Bluetoothsikkerhed

Hvad er Bluetooth?

Bluetooth (navngivet efter Harald Blåtand) er en teknologi udviklet særligt til brug ved trådløs kommunikation mellem elektroniske apparater, som er adskilte af relativt små afstande (typisk op til nogle få meter). Den grundlæggende motivation for dette er, at man kan undgå brug af kabler til at sammenkoble udstyr med, især når der er tale om mobilt udstyr, som skal kunne flyttes fra sted til sted.

Typiske eksempler på apparater, som benytter Bluetooth, er mobile telefoner, PDA'er, bærbare og stationære computere, medicinsk apparatur, samt alt udstyr som kunne tilsluttes disse, såsom hovedtelefoner, mikrofoner, muse, printere, sensorer og så videre.

Bluetoothapparater kommunikerer med hinanden ved en række radiofrekvenser omkring 2,4GHz, inden for det såkaldte ISM (Industrial, Scientific and Medical) bånd. Dette bånd anvendes i øvrigt af meget udstyr til trådløse LAN (WiFi-udstyr), af mikrobølgeovne og til mange andre formål.

Eftersom Bluetoothapparater kun skal kommunikere over små afstande, er sendeeffekten typisk meget beskeden. I virkelighed er der tre klasser af Bluetoothapparat, med forskellig rækkevidde for deres transmissioner:

Klasse Effekt (mW) Rækkevidde (m)

1 100 100

2 2.5 10

3 1 0.1-10

Klasse	Effekt (mW)	Rækkevidde (m)
1	100	100
2	2.5	10
3	1	0.1-10

De fleste apparater som benytter Bluetoothteknologi er udstyret med en ikke-retningsbestemt antenne, som bruges både til at sende og til at modtage radiosignaler. Den umiddelbare virkning af dette er, at en hvilkensomhelst Bluetoothmodtager inden for senderens rækkevidde kan modtage signalerne. De afstande, der angives i tabellen ovenfor er skøn baserede på typiske Bluetoothantenner i mindre standardapparater. Det er vigtigt at være klar over, at man med specialudstyr kan modtage signalerne over meget større afstande, måske op til 2-3 kilometer!

En retningsbestemt antenne (i det hvide rør) gør det muligt for Bluetoothsignaler at blive opfanget fra en afstand på mindst 500m. Selv i en afstand på 30m opdager offeret ikke, at sin Bluetoothenhed bliver udspioneret.

Bluetoothsikkerhed

Da ethvert udstyr inden for en Bluetoothsenders rækkevidde i princippet kan modtage de transmitterede signaler, er det nødvendigt at tage visse forholdsregler for at forhindre, at signalerne kan udnyttes af andre end den de(n) tiltænkte modtager(e). Selv om hvert Bluetoothapparat identificeres af en addresse (i virkelighed blot et tal mellem 0 og 2⁴⁸-1), som benyttes til at udpege den tiltænkte modtager for en den transmitterede meddelelse, er der ingen garanti for, at andre apparater ikke kan opfange meddelelsen ved simpel aflytning. Tre mekanismer stilles til rådighed for at modvirke dette:

Parring ((engelsk: bonding), som gør det muligt for to apparater at producere en hemmelighed, som kun de to deler.
Autentificering (eng: authentification), som gør det muligt for to apparater at verificere hinandens identiteter.
Kryptering (eng: encryption), som gør det muligt for to apparater at holde en udveksling af meddelelser fortroligt ved at sikre, at tredje parter ikke kan forstå meddelelserne.

Bluetooth sikkerhedstilstande og -profiler

Bluetoothapparater kan operere i tre forskellige sikkerhedstilstande (eng: security modes), som udnytter forskellige kombinationer af disse mekanismer:

Sikkerhedstilstand 1: Et apparat i denne tilstand bruger ingen sikkerhedsprocedurer.
Sikkerhedstilstand 2: Tjenester og anvendelser, som tilgås via Bluetooth kan specificere, om autentificering og/eller kryptering skal finde sted.
Security mode 3: Apparatet vil selv bestemme, om autentificering og/eller kryptering skal benyttes, når den åbner en Bluetoothforbindelse til et andet apparat.

I sikkerhedstilstande 2 og 3 kan der specificeres en sikkerhedspolitik, således at kun bestemte apparater har adgang til bestemte tjenester.

En yderligere mulighed er at definere Bluetoothprofiler, som udnytter kombinationer af de grundlæggende mekanismer til at opnå et sikkerhedsniveau, som menes at være velegnet for bestemte applikationer. For eksempel kunne profiler defineres til brug i:

Overførsel af datafiler mellem Bluetoothapparater;
Understøttelse af brug af hovedtelefoner;
Overførsel af såkaldte objekter såsom business cards ("vCard objekter") eller kalenderindgange ("vCalendar objekter").

Et typisk Bluetoothapparat bliver sat op til at understøtte et antal profiler, der svarer til dets funktionalitet. Dette kan føre til sikkerhedsproblemer, såfremt apparatet har nogle funktioner, der ikke kræver et højt sikkerhedsniveau, da disse funktioner så typisk vil tilknyttes profiler med lav sikkerhed. Et kendt eksempel er object push profilen, der benyttes til overførsel af objekter. I denne profil benyttes autentificering ikke, inden objektet udveksles, og denne mangel kan udnyttes af angribere, der gerne vil angribe Bluetoothapparater, hvori profilen er installeret.

Hvilke sikkerhedsrisici findes?

Der findes et antal indbyggede sikkerhedsmæssige svagheder i den måde, hvorpå Bluetooth fungerer:

Den grundlæggende identifikation af et Bluetoothapparat er en adresse. Denne kan let forfalskes, således at et apparat kan gøre det ud for at være et andet.
De metoder, der benyttes til autentificering og kryptering, bruger relativt simple metoder til at generere de fornødne meddelelser fra hemmeligheder, der deles af de to parter. Ved at overvåge kommunikationen over længere tid, bliver det måske muligt at aflede disse hemmeligheder, og således at finde ud af, hvordan man narrer autentificeringsproceduren eller afkrypterer de krypterede meddelelser.

Disse svagheder er i praksis relativt svære at udnytte til praktiske angreb. At forfalske adressen er ikke i sig selv ret meget hjælp i de fleste tilfælde, sålænge apparaterne bruger korrekt Bluetoothautentificering. At aflede hemmelighederne fra den forbipasserende kommunikation er egentlig ikke en realistisk mulighed, da der er behov for en overordentlig kraftig computer til at lave den fornødne analyse, som i "billigste" fald kræver 2⁶⁴ (ca. 16 milliard milliarder) regneoperationer.

Således er de fleste virkelige angreb på Bluetoothapparater baserede på andre tilgange til sagen:

Brugernes dovenskab: Parring kræver, at der samtidigt skal indtastes samme PIN-kode til de to apparater, der skal parres. I apparater, hvor dette gøres med håndkraft, er dette noget besværligt og frister til, at brugerne vælger meget korte PIN-koder eller simple værdier, som er lette at gætte (såsom 0000). Herved bliver det ret let for andre at prøve sig frem til den korrekte PIN-kode.
Svage profiler: Profiler såsom object push kræver ikke, at apparaterne har gennemført en autentificeringsproces. Dette kan udnyttes i visse telefoner til at få fat i informationer, som er lagret i offerets telefon, såsom telefonbogen, lagrede SMS beskeder, kontaktlister mv. Et meget kendt angreb af denne type er Bluesnarfing.
Ubeskyttede tjenester: Nogle typer af telefoner udviser manglende adgangskontrol til tjenester, som kan tilgås via Bluetooth. Et kendt angreb af denne type er Bluebugging, hvorved en angriber kan oprette en forbindelse til offerets telefon uden autentificering og uden at offeret ved det eller på nogen måde er indblandet. Gennem denne skjulte forbindelse kan angriberen derefter afsende såkaldte AT kommandoer til offerets telefon, hvorved det bliver muligt at foretage opkald, læse og sende SMS, forbinde til Internettet og endda aflytte offeret ved at få offerets telefon til på skjult vis at ringe til angriberens telefon.
Fupparring (1): Angriberen etablerer et tillidsforhold ved brug af parringsmekanismen, men sørger for, at den ikke længere kan ses i offerets liste over parringspartnere. På denne måde får angriberen lov til at gennemføre andre sikkerhedsprocedurer, oprette forbindelser mv. med offerets telefon, uden at offeret bliver klar over det. I korte træk har man herved etableret en bagdør til offerets telefon, gennem hvilken det bliver muligt at få adgang til (offerets) SMS-tjeneste, Internettjeneste mv.
Dette angreb gør det i øvrigt muligt at gennemføre Bluesnarfing med apparater, som ellers ville afvise Bluesnarfangreb.
Fupparring (2): Dette angreb udnytter også parringsmekanismen, men denne gang på en måde, kendt som Bluejacking, hvor offeret skal medvirke, hvis angrebet skal til at have sikkerhedsmæssige konsekvenser.
Angriberen indleder parringsproceduren. Dette vil som normalt føre til, at der på offerets display vises en forespørgsel, om det er i orden at oprette en forbindelse. Angriberen udnytter dog den omstændighed, at der kan sendes en rimelig lang tekst, som så vises sammen med den øvrige del af forespørgslen. Brugere udnytter ofte dette til at sende hinanden små, anonyme meddelelser, hvad der i sig selv er forholdsvis uskyldigt. Det sikkerhedsmæssige problem opstår, hvis angriberen kan få offeret til at acceptere forbindelsen under et eller andet påskud i en lokkende meddelelse, da angriberen så har fri adgang til offerets telefon.
Ondsindede programmer: Lige som computere i al almindelighed, kan Bluetoothapparater udsættes for angreb med vira, orme og lignende ondsindet programmel, der dog i dette tilfælde udbredes v.hj.af Bluetooth.

Hvad kan man gøre for at beskytte sig?

Nogle simple regler kan hjælpe meget til at reducere de risici, der er forbundet med brug af Bluetooth:

Tænd kun for Bluetooth, når du skal bruge det!
Sæt dit Bluetooth apparat op, så det kører i skjult tilstand. Apparatet vil så lade være med at sende signaler ud, der gør opmærksomt på sin tilstedeværelse. Disse signaler kan ellers udnyttes af angribere til at finde ud af, om der er nogle potentielle ofre i nabolaget.
Sørg altid for, at dit apparat har den nyeste version af det interne firmware. En hel del af de angreb, der omtales her, virker kun på telefoner, som har en eller anden indbygget designfejl i deres elektronik eller det tilhørende software. Mange telefonfabrikanter kan tilbyde opgraderinger, der reducerer mulighederne for angreb betragteligt.
Vælg gode, lange PIN-koder. Værdien 0000 er nok den værdi, som en angriber ville prøve som det første. Find noget bedre, gerne med flere cifre. Eller brug apparater, hvor udveksling af PIN-koden styres automatisk.
Sørg altid for, at dit apparat har det fornødne antivirus programmel, hvor det er relevant.
Vær forsigtig med at installere Bluetoothanvendelser med nye profiler, som du ikke kender oprindelsen af. Måske indeholder de sikkerhedshuller, der kan udnyttes af en angriber.
Tillad kun parring med apparater, som anses for troværdige. Svar altid nej til overraskende tilbud, som indebærer, at der skal oprettes en Bluetoothforbindelse til dit apparat fra andre apparater, som du ikke kender.

Yderligere information

For den teknisk interesserede, findes der masser af mere dybtgående tekniske beskrivelser af sikkerhed i Bluetoothapparater, de fleste af dem dog på engelsk. En god webside, med en hel del detaljerede referencer, findes fx. ved: http://www.niksula.cs.hut.fi/~jiitv/bluesec.html.

En oversigt over nogle af de bedstkendte angreb samt nogle telefonmodeller, som er særligt udsatte, kan findes ved: http://www.thebunker.net/security/bluetooth.htm.

Robin Sharp
Sidst ajouført 050512.