die Verbindung aufgebaut.

Abb.4

Obwohl der PIN-Code nicht offen übertragen wird, kann er – ausgehend von den aufgefangenen Daten wie BD_ADDR, AU_RAND und SPES – geknackt werden.

Angriffsarten auf Bluetooth

BlueBug

Die existierenden Schwachstellen gestatten dem Angreifer unautorisierten Zugriff auf Geräte mit eingeschaltetem Bluetooth. Im Idealfall dauert der Angriff nur wenige Sekunden. Sein Aktionsradius wird durch den Aktionsradius der Geräte der Klasse 2 eingeschränkt, der 10 bis 15 Meter beträgt. Um den Radius zu vergrößern, kann aber eine Richtantenne genutzt werden.

Da einige Telefone die Ausführung von AT-Befehlen unterstützen, kann der Angreifer unter anderem folgende Handlungen durchführen:

  • Einen Telefonanruf starten
  • SMS an eine beliebige Nummer senden
  • SMS lesen
  • Daten des Telefonbuchs auslesen und verändern
  • Eine Umleitung von Anrufen einrichten

Blueprinting

Über das so genannte Blueprinting können detaillierte Informationen über entfernte Geräte empfangen werden. Wie bereits erwähnt, besitzt jedes Bluetooth-Gerät eine einzigartige Bluetooth-Adresse. Diese Adresse besteht aus 6 Byte und wird gewöhnlich – ähnlich der MAC-Adresse – im Format MM:MM:MM:XX:XX:XX dargestellt. Die ersten 3 Byte, die als M gekennzeichnet sind, enthalten Informationen über den Hersteller des Mikroschemas. Leider sind die übrigen 3 Byte nicht so klar definiert, so dass das Gerätemodell nicht eindeutig bestimmt werden kann.

Jedes Bluetooth-Gerät bietet aber zusätzliche Dienste. Welche das sind, kann man über das SDP (Service Discovery Protocol) erfahren: Kennt man die Dienste, kann meist auch das Gerätemodell bestimmt werden.

BlueSmack

Als BlueSmack werden DoS-Attacken bezeichnet, die über bestimmte Utilities von Linux BlueZ ausgeführt werden. Diese Angriffe gleichen den bekannten Attacken auf ältere Versionen von Windows. Auf der Grundlage des L2CAP kann man eine Anfrage an ein anderes Bluetooth-Gerät schicken. Wie beim ICMP-Ping ist das Ziel einer solchen Anfrage, die Verbindung und die Antwortzeit der hergestellten Verbindung zu prüfen. Mit dem Utility 12 Ping des Distributiv-BlueZ kann der Nutzer die Größe der zu sendenden Pakete festlegen. Um den gewünschten Effekt der DoS-Attacke zu erhalten ist es notwendig, über die Option –s einen Umfang von etwa 600 Byte zu bestimmen.

BlueSnarf

Die wahrscheinlich bekannteste Bluetooth-Attacke ist BlueSnarf. Der Angreifer nutzt OBEX Push Profile (OPP), das dem Austausch digitaler Visitenkarten und anderer Objekte dient. In den meisten Fällen fordert dieser Dienst keine Authentifizierung. Bei BlueSnarf wird eine OBEX-GET-Anfrage nach bekannten Dateinamen durchgeführt, etwa telecom/pb.vcf (Adressbuch) oder telecom/cal.vcs (Kalender). Ist die Firmware nicht aktualisiert, kann der Angreifer Zugang zu allen Dateien erhalten.

BlueSnarf++

BlueSnarf++ ist dem herkömmlichen BlueSnarf sehr ähnlich. Der Hauptunterschied besteht darin, dass der Angreifer Zugang zum Filesystem erhält und über OBEX Push Profile auch Lesen und Schreiben kann. Ist auf dem Gerät der OBEX-FTP-Server gestartet, kann man sich über OBEX Push Service ohne Einrichten eines sicheren Kanals (Pairing) verbinden lassen. Der Angreifer kann den Inhalt des Filesystems (über das Kommando 1s) ansehen oder Dateien (Befehl gm) löschen. Zudem sind Aktionen auf beliebigen Speichermedien möglich, darunter auch Erweiterungskarten, Memory-Sticks oder SD-Cards.

HelloMoto

Bei HelloMoto kommt eine Kombination von BlueSnarf und BlueBug zum Einsatz. Er nutzt die fehlerhafte Funktion Trusted Device bei Motorola-Telefonen. Der Angreifer initiiert die Verbindung über OBEX Push Profile, indem er die Sendung einer vCard simuliert. Dann erfolgt der Sende-Abbruch, nach dem das Gerät des Angreifers in der Liste bekannter Geräte auf dem Telefon des Angegriffenen verbleibt. Dank des Eintrags in dieser Liste hat der Angreifer die Möglichkeit einer Verbindung mit Headset Profile ohne Authentifizierung. Nach Aufbau der Verbindung kann der Angreifer mit AT-Befehlen das Gerät steuern.

BlueBump

Diese Angriffsart erfordert vom Angreifer den Einsatz von Social–Engineering-Methoden, um eine Beziehung zwischen Angreifer und Opfer aufzubauen. Dies kann durch das Senden von digitalen Visitenkarten erreicht werden, um den Angegriffenen zu zwingen, eine Authentifizierung durchzuführen. Der Angreifer hält die sichere Verbindung und fordert das Opfer auf, den Link-Key zur Authentifizierung des Angreifers zu löschen. Das Opfer ahnt nicht, dass die Verbindung noch offen ist, in diesem Moment setzt der Angreifer einen Request zur Erzeugung eines neuen Schlüssels. Anschließend erhält der Angreifer einen neuen Eintrag ohne Authentfizierung und hat Zugang zum Gerät, solange der Schlüssel nicht gelöscht wird.

BlueDump

Bei einem Angriff auf BlueDump muss der Angreifer die BDADDR Paired der Geräte kennen. Der Angreifer ändert die Adresse eines der Geräte und verbindet sich in dessen Namen mit den anderen. Er besitzt aber keinen Authentifizierungs-Schlüssel und auf die Frage des Opfers nach Authentifizierung antwortet er daher mit ‚HCI_Link_Key_Request_Negative_Reply“. Teilweise führt das dazu, dass das Opfer den eigenen Authentifizierungs-Schlüssel löscht und den Pairing-Modus installiert.

BlueChop

Eine BlueChop-Attacke ist auf die Zerstörung des Piconets eines Geräts ausgerichtet. Diese Art von Angriff basiert darauf, dass das Master-Gerät einige Verbindungen zur Bildung verteilter Netze (Scatternet) unterstützt. Der Angreifer tauscht die Adresse des Geräts aus dem Piconet aus und verbindet sich mit dem Master, was zur Zerstörung des Piconets führt.

Der Weihnachts-Test

Vor Weihnachten verbringen die Menschen auf der Suche nach Geschenken viel Zeit in den Geschäften. Ein idealer Zeitpunkt, um eine Untersuchung durchzuführen: Wie viele unterschiedliche Bluetooth-Geräte im offenen Betrieb kann man an öffentlichen Plätzen im offenen Betrieb entdecken? Und: Welcher Teil dieser Geräte bietet eine Schwachstelle?

Ein Notebook mit Bluetooth-Adapter in der Tasche ging ich mich mit einem Freund in einige Geschäfte.Für den Spaziergang nutzten wir:

  1. Notebook Sony Vaio FXA 53.
  2. SuSE 10.0 OSS
  3. PCMCIA-Bluetooth-Adapter
  4. Btscanner 2.1

Bluetooth-Geräte können im Discoverable oder Non-Discoverable-Modus arbeiten. Das Abtasten von Non-Discoverable-Geräten ist mit der Bruteforce-Methode möglich, die wir allerdings nicht anwenden wollten. Daher tasteten wir nur offene Discoverable-Geräte ab:

Abb.5

Insgesamt wurden 194 Geräte gefunden, vor allem Handys. Im folgenden Schema ist ihre Verteilung nach Herstellern dargestellt. Die Führenden sind Nokia und Sony-Ericsson – ein Ergebnis, das auch durch andere Untersuchungen bestätigt wird.

Abb.6

Abb.7

Die Geräte dieser Hersteller sind die populärsten, gleichzeitig sind sie aber auch für die bekanntesten Bluetooth-Attacken anfällig. Der Btscanner erkannte, dass 30 Prozent aller abgetasteten Geräte bereits Snarf-Attacken ausgesetzt waren:

Abb.8

Darüber hinaus hat ein Viertel der Gerätebesitzer schon Daten empfangen, die aus größerer Entfernung gesendet wurden – ein erschreckendes Bild, denn die Mehrzahl der Nutzer macht sich offensichtlich absolut keine Gedanken über die Sicherheit ihrer mobilen Geräte. Erst wenn sie zum Opfer eines bösen Scherzes oder einer Betrügerei werden, beginnen sie, über die Ernsthaftigkeit des Problems nachzudenken. Mit der Zeit kann das allerdings gefährlich werden, denn schon jetzt existieren Autos mit Bluetooth-Anschluss und man kann sich vorstellen, dass das Eindringen in den Bordcomputer eines Autos Lebensgefahr für Passagiere und Passanten bedeuten kann.

Zudem führt natürlich die Schutzlosigkeit mobiler Geräte zu einer enormen Verbreitung von Malware.

Schutzmaßnahmen

Es gibt drei Schutzmaßnahmen, die jeder schnell ergreifen kann:

  1. Ausschalten des Discoverable-Modus
  2. Einschalten der Authentifizierung auf Grundlage der PIN-Schlüssel
  3. Antiviren-Software

Führende Antiviren-Unternehmen bringen bereits Produkte für mobile Geräte auf den Markt. Auch Kaspersky Lab bietet mit Kaspersky Mobile für Symbian und Kaspersky Security für PDA zwei spezielle Programme.

Zusätzliche Software (Blooover, Blooover II, BT Audit)

Das Programm Blooover ist eine kostenlose, Java-basierte Anwendung. Für seine Nutzung muss das Telefon J2ME MIDP 2.0 VM c JSR-82 API unterstützen. Diese Forderung erfüllen unter anderem die Modelle Nokia 6600, Nokia 7610, Sony Ericsson P900 und Siemens S65. Blooover prüft das Gerät auf Schwachstellen, die für einzelne Angriffe offen stehen. Einer großen Öffentlichkeit wurde Blooover erstmals im Dezember 2004 vorgestellt, seitdem wurde das Programm 150.000 Mal herunter geladen. Im Dezember 2005 erschien der Nachfolger Blooover II, mit dem die Suche nach weiteren neuen Angriffen möglich wurde. Ein anderes nützliches Programm ist BT Audit, das offene RFCOMM-Kanäle und L2CAP PSM abtastet und über deren Zustand informiert.

Bibliographie:

  1. Homepage der Trifinite-Gruppe: www.trifinite.org
  2. Homepage von Shmoo: www.shmoo.com
  3. Homepage der Bluetooth-SIG: www.Bluetooth.org
  4. Homepage des Projekts Linux BlueZ: www.bluez.org

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.