Bluetooth - безопасность зависит от настройки

Технология Bluetooth открывает широкие возможности для самых раз­нообразных приложений и, по мнению экспертов, имеет хорошие ры­ночные перспективы. Вместе с тем, многочисленные публикации и ре­зультаты тестирования порождают немало вопросов к безопасности и сохранности конфиденциальной информации, передаваемой между различными Bluetooth-гарнитурами. Тем не менее, обеспечить прием­лемый уровень защиты в наших силах.

     Как показывают исследования, чаще всего риску быть украденны­ми или потерянными подвергаются именно те мобильные устройства, которые оснащены Bluetooth. Поте­ря или кража устройства с этим мо­дулем открывает широкие возмож­ности для доступа к конфиденци­альным данным и сервисам пользо­вателя.

     Эксперты по ИТ-безопасности без работы не останутся. Гарниту­ры Bluetooth - это привлекатель­ный дизайн, удобство и простота в использовании, а также элемент престижа. Bluetooth - не только перспективная в будущем, но акту­альная уже сейчас технология, от­мечают специалисты. Если обра­тить внимание на окружающих, стоя в обычной московской пробке, то сразу бросается в глаза большое количество людей, говорящих по телефону, используя гарнитуру. И примерно в 30-40 % случаев это будут Bluetooth-гарнитуры. Эта технология удобна не только для передачи голосового трафика. Вы­ход в Интернет через сотовый теле­фон с КПК или ноутбука становит­ся куда более удобным и прият­ным, когда не нужно следить за со­стоянием инфракрасного соедине­ния или быть стесненным прово­дом, соединяющим два устройства. Вместе с тем, они продолжают оставаться сложными техническими устройствами.

Широкие полномочия

    Большинство моделей Bluetooth-гарнитур предоставляют своему вла­дельцу широкие полномочия. Поль­зователи могут изменять режимы защиты и устанавливать свои собст­венные соединения. Однако меры безопасности по технологии Blue­tooth могут защитить соединения только при условии правильной на­стройки и пользования сервисами. И это единственный способ уберечь персональные данные и свою кон­фиденциальную информацию от попадания в «плохие руки».
     Если говорить о безопасности информации, хранящейся в памя­ти различных Bluetooth-аппаратов, то здесь ситуация оставляет желать лучшего. Недавно в одном людном месте сотрудники ZOOM.CNews специально запустили на ноутбуке поиск активных устройств. На за­прос откликнулось три телефона и четыре КПК. В ходе дальнейших манипуляций выяснилось, что на трех из четырех компьютеров был открыт доступ к файлам и серви­сам, доступным этим устройствам, и только один телефон из трех за­просил пароль при подключении. Это свидетельствует о том, что очень многие пренебрегают без­опасностью Bluetooth-устройств или считают вероятность кражи информации таким способом пре­небрежительно малой, что, без со­мнения, является следствием пло­хой информированности об акту­альности проблемы.
     Система безопасности этих гар­нитур базируется исключительно на опознании других устройств и не предполагает никаких специ­альных средств защиты от злона­меренного пользователя, работаю­щего с опознанным устройством. То есть, если Bluetooth опознал, к примеру, мобильный телефон,
то гарнитура остается открытым банком данных для пользователя этого «мобильника».

Слабое звено

     Технология «синего зуба» созда­на таким образом, что наиболее сла­бым звеном в цепи ее безопасного использования продолжает оста­ваться именно пользователь. При­чина - сочетание мобильности и ог­раниченного административного контроля.
     Хакер может использовать поте­рянную или украденную Bluetooth-гарнитуру так, как будто он и есть ее законный владелец. Это означа­ет, что такая гарнитура имеет до­ступ к тем же сервисам и устройст­вам, с которыми она раньше взаи­модействовала. Аналитики полага­ют, что пока не будет создан способ защиты, гарантирующий невоз­можность доступа «под маской за­конного владельца»,
- воровство этих гарнитур, скорее всего, оста­нется популярным занятием.

 Простота - хуже воровства

     Мобильные телефоны, осна­щенные системой Bluetooth, - это прекрасный пример того, как вся тяжесть безопасного применения устройства ложится на плечи поль­зователя вне зависимости от его желания и квалификации.

На границе свободного пользования

  Технология Bluetooth разрабо­тана для удобства и расширения степеней свобод пользователя, но покупающим Bluetooth-про­дукты может не понравиться про­цесс обеспечения безопасности.
  Подчас, например, надоедает слишком часто применять PIN-код и другие идентификационные ме­ханизмы. Тогда эти функции про­сто отключают, по крайней мере, именно так утверждают аналитики Gartner. В случае с Bluetooth это означает, что ради простоты пользо­ватели склонны применять спарен­ные ключи связи, а не более защи­щенные динамичные. Также вмес­то комбинаторных ключей они вы­бирают модульные. Эксперты по­лагают, что многие в погоне за комфортом вообще станут пользо­ваться режимом безопасности № 1 (см. врезку) и отключат все защит­ные функции.


Безопасность Bluetooth: опознание, разрешение, кодировка.

Спецификация Bluetooth имеет три основных защитных режима, которые могут использовать­ся как по отдельности, так и в различных комбинациях.


В режиме 1 никаких мер для безопасного использования Bluetooth-устройства не предпри­нимается. Любое другое устройство имеет доступ к его данным.

В защитном режиме 2 акти­визируются меры безопасности, основанные на процессах опознания (или аутентификации - authentication) и разрешения (или авторизации - authorization). В этом режиме определяют­ся различные уровни «доверия» (trust) для каждой услуги, предложенной устройством.

За­щитный режим 3 требует опознания и кодировки (или шифрования - encryption).

Таким образом, защита Bluetooth базируется на трех основных процессах: опознание, разре­шение и кодировка.

Главная задача процесса опознания (аутентификации) состоит в том, чтобы проверить,

дей­ствительно ли устройство, инициирующее сеанс связи, именно то, за которое себя выдает. Ус­тройство А, инициирующее связь, посылает устройству Б свой 48-битный адрес-идентифика­тор (так называемый Bluetooth device address, BD_ADDR), которое, в свою очередь, отправля­ет устройству А вызов, основанный на любом 128-битном числе.

В это время оба устройства рассчитывают опознавательный ответ (в качестве аналога можно привести расчет контрольных сумм, используемый в интернет-протоколах передачи данных).
В основе этого опознавательного ответа лежит адрес устройства А, вызов с произвольным но­мером, посланный устройством Б, и предварительно установленный ключ связи. Затем устрой­ство А передаст свой опознавательный ответ и устройство Б сравнит его со своими собствен­ными расчетами. Если опознавательные ответы не совпадут, то в установлении связи будет от­казано. Если сеанс опознания завершен успешно, устройство Б генерирует новый произволь­ный номер для следующего сеанса опознания.

Разрешение (авторизация) - это процесс, посредством которого опознанное устройство Bluetooth определяет, разрешить или нет доступ к определенной информации и услугам. Су­ществуют три уровня доверия между Bluetooth-устройствами: проверенный (trusted), недо­верчивый (non-trusted) и неизвестный (unknown). Если устройство А имеет «доверительные» (проверенные) отношения с устройством Б, то последнему разрешается неограниченный до­ступ к устройству А. Если устройству  Б «не доверяют», то доступ к устройству А ограничен так называемыми защитными слоями обслуживания (layer security service). Например, первый за­щитный слой требует опознания и разрешения для открытия доступа к сервису, второй-толь­ко опознания, третий - только кодировки. Наконец, неизвестное устройство, которое не было опознано, считается непроверенным.

128-битная кодировка помогает защитить секретные данные от просмотра нежелательными посетителями. Только адресат с личным расшифровывающим ключом (decryption key) имеет доступ к этим данным.

Расшифровывающий ключ устройства основан на ключе связи. Это упрощает процесс генера­ции ключа, так как отправитель и адресат обладают общей секретной информацией, которая расшифрует код.

Служба Bluetooth-кодировки имеет три режима: режим 1, в котором нет кодировки; режим 2, в котором кодируется связь с устройствами, а трансляции трафика нет; в режиме 3 кодируют­ся все виды связи.

     В то же время мобильные теле­фоны и их хозяева, как правило, не попадают в сферу контроля кор­поративных ИТ-служб. В резуль­тате - неосторожные пользователи Bluetooth-гарнитур и «мобильни­ков» с такими возможностями должны сами решать все проблемы по обеспечению безопасности сво­их устройств.

Проверь наличие защиты

   Если телефон, оснащенный Bluetooth-входом, неправильно настроен, то хакеру не составит осо­бого труда позвонить с этого теле­фона, выйти в Интернет, полу­чить доступ к личным данным, хранящимся в телефоне, и даже установить связь с другими Blue­tooth-устройствами. Чем интен­сивнее взаимодействие мобиль­ных телефонов с корпоративными сетями, тем серьезнее становится необходимость конкретных мер безопасности.
     Производители устройств Blue­tooth - еще один повод для беспо­койства. Так, еще в конце 2002 года компания по компьютерной без­опасности RSA выпустила пред­упреждение о том, что некоторые производители мобильных теле­фонов и КПК продают устройства Bluetooth без защитных функций. Это позволяет любому в пределах радиуса действия получить неогра­ниченный доступ без требования спаренного кода для опознания. Устройства Bluetooth, работаю­щие в защитном режиме № 1, получают неограниченный доступ к любому другому Bluetooth-уст­ройству, с которым они входят в контакт.

Врага надо знать в лицо

     После того как в июне 2003 года появился Redfang, безопасность технологии Bluetooth стала предметом еще более пристального вни­мания. Это был первый хакерский инструмент, изначально нацелен­ный на Bluetooth-устройства, - его разработал Олли Вайтхаус.
     Отметим, что одно из средств обеспечения безопасности техно­логии Bluetooth - это «хитрый» режим, работая в котором, уст­ройство игнорирует любой запра­шивающий сигнал. Игнорируя подобные трансляции, оно сохра­няет свой адрес в секрете и поэто­му связь установить невозможно. Redfang обходит эту защиту по­средством мощной агрессивной атаки для определения «личности» любого Bluetooth-устройства в диа­пазоне атакующего.
     Предположим, Redfang может определить адрес нацеленного Bluetooth-устройства. После этого он передаст page-сообщение и по­пытается установить связь.
     Несмотря на то, что применение Redfang на практике все еще под большим вопросом, он вполне ус­пешно доказал теоретические сла­бости в защите Bluetooth. Этого бы­ло вполне достаточно, чтобы вы­звать новую «волну озабоченности» со стороны профессионалов по обеспечению ИТ-безопасности.

Понять, рекомендовать, реализовать

     Понимание принципа работы Bluetooth и слабых мест этой тех­нологии - первый шаг к разработ­ке и реализации безопасного под­хода в использовании таких уст­ройств. Специалистам по корпо­ративной ИТ-безопасности необ­ходимо оценить, как будет ис­пользоваться Bluetooth и какой потребуется уровень защиты. Только после этого они опреде­лят, что необходимо предпринять для дальнейшей защиты техноло­гии Bluetooth.

   Технология Bluetooth предлага­ет услуги по безопасному соединению, однако некоторым организа­циям этого будет недостаточно. Чтобы предупредить возможный ущерб от действий Bluetooth-зло­умышленников, ИТ-службам компаний можно рекомендовать защи­ту приложений, как одно из перво­очередных мероприятий. Это пред­полагает дополнительные уровни безопасности для Bluetooth-уст­ройств - опознание пользователя, виртуальная частная сеть (VPN), регистрация, тотальная кодировка.

  От ИТ-служб требуется вести строгий контроль и учет устройств Bluetooth. Любое устройство, поль­зующееся модульным ключом, должно быть тщательно задокумен­тировано для организации срочно­го поиска на случай его утраты и оперативного предотвращения использования. Потеря или кража такого устройства откроет нападаю­щему широкий «виртуальный про­ход» к секретным данным и услугам компании.
     Со временем все слабости дан­ной технологии, несомненно, бу­дут вскрыты. Вполне закономерно ожидать, что специальная рабочая группа по Bluetooth (Special Interest Group, SIG) обновит специфика­ции Bluetooth, когда изъяны будут выявлены. Производители, со сво­ей стороны, модернизируют про­дуктовые линейки, учтя все реко­мендации по безопасности.

     Так, еще в 2003 году SIG дала несколько рекомендаций о том, как нужно безопасно использовать технологию Bluetooth. Как уже упоминалось выше, самым сла­бым местом в Bluetooth считается первичное спаривание устройств. SIG рекомендует производить про­цедуру спаривания в знакомой и безопасной среде, что значитель­но уменьшает угрозу подслушива­ния. Кроме того, риск перехвата можно уменьшить, если пользо­ваться длинными паролями, кото­рые усложняют их определение из перехваченных сообщений.

   SIG также рекомендует избегать применения модульных ключей, а вместо них пользоваться комби­наторными. Этот шаг уменьшит угрозу подслушивания со стороны «проверенного» (trusted) устройст­ва, а также снизит потенциальный ущерб в случае потери или кражи устройства с модульным ключом. Эти рекомендации подчеркивают необходимость принятия эффек­тивных мер безопасности и тре­нинга по безопасности Bluetooth.
   И, наконец, ИТ-специалисты должны ознакомиться с техноло­гией Bluetooth и сформулировать понятную политику безопасности.

Слабости защиты Bluetooth

   Как утверждают производите­ли, защитные функции Bluetooth обеспечивают безопасную коммуникацию на всех связующих уров­нях. Несмотря на это, с точки зре­ния безопасности в этой техноло­гии имеется несколько изъянов.

     Слабости защиты Bluetooth, в ча­стности, вызваны тем, что эта тех­нология делает сильный упор на опознание устройств для безопасно­го обслуживания, а также на кон­троль, которым обладает пользова­тель над устройствами Bluetooth и их конфигурацией. Современная Bluetooth-технология не предлагает никакого средства опознания поль­зователя, что делает Bluetooth-уст­ройства особенно уязвимыми к так называемым spoofing-нападениям (радиодезинформации) и непра­вильному применению опознавательных устройств.
    Особенно слабым аспектом Bluetooth является процесс «спари­вания» (pairing) устройств, при ко­тором происходит обмен ключами в незакодированных каналах. Если нападающий перехватит передачу процесса спаривания, то он смо­жет получить ключ инициализа­ции путем калькуляции этих клю­чей для любого возможного варианта пароля и сравнения результа­тов с перехваченной передачей. Ключ инициализации использует­ся для расчета ключа связи. Рас­считанный хакером ключ связи сравнивается с перехваченной пе­редачей с целью узнать, верен он или нет.
       Также причиной уязвимости является возможность использова­ния коротких, а также зауряд­ных/распространенных паролей (ситуация аналогична использова­нию простых паролей системными администраторами компьютерных сетей). Такие пароли значительно упрощают инициализацию. Имен­но это делает ключи связи очень простыми для извлечения из пере­хваченных спаринговых передач.
       Другой повод для беспокойст­ва - применение модульных клю­чей. Риск состоит в том, что уст­ройство с модульным ключом ис­пользует тот же самый ключ связи для устройств, которые устанавли­вают с ним связь. В результате, лю­бое устройство с модульным клю­чом может использовать его для подслушивания на безопасных со­единениях, где применяется такой же ключ связи. Получается, что при использовании модульных ключей не существует никакой защиты от проверенных устройств, то есть тех, с которыми связь уже была ус­тановлена ранее. Система безопас­ности Bluetooth не принимает во внимание личность или намерения пользователя. Но, что касается без­опасности соединения Bluetooth, - любое устройство с личным клю­чом связи безопасно.

  Очередная «черная дыра»

    Одним из показательных при­меров борьбы с «дырами» в системе безопасности Bluetooth служит пример обнаружения серьезных недостатков в телефонах, исполь­зующих технологию Bluetooth. Это подтолкнуло одного из производителей «уязвимых телефо­нов» - компанию Nokia - принять предупредительные меры.
   «Мы придумали устройство, позволяющее связаться с любым телефоном с использованием тех­нологии Bluetooth и загрузить с этого телефона любую конфи­денциальную информацию - ад­ресную книжку, календарь, а также другие приложения, - говорит Адам Лори, технический директор и совладелец лондонской компа­нии A. L. Digital. - Фактически, мы умудряемся получать эту конфи­денциальную информацию таким образом, что владелец телефона даже не подозревает, что кто-то вторгается в его телефон».