Bluetoothsikkerhed
Hvad er Bluetooth?
Bluetooth (navngivet efter Harald Blåtand) er en teknologi udviklet
særligt til brug ved trådløs kommunikation mellem elektroniske
apparater, som er adskilte af relativt små afstande (typisk op til
nogle få meter). Den grundlæggende motivation for dette er, at man
kan undgå brug af kabler til at sammenkoble udstyr med, især når der
er tale om mobilt udstyr, som skal kunne flyttes fra sted til sted.
Typiske eksempler på apparater, som benytter Bluetooth, er mobile
telefoner, PDA'er, bærbare og stationære computere, medicinsk
apparatur, samt alt udstyr som kunne tilsluttes disse, såsom
hovedtelefoner, mikrofoner, muse, printere, sensorer og så videre.
Bluetoothapparater kommunikerer med hinanden ved en række
radiofrekvenser omkring 2,4GHz, inden for det såkaldte ISM
(Industrial, Scientific and Medical) bånd. Dette bånd anvendes i
øvrigt af meget udstyr til trådløse LAN (WiFi-udstyr), af
mikrobølgeovne og til mange andre formål.
Eftersom Bluetoothapparater kun skal kommunikere over små afstande, er
sendeeffekten typisk meget beskeden. I virkelighed er der tre klasser
af Bluetoothapparat, med forskellig rækkevidde for deres
transmissioner:
Klasse | Effekt (mW) | Rækkevidde (m) |
1 | 100 | 100 |
2 | 2.5 | 10 |
3 | 1 | 0.1-10 |
De fleste apparater som benytter Bluetoothteknologi er udstyret med en
ikke-retningsbestemt antenne, som bruges både til at sende og til at
modtage radiosignaler. Den umiddelbare virkning af dette er, at en
hvilkensomhelst Bluetoothmodtager inden for senderens rækkevidde kan
modtage signalerne. De afstande, der angives i tabellen ovenfor er
skøn baserede på typiske Bluetoothantenner i mindre
standardapparater. Det er vigtigt at være klar over, at man med
specialudstyr kan modtage signalerne over meget større
afstande, måske op til 2-3 kilometer!
Bluetoothsikkerhed
Da ethvert udstyr inden for en Bluetoothsenders rækkevidde i
princippet kan modtage de transmitterede signaler, er det nødvendigt
at tage visse forholdsregler for at forhindre, at signalerne kan
udnyttes af andre end den de(n) tiltænkte modtager(e). Selv om hvert
Bluetoothapparat identificeres af en addresse (i virkelighed
blot et tal mellem 0 og 248-1), som benyttes til at
udpege den tiltænkte modtager for en den transmitterede meddelelse, er
der ingen garanti for, at andre apparater ikke kan opfange meddelelsen
ved simpel aflytning. Tre mekanismer stilles til rådighed for at
modvirke dette:
- Parring ((engelsk:
bonding), som gør det muligt for to apparater at producere en
hemmelighed, som kun de to deler.
- Autentificering (eng:
authentification), som gør det muligt for to apparater at
verificere hinandens identiteter.
- Kryptering (eng:
encryption), som gør det muligt for to apparater at holde en
udveksling af meddelelser fortroligt ved at sikre, at tredje parter
ikke kan forstå meddelelserne.
Bluetooth sikkerhedstilstande og -profiler
Bluetoothapparater kan operere i tre forskellige
sikkerhedstilstande (eng: security modes), som
udnytter forskellige kombinationer af disse mekanismer:
- Sikkerhedstilstand 1: Et apparat i denne tilstand bruger
ingen sikkerhedsprocedurer.
- Sikkerhedstilstand 2: Tjenester og anvendelser, som tilgås
via Bluetooth kan specificere, om autentificering og/eller kryptering
skal finde sted.
- Security mode 3: Apparatet vil selv bestemme, om
autentificering og/eller kryptering skal benyttes, når den åbner en
Bluetoothforbindelse til et andet apparat.
I sikkerhedstilstande 2 og 3 kan der specificeres en
sikkerhedspolitik, således at kun bestemte apparater har
adgang til bestemte tjenester.
En yderligere mulighed er at definere Bluetoothprofiler, som
udnytter kombinationer af de grundlæggende mekanismer til at opnå et
sikkerhedsniveau, som menes at være velegnet for bestemte
applikationer. For eksempel kunne profiler defineres til brug i:
- Overførsel af datafiler mellem Bluetoothapparater;
- Understøttelse af brug af hovedtelefoner;
- Overførsel af såkaldte objekter såsom business cards
("vCard objekter") eller kalenderindgange ("vCalendar objekter").
Et typisk Bluetoothapparat bliver sat op til at understøtte et antal
profiler, der svarer til dets funktionalitet. Dette kan føre til
sikkerhedsproblemer, såfremt apparatet har nogle funktioner, der ikke
kræver et højt sikkerhedsniveau, da disse funktioner så typisk vil
tilknyttes profiler med lav sikkerhed. Et kendt eksempel er
object push profilen, der benyttes til overførsel af
objekter. I denne profil benyttes autentificering ikke, inden objektet
udveksles, og denne mangel kan udnyttes af angribere, der gerne vil
angribe Bluetoothapparater, hvori profilen er installeret.
Hvilke sikkerhedsrisici findes?
Der findes et antal indbyggede sikkerhedsmæssige svagheder i den måde,
hvorpå Bluetooth fungerer:
- Den grundlæggende identifikation af et Bluetoothapparat er en
adresse. Denne kan let forfalskes, således at et apparat kan
gøre det ud for at være et andet.
- De metoder, der benyttes til autentificering og kryptering,
bruger relativt simple metoder til at generere de fornødne
meddelelser fra hemmeligheder, der deles af de to parter. Ved at
overvåge kommunikationen over længere tid, bliver det måske
muligt at aflede disse hemmeligheder, og således at finde ud af,
hvordan man narrer autentificeringsproceduren eller afkrypterer
de krypterede meddelelser.
Disse svagheder er i praksis relativt svære at udnytte til praktiske
angreb. At forfalske adressen er ikke i sig selv ret meget hjælp i
de fleste tilfælde, sålænge apparaterne bruger korrekt
Bluetoothautentificering. At aflede hemmelighederne fra den
forbipasserende kommunikation er egentlig ikke en realistisk mulighed,
da der er behov for en overordentlig kraftig computer til at lave den
fornødne analyse, som i "billigste" fald kræver 264 (ca. 16
milliard milliarder) regneoperationer.
Således er de fleste virkelige angreb på Bluetoothapparater baserede
på andre tilgange til sagen:
- Brugernes dovenskab: Parring kræver, at der samtidigt skal
indtastes samme PIN-kode til de to apparater, der skal parres. I
apparater, hvor dette gøres med håndkraft, er
dette noget besværligt og frister til, at brugerne vælger
meget korte PIN-koder eller simple værdier, som er lette at gætte
(såsom 0000). Herved bliver det ret let for andre at prøve sig
frem til den korrekte PIN-kode.
- Svage profiler: Profiler såsom object push kræver
ikke, at apparaterne har gennemført en autentificeringsproces.
Dette kan udnyttes i visse telefoner til at få fat i
informationer, som er lagret i offerets telefon, såsom
telefonbogen, lagrede SMS beskeder, kontaktlister mv. Et meget
kendt angreb af denne type er
Bluesnarfing.
- Ubeskyttede tjenester: Nogle typer af telefoner udviser
manglende adgangskontrol til tjenester, som kan tilgås via
Bluetooth. Et kendt angreb af denne type er
Bluebugging,
hvorved en angriber kan oprette en forbindelse til
offerets telefon uden autentificering og uden at offeret ved det
eller på nogen måde er indblandet. Gennem denne skjulte
forbindelse kan angriberen derefter afsende såkaldte AT
kommandoer til offerets telefon, hvorved det bliver muligt
at foretage opkald, læse og sende SMS, forbinde til Internettet
og endda aflytte offeret ved at få offerets telefon til på skjult
vis at ringe til angriberens telefon.
- Fupparring (1): Angriberen etablerer et tillidsforhold
ved brug af parringsmekanismen, men sørger for, at den ikke
længere kan ses i offerets liste over parringspartnere. På denne
måde får angriberen lov til at gennemføre andre sikkerhedsprocedurer,
oprette forbindelser mv. med offerets telefon, uden at offeret
bliver klar over det. I korte træk har man herved etableret en
bagdør til offerets telefon, gennem hvilken det bliver
muligt at få adgang til (offerets) SMS-tjeneste, Internettjeneste
mv.
Dette angreb gør det i øvrigt muligt at gennemføre Bluesnarfing
med apparater, som ellers ville afvise Bluesnarfangreb.
- Fupparring (2): Dette angreb udnytter også
parringsmekanismen, men denne gang på en måde, kendt som
Bluejacking, hvor offeret skal medvirke, hvis angrebet
skal til at have sikkerhedsmæssige konsekvenser.
Angriberen indleder parringsproceduren. Dette vil
som normalt føre til, at der på offerets display vises en
forespørgsel, om det er i orden at oprette en forbindelse.
Angriberen udnytter dog den omstændighed, at der kan sendes en
rimelig lang tekst, som så vises sammen med den øvrige del af
forespørgslen. Brugere udnytter ofte dette til at sende hinanden
små, anonyme meddelelser, hvad der i sig selv er forholdsvis
uskyldigt. Det sikkerhedsmæssige problem opstår, hvis angriberen
kan få offeret til at acceptere forbindelsen under et
eller andet påskud i en lokkende meddelelse, da angriberen
så har fri adgang til offerets telefon.
- Ondsindede programmer: Lige som computere i al
almindelighed, kan Bluetoothapparater udsættes for angreb med
vira, orme og lignende ondsindet programmel, der dog i dette
tilfælde udbredes v.hj.af Bluetooth.
Hvad kan man gøre for at beskytte sig?
Nogle simple regler kan hjælpe meget til at reducere de risici, der er
forbundet med brug af Bluetooth:
- Tænd kun for Bluetooth, når du skal bruge det!
- Sæt dit Bluetooth apparat op, så det kører i skjult
tilstand. Apparatet vil så lade være med at sende signaler
ud, der gør opmærksomt på sin tilstedeværelse. Disse signaler
kan ellers udnyttes af angribere til at finde ud af, om der
er nogle potentielle ofre i nabolaget.
- Sørg altid for, at dit apparat har den nyeste version af det
interne firmware. En hel del af de angreb, der omtales
her, virker kun på telefoner, som har en eller anden indbygget
designfejl i deres elektronik eller det tilhørende software.
Mange telefonfabrikanter kan tilbyde opgraderinger, der reducerer
mulighederne for angreb betragteligt.
- Vælg gode, lange PIN-koder. Værdien 0000 er nok den
værdi, som en angriber ville prøve som det første. Find noget
bedre, gerne med flere cifre. Eller brug apparater, hvor
udveksling af PIN-koden styres automatisk.
- Sørg altid for, at dit apparat har det fornødne antivirus
programmel, hvor det er relevant.
- Vær forsigtig med at installere Bluetoothanvendelser med nye
profiler, som du ikke kender oprindelsen af. Måske
indeholder de sikkerhedshuller, der kan udnyttes af en angriber.
- Tillad kun parring med apparater, som anses for troværdige.
Svar altid nej til overraskende tilbud, som indebærer,
at der skal oprettes en Bluetoothforbindelse til dit apparat fra
andre apparater, som du ikke kender.
Yderligere information
For den teknisk interesserede, findes der masser af mere dybtgående
tekniske beskrivelser af sikkerhed i Bluetoothapparater, de fleste af
dem dog på engelsk. En god webside, med en hel del detaljerede
referencer, findes fx. ved:
http://www.niksula.cs.hut.fi/~jiitv/bluesec.html.
En oversigt over nogle af de bedstkendte angreb samt nogle
telefonmodeller, som er særligt udsatte, kan findes ved:
http://www.thebunker.net/security/bluetooth.htm.
Robin Sharp
Sidst ajouført 050512.