Безопасность Bluetooth по NIST
В настоящее время Bluetooth переживает возрождение. Этому способствует развитие IoT, отсутствие выхода под наушники в современных смартфонах, а также популярные bluetooth-колонки, беспроводные мыши /клавиатуры, гарнитуры и прочее. Мы решили посмотреть, какие рекомендации по безопасности представлены в стандарте NIST для Bluetooth.
Почему «синий зуб»? Название Bluetooth появилось от прозвища короля викингов Харальда I Синезубого, который правил в X веке Данией и частью Норвегии. За время своего правления он объединил враждовавшие датские племена в единое королевство. По аналогии Bluetooth тоже объединяет, только не земли, а протоколы связи.
Первая спецификация Bluetooth была разработана группой Bluetooth Special Interest Group (Bluetooth SIG) в 1998 году и опубликована как часть стандарта IEEE 802.15.1 14 июня 2002 года.
В настоящее время существуют следующие спецификации:
Функции безопасности Bluetooth
Методы спаривания устройств
Использование NFC между наушниками и сопрягаемым устройством.
В зависимости от типа Bluetooth устройства стандарт предполагает различные режимы безопасности (Security Mode).
NIST, что логично, во всех своих спецификациях рекомендует для такого класса устройств использовать именно Security Mode 4 Level 4.
Подробно механизмы генерации ключей, спаривания устройств, аутентификации, и т.д. выходят за рамки статьи. При желании можно ознакомиться с ними в самом гайде.
Bluetooth Low Energy
Low energy Security Mode 1 – режим безопасности, который можно ассоциировать со словом “шифрование”. Имеет несколько уровней:
Виды атак на Bluetooth
Как показывают исследования, чаще всего риску быть украденными или потерянными подвергаются именно те мобильные устройства, которые оснащены bluetooth.
Потеря или кража устройства с этим модулем открывает широкие возможности для доступа к конфиденциальным данным и сервисам пользователя.
Эксперты по без работы не останутся
Большинство моделей предоставляют своему владельцу широкие полномочия. Пользователи могут изменять режимы защиты и устанавливать свои собственные соединения. Однако меры безопасности по технологии bluetooth могут защитить соединения только при условии правильной настройки и пользования сервисами. И это единственный способ уберечь персональные данные и свою конфиденциальную информацию от попадания в «плохие руки».
Система безопасности этих гарнитур базируется исключительно на опознании других устройств и не предполагает никаких специальных средств защиты от злонамеренного пользователя, работающего с опознанным устройством. То есть, если bluetooth опознал, к примеру, мобильный телефон, то гарнитура остается открытым банком данных для пользователя этого «мобильника».
Технология «синего зуба» создана таким образом, что наиболее слабым звеном в цепи ее безопасного использования продолжает оставаться именно пользователь. Причина сочетание мобильности и ограниченного административного контроля.
Хакер может использовать потерянную или украденную так, как будто он и есть ее законный владелец. Это означает, что такая гарнитура имеет доступ к тем же сервисам и устройствам, с которыми она раньше взаимодействовала. Аналитики полагают, что пока не будет создан способ защиты, гарантирующий невозможность доступа «под маской законного владельца», воровство этих гарнитур, скорее всего, останется популярным занятием.
Простота хуже воровства
Мобильные телефоны, оснащенные системой bluetooth, это прекрасный пример того, как вся тяжесть безопасного применения устройства ложится на плечи пользователя вне зависимости от его желания и квалификации.
На границе свободного пользования
Технология bluetooth разработана для удобства и расширения степеней свобод пользователя, но покупающим может не понравиться процесс обеспечения безопасности.
Подчас, например, надоедает слишком часто применять и другие идентификационные механизмы. Тогда эти функции просто отключают, по крайней мере, именно так утверждают аналитики Gartner. В случае с bluetooth это означает, что ради простоты пользователи склонны применять спаренные ключи связи, а не более защищенные динамичные. Также, вместо комбинаторных ключей они выбирают модульные. Эксперты полагают, что многие в погоне за комфортом вообще станут пользоваться режимом безопасности №1 (см. врезку) и отключат все защитные функции.
Проверь наличие защиты
Безопасность bluetooth: опознание, разрешение, кодировка
Спецификация bluetooth имеет три основных защитных режима (1,2 и 3 подробнее см. ниже), которые могут использоваться как по отдельности, так и в различных комбинациях.
В режиме 1 никаких мер для безопасного использования не предпринимается. Любое другое устройство имеет доступ к его данным. В защитном режиме 2 активируются меры безопасности, основанные на процессах опознания (или аутентификации authentication) и разрешения (или авторизации authorization). В этом режиме определяются различные уровни «доверия» (trust) для каждой услуги, предложенной устройством. Защитный режим 3 требует опознания и кодировки (или шифрования encryption).
Таким образом, защита bluetooth базируется на трех основных процессах: опознание, разрешение и кодировка.
Главная задача процесса опознания (аутентификации) состоит в том, чтобы проверить, действительно ли устройство, инициирующее сеанс связи, именно то, за которое себя выдает. Устройство А, инициирующее связь, посылает устройству Б свой 48-битный (так называемый bluetooth device address, BD_ADDR), которое, в свою очередь, отправляет устройству А вызов, основанный на любом 128-битном числе.
В это время оба устройства рассчитывают опознавательный ответ (в качестве аналога можно привести расчет контрольных сумм, используемый в передачи данных). В основе этого опознавательного ответа лежит адрес устройства А, вызов с произвольным номером, посланный устройством Б, и предварительно установленный ключ связи. Затем устройство А передаст свой опознавательный ответ и устройство Б сравнит его со своими собственными расчетами. Если опознавательные ответы не совпадут, то в установлении связи будет отказано. Если сеанс опознания завершен успешно, устройство Б генерирует новый произвольный номер для следующего сеанса опознания.
Разрешение (авторизация) это процесс, посредством которого опознанное устройство bluetooth определяет, разрешить или нет доступ к определенной информации и услугам. Существуют три уровня доверия между : проверенный (trusted), недоверчивый () и неизвестный (unknown). Если устройство А имеет «доверительные» (проверенные) отношения с устройством Б, то последнему разрешается неограниченный доступ к устройству А. Если устройству Б «не доверяют», то доступ к устройству А ограничен так называемыми защитными слоями обслуживания (layer security service). Например, первый защитный слой требует опознания и разрешения для открытия доступа к сервису, второй только опознания, третий только кодировки. Наконец, неизвестное устройство, которое не было опознано, считается непроверенным.
128-битная кодировка помогает защитить секретные данные от просмотра нежелательными посетителями. Только адресат с личным расшифровывающим ключом (decryption key) имеет доступ к этим данным.
Расшифровывающий ключ устройства основан на ключе связи. Это упрощает процесс генерации ключа, так как отправитель и адресат обладают общей секретной информацией, которая расшифрует код.
Служба имеет три режима: режим 1, в котором нет кодировки; режим 2, в котором кодируется связь с устройствами, а трансляции трафика нет; в режиме 3 кодируются все виды связи.
Врага надо знать в лицо
Отметим, что одно из средств обеспечения безопасности технологии bluetooth это «хитрый» режим, работая в котором, устройство игнорирует любой запрашивающий сигнал. Игнорируя подобные трансляции, оно сохраняет свой адрес в секрете и поэтому связь установить невозможно. Redfang обходит эту защиту посредством мощной агрессивной атаки для определения «личности» любого в диапазоне атакующего.
Понять, рекомендовать, реализовать
Понимание принципа работы bluetooth и слабых мест этой технологии первый шаг к разработке и реализации безопасного подхода в использовании таких устройств. Специалистам по корпоративной необходимо оценить, как будет использоваться bluetooth и какой потребуется уровень защиты. Только после этого они определят, что необходимо предпринять для дальнейшей защиты технологии bluetooth.
От требуется вести строгий контроль и учет устройств bluetooth. Любое устройство, пользующееся модульным ключом, должно быть тщательно задокументировано для организации срочного поиска на случай его утраты и оперативного предотвращения использования. Потеря или кража такого устройства откроет нападающему широкий «виртуальный проход» к секретным данным и услугам компании.
Со временем, все слабости данной технологии, несомненно, будут вскрыты. Вполне закономерно ожидать, что специальная рабочая группа по bluetooth (Special Interest Group, SIG) обновит спецификации bluetooth, когда изъяны будут выявлены. Производители, со своей стороны, модернизируют продуктовые линейки, учтя все рекомендации по безопасности.
Так, еще в 2003 г. SIG дала несколько рекомендаций о том, как нужно безопасно использовать технологию bluetooth. Как уже упоминалось выше, самым слабым местом в bluetooth считается первичное спаривание устройств. SIG рекомендует производить процедуру спаривания в знакомой и безопасной среде, что значительно уменьшает угрозу подслушивания. Кроме того, риск перехвата можно уменьшить, если пользоваться длинными паролями, которые усложняют их определение из перехваченных сообщений.
SIG также рекомендует избегать применения модульных ключей, а вместо них пользоваться комбинаторными. Этот шаг уменьшит угрозу подслушивания со стороны «проверенного» (trusted) устройства, а также снизит потенциальный ущерб в случае потери или кражи устройства с модульным ключом. Эти рекомендации подчеркивают необходимость принятия эффективных мер безопасности и тренинга по безопасности bluetooth.
И, наконец, должны ознакомиться с технологией bluetooth и сформулировать понятную политику безопасности.
Слабости защиты bluetooth
Как утверждают производители, защитные функции bluetooth обеспечивают безопасную коммуникацию на всех связующих уровнях. Несмотря на это, с точки зрения безопасности, в этой технологии имеется несколько изъянов.
Слабости защиты bluetooth, в частности, вызваны тем, что эта технология делает сильный упор на опознание устройств для безопасного обслуживания, а также на контроль, которым обладает пользователь над устройствами bluetooth и их конфигурацией. Современная не предлагает никакого средства опознания пользователя, что делает особенно уязвимыми к так называемым (радиодезинформации) и неправильному применению опознавательных устройств.
Особенно слабым аспектом bluetooth является процесс «спаривания» (pairing) устройств, при котором происходит обмен ключами в незакодированных каналах. Если нападающий перехватит передачу процесса спаривания, то он сможет получить ключ инициализации путем калькуляции этих ключей для любого возможного варианта пароля и сравнения результатов с перехваченной передачей. Ключ инициализации используется для расчета ключа связи. Рассчитанный хакером ключ связи сравнивается с перехваченной передачей с целью узнать, верен он или нет.
Также причиной уязвимости является возможность использования коротких, а также заурядных/распространенных паролей (ситуация аналогична использованию простых паролей системными администраторами компьютерных сетей). Такие пароли значительно упрощают инициализацию. Именно это делает ключи связи очень простыми для извлечения из перехваченных спаринговых передач.
Другой повод для беспокойства применение модульных ключей. Риск состоит в том, что устройство с модульным ключом использует тот же самый ключ связи для устройств, которые устанавливают с ним связь. В результате, любое устройство с модульным ключом может использовать его для подслушивания на безопасных соединениях, где применяется такой же ключ связи. Получается, что при использовании модульных ключей не существует никакой защиты от проверенных устройств, то есть тех, с которыми связь уже была установлена ранее. Система безопасности bluetooth не принимает во внимание личность или намерения пользователя. Но, что касается безопасности соединения bluetooth, любое устройство с личным ключом связи безопасно.
Очередная «черная дыра»
Одним из показательных примеров борьбы с «дырами» в системе безопасности bluetooth служит пример обнаружения серьезных недостатков в телефонах, использующих технологию bluetooth. Это подтолкнуло одного из производителей «уязвимых телефонов» компанию Nokia принять предупредительные меры.
«Мы придумали устройство, позволяющее связаться с любым телефоном с использованием технологии bluetooth и загрузить с этого телефона любую конфиденциальную информацию адресную книжку, календарь, а также другие приложения, говорит Адам Лори, технический директор и совладелец лондонской компании A. L. Digital. Фактически, мы умудряемся получать эту конфиденциальную информацию таким образом, что владелец телефона даже не подозревает, что вторгается в его телефон».
A. L. Digital обнаружили дефекты в системе защиты в четырех моделях Nokia: 6310, 6310(I), 8910 и 8910(I). Жан Альберг, менеджер компании Nokia по разработке программных средств, подтвердил, что эти модели телефонов действительно уязвимы. Господин Альберг рекомендует пользователям таких телефонов в общественных местах отключать bluetooth.
Итак, когда в очередной раз возникнет желание воспользоваться телефоном, поддерживающим технологию bluetooth, надо помнить, что существуют стандартные уровни защиты, не позволяющие взломщику получить доступ к конфиденциальной информации, адресной книге и «бесплатным» звонкам.
Уязвимость шифрования в различных реализациях Bluetooth
Недостаток в протоколе Bluetooth оставался без внимания более десятилетия, но гром все-таки грянул. Проверьте свои устройства!
Израильские ученые Эли Бихам Лиор и Ньюман обнаружили серьезную криптографическую уязвимость в спецификации стандарта Bluetooth. Брешь позволяет злоумышленнику осуществить атаку «человек посередине» для перехвата и подмены ключей шифрования во время установки соединения между двумя устройствами. Проблема связана с недостаточной проверкой параметров безопасности и затрагивает реализацию протокола в драйверах устройств вендоров таких как Apple, Qualcomm, Intel и Broadcom и многих других.
Уязвимость под номером CVE-2018-5383, о которой объявила Bluetooth SIG, потенциально позволяет злоумышленникам вмешаться в процесс сопряжения двух устройств по Bluetooth.
Изображение digit.in
Как спариваются Bluetooth-устройства
В ходе процесса сопряжения устройства «договариваются» о создании общего закрытого ключа, который будет в дальнейшем использоваться для шифрования данных. Первоначальный обмен данными происходит по незащищенному радио-каналу в рамках протокола elliptic-curve Diffie-Hellman (ECDH).
Во время сопряжения два устройства устанавливают отношения, создавая общий секрет, известный как ключ связи (link key). Если оба устройства хранят один и тот же ключ связи, они называются спаренными или сопряженными. Устройство, которое хочет связываться только с сопряженным устройством, может криптографически аутентифицировать идентификатор другого устройства, гарантируя, что оно является тем же самым устройством, с которым оно ранее сопрягалось. После того, как будет создан ключ связи, связь по коммуникационному протоколу Asynchronous Connection-Less (ACL) между устройствами может быть зашифрована для защиты обменных данных от подслушивания. Пользователь могжет по своему желанию удалять ключи связи с из устройства, которым он владеет, что разрывает сопряжение между устройствами. Поэтому второе устройство из бывшей «пары» устройства может все еще хранить ключ связи для устройства, с которым он больше не сопряжен.
В чем суть уязвимости
Атакующему устройству необходимо перехватить обмен открытыми ключами, заглушить каждую передачу до ее получения принимающей стороной, отправить подтверждение о приеме на отправляющее устройство и затем отправить вредоносный пакет данных на принимающее устройство в узком временном окне.
Однако, если уязвимо лишь одно из связываемых устройств, атака скорее всего потерпит неудачу. Получив ключ атакующий может перехватывать, расшифровывать и вносить изменения в Bluetooth-трафик между двумя уязвимыми устройствами.
Изображение arstechnica.com
Эксплуатация уязвимости представляется достаточно сложной, но вполне реальной, особенно в сочетании с социальной инженерией и низким уровнем квалификации потенциальных жертв. Хакер должен располагаться в достаточно небольшой зоне (несколько метров) уверенного приема Bluetooth-сигнала обоих атакуемых устройств. Тем не менее, в случае успеха, хакер получает самые широкие возможности для вредоносной активности.
Причиной возникновения уязвимости является наличие в спецификации Bluetooth лишь опциональных рекомендаций по проверке открытых ключей при сопряжении устройств в режимах Bluetooth LE Secure Connections и Bluetooth Secure Simple Pairing. В настоящее время группа Bluetooth SIG уже внесла исправления в спецификацию и привела процедуру проверки любых открытых ключей в разряд обязательных, и добавила в сертификационные тесты проверки соблюдения нового требования.
Зона поражения
Уязвимость присутствует в прошивках и драйверах от различных производителей, включая,
но не ограничиваясь такими вендорами как Apple, Broadcom, QUALCOMM и Intel. К счастью для пользователей MacOS, Apple выпустила исправление для ошибки еще 23 июля.
Компания Dell опубликовала новый драйвер для модулей на базе Qualcomm, который она использует, в то время как экстренное обновление от Lenovo предназначено для устройств с модулями от Intel.
LG и Huawei упомянули уязвимость CVE-2018-5383 в своих бюллетенях июльских обновлениях для мобильных устройств.
Пока неизвестно, затронуты ли уязвимостью Android, Google или ядро Linux глобальным образом. Об этом не упоминается в июльском бюллетене Google Android Security Bulletin или более ранних бюллетенях.
Хотя Microsoft заявила, что система Windows не затронута напрямую, Intel опубликовала списки многочисленных беспроводных модулей, чье программное обеспечение для Windows 7, 8.1 и 10, а также для компьютеров на базе Chrome OS и Linux уязвимо.
Уязвимости в Bluetooth: как защититься
Миллиарды устройств с Bluetooth оказались беззащитными по вине BlueBorne. Хакеры пользуются ошибками для незаметных атак на смартфоны, ноутбуки и ПК — и берут их под свой контроль.
В апреле этого года сотрудники компании Armis, специализирующейся на вопросах безопасности, нашли несколько серьезных уязвимостей и ошибок в Bluetooth. Эта технология стандартно применяется во многих сферах для подключения на коротких расстояниях до десяти метров. По данным Bluetooth Special Interest Group, которая занимается дальнейшей разработкой беспроводных стандартов, Bluetooth используют уже более 8,2 млрд устройств. В их число входят смартфоны, планшеты, носимые гаджеты, портативные и все чаще стационарные компьютеры, IoT-устройства («Интернет вещей»), а также системы, используемые в автомобилях и других транспортных средствах. По всей видимости, около пяти миллиардов из них касается проблема BlueBorne, вне зависимости от того, оснащены ли они Android, iOS, Windows, Linux или любой другой системой, совместимой с Bluetooth. И весьма высока вероятность того, что речь в данном случае идет и о ваших устройствах.
Компания Armis не стала сразу же объявлять об обнаруженных недостатках, а уведомила об этом только ключевых производителей аппаратного и программного обеспечения, чтобы у них было время для разработки обновлений безопасности. В частности, компания связалась с Apple, Google, Microsoft, Samsung и разработчиками Linux. Отреагировали не все.
Кража данных и атаки Man-in-the-Middle
Осенью фирма Armis проинформировала и общественность. Для некоторых операционных систем, таких как Windows, уже с сентября доступны обновления, которые, как правило, устанавливаются автоматически. Также Google и Samsung выпустили патчи для некоторых своих продуктов, так что Galaxy А5, S5, S6 Duo, S7 и Note 8 уже получили обновления. Компания Apple уже закрыла уязвимости с iOS 10.0.
Только актуальные модели смартфонов и планшетов с Android, такие как Samsung Galaxy Note 8, получат патчи против уязвимостей BlueBorne. Владельцы более старых гаджетов могут воспользоваться приложением, поняв, затрагивает ли проблема их оборудование
Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.
Рекомендации по обеспечению безопасности Bluetooth: используйте скрытый режим
Беспроводное подключение — это сочетание удобства и безопасности. Устройства Bluetooth, такие как беспроводные гарнитуры, динамики и микрофоны, позволяют легко принимать звонки в режиме громкой связи во время вождения или свободно перемещаться, слушая любимую музыку, а также в других случаях использования.
Однако использование этих устройств представляет собой компромисс с точки зрения безопасности. Открытые соединения Bluetooth могут быть использованы злоумышленниками. К счастью, есть шаги, которые вы можете предпринять, чтобы ограничить подверженность этим рискам.
Угрозы безопасности Bluetooth
Риски безопасности Bluetooth в последние годы выросли и разнообразились, и преступники становятся все более изобретательными. Вот некоторые из наиболее заметных недавних угроз, которых следует избегать.
Воры ищут оборудование для кражи
В ноябре 2019 года WIRED сообщил о новой тенденции, сочетающей высокотехнологичное слежение со старомодным взломом: преступники могут использовать законные сканеры Bluetooth, которые иногда удивительно просты в использовании, для определения целевых автомобилей. Ведь если в автомобиле есть включенный сигнал Bluetooth, значит, разбив окно, злоумышленник сможет чем-то поживиться.
Информационные кражи
Иногда данные более ценны, чем оборудование. Уязвимости в системе безопасности Bluetooth также могут сделать возможными целевые атаки для более технологически изощренных мошенников. В августе 2019 года со ссылкой на исследование, опубликованное ассоциацией USENIX, Ars Technica сообщила об одном таком возможном маневре. Этот эксплойт, известный как согласование ключей Bluetooth (KNOB), позволяет перехватывать данные, в том числе нажатия клавиш, адресные книги и многое другое, когда они передаются между устройствами.
Доставка вредоносного ПО
Рекомендации по снижению риска безопасности Bluetooth
В дополнение к обновлению ваших устройств с помощью регулярных исправлений и обновлений, есть несколько важных действий, которые вы можете предпринять, как указано Агентством кибербезопасности и безопасности инфраструктуры, чтобы снизить свой профиль риска безопасности Bluetooth.
Выключайте Bluetooth, когда вы им не пользуетесь
Отключение соединения Bluetooth, когда оно не используется, — это самая важная вещь, которую вы можете сделать, чтобы предотвратить обнаружение маяками Bluetooth посторонними лицами, доступ к вашей информации или нарушение работы вашей системы.
Пока он включен, используйте скрытый режим для Bluetooth.
Скрытый режим, также известный как режим без обнаружения, является предпочтительным способом использования связи Bluetooth. Вот пошаговые инструкции по использованию этой функции, которая более безопасна, чем использование Bluetooth в режиме обнаружения:
Теперь ваши сопряженные устройства должны иметь возможность подключаться без использования режима обнаружения. Не забывайте периодически проверять настройки Bluetooth вашего устройства, чтобы обновлять разрешения или отключать устройства Bluetooth, которые вы больше не используете.
