War-nibbling 2007

Konstantin Sapronov

Rok temu opublikowali艣my artyku艂 o technologii Bluetooth, kt贸ry zawiera艂 dane z przeprowadzonego przez nas badania. Temat ten kontynuujemy w niniejszym artykule, kt贸ry zawiera wyniki podobnego badania, przeprowadzonego na pocz膮tku 2007 roku.

Nie wiem, ilu z was pami臋ta sw贸j pierwszy telefon kom贸rkowy. Ja pami臋tam; ma teraz siedem lat i wci膮偶 go mam. Nie posiada aparatu fotograficznego, wy艣wietlacz jest monochromatyczny i oczywi艣cie nie jest wyposa偶ony w technologi臋 Bluetooth, nadal jednak dzia艂a.

Trudno by艂oby znale藕膰 dzisiaj podobny telefon. Wielu producent贸w wyposa偶a w technologi臋 Bluetooth nawet najta艅sze telefony. W przypadku wsp贸艂czesnych laptop贸w jest to standard. Bluetooth spotka膰 mo偶na r贸wnie偶 w centrach muzycznych, urz膮dzeniach domowych, a nawet w samochodach.

Zalet膮 technologii Bluetooth jest to, 偶e jest ona tania, 艂atwa w u偶yciu i bezprzewodowa. Jednak, jak cz臋sto bywa, gdy rozwijane s膮 nowe technologie, nie po艣wi臋cono wystarczaj膮cej uwagi kwestiom bezpiecze艅stwa.

Bezpiecze艅stwo urz膮dze艅 przeno艣nych stanowi obecnie istotn膮 kwesti臋. Szkodliwe programy rozprzestrzeniaj膮ce si臋 za po艣rednictwem technologii Bluetooth nie nale偶膮 ju偶 do rzadko艣ci. Na przyk艂ad, robaki dla urz膮dze艅 przeno艣nych z systemem Symbian, takie jak Cabir, Lasco czy Comwar, rozprzestrzeniaj膮 si臋 poprzez Bluetooth. Dane Beeline, czo艂owego operatora telefonii kom贸rkowej w Federacji Rosyjskiej, pokazuj膮, 偶e w ci膮gu roku wys艂ano 43 204 473 wiadomo艣ci MMS. 264 474 z nich by艂o zainfekowanych, z czego 261 121 - wariantem Comwara.

Przemieszczanie si臋 w艂a艣cicieli urz膮dze艅 przeno艣nych jest przyczyn膮 stosunkowo szybkiego rozprzestrzeniania si臋 szkodliwych program贸w za po艣rednictwem technologii Bluetooth, pomimo do艣膰 ograniczonego zasi臋gu po艂膮cze艅 Bluetootha. Na zahamowanie tempa rozprzestrzeniania wp艂ywa r贸wnie偶 fakt, 偶e pewne rodzaje szkodliwego oprogramowania zakodowane s膮 do infekowania okre艣lonych typ贸w urz膮dze艅 przeno艣nych - je艣li w zasi臋gu nie ma takiego urz膮dzenia, szkodliwe programy nie b臋d膮 mog艂y si臋 skutecznie rozprzestrzenia膰.

R贸wnie偶 posiadacze komputer贸w powinni powa偶nie potraktowa膰 bezpiecze艅stwo technologii Bluetooth: Worm.OSX.Inqtana.a, robak "proof of concept" dla systemu Mac OS X, tak偶e rozprzestrzenia si臋 poprzez Bluetooth.

Wi臋cej szczeg贸艂贸w dotycz膮cych technologii Bluetooth, potencjalnych zagro偶e艅 czy rodzaj贸w atak贸w na urz膮dzenia z komunikacj膮 Bluetooth mo偶na znale藕膰 w artykule opublikowanym z zesz艂ym roku. W artykule tym przedstawiono r贸wnie偶 badanie dotycz膮ce urz膮dze艅 podatnych na tego typu zagro偶enie.

Badanie przeprowadzone w zesz艂ym roku zosta艂o powt贸rzone, aby sprawdzi膰, czy u偶ytkownicy urz膮dze艅 przeno艣nych zacz臋li powa偶niej traktowa膰 kwesti臋 bezpiecze艅stwa technologii Bluetooth.

Sprz臋t

W zesz艂ym roku wykorzystali艣my nast臋puj膮cy sprz臋t i oprogramowanie: laptop Sony Vaio fxa 53 z systemem Linux SuSE 10.0 OSS, Adapter Bluetooth PCMCIA oraz program btscanner 2.1. W tym roku u偶yli艣my innego sprz臋tu, nie mia艂o to jednak wp艂ywu na wyniki ko艅cowe.

Tym razem skanowanie zosta艂o przeprowadzone przy u偶yciu urz膮dzenia PDA (Zaurus 3200) z zainstalowanym systemem Linux. Wypr贸bowali艣my r贸偶ne dystrybucje, w ko艅cu nasz wyb贸r pad艂 na pdaXrom. Potrzebowali艣my r贸wnie偶 oprogramowania do skanowania urz膮dze艅 w technologii Bluetooth. Podobnie jak w poprzednim eksperymencie, wybrali艣my program btscanner 2.1.

Skaner Bluetootha umo偶liwia wykrywanie urz膮dze艅, kt贸re s膮 w trybie "wykrywalnym". Wykrywanie urz膮dze艅, kt贸re nie znajduj膮 si臋 w trybie wykrywalnym jest mo偶liwe, ale wymaga innego podej艣cia i oprogramowania.

Napotka艂em kilka problem贸w: po pierwsze, wersja btscanner dostarczana wraz z dystrybucj膮 Linuksa 1.0 nie zapisuje wynik贸w skanowania, co naturalnie nie jest dobr膮 wiadomo艣ci膮 przy tego typu badaniu. Dlatego trzeba by艂o u偶y膰 nowszej wersji. Chocia偶 wszystko uda艂o si臋 bez problemu skompilowa膰, pojawi艂o si臋 kilka b艂臋d贸w zwi膮zanych z linkowaniem. Pierwszy problem rozwi膮za艂em dodaj膮c niezb臋dn膮 bibliotek臋 sdp do Makefile. Naprawienie drugiego b艂臋du zaj臋艂o wi臋cej czasu; nowe biblioteki oznacza艂y nowe funkcje i z tego powodu konieczna by艂a nowsza wersja biblioteki Bluetooth.

W ko艅cu wszystkie przeszkody zosta艂y usuni臋te i mo偶na by艂o zacz膮膰 badanie. Pr贸bowa艂em zapewni膰 te same warunki co podczas zesz艂orocznego eksperymentu. Badanie zosta艂o przeprowadzone w tym samym miejscu - jednym z najwi臋kszych centr贸w handlowych Moskwy. Czas skanowania r贸wnie偶 by艂 ten sam.

Wyniki

Czas po艣wi臋cony na wyb贸r sprz臋tu zaowocowa艂 wygod膮: mia艂em urz膮dzenie przeno艣ne, kt贸re mog艂em w艂o偶y膰 do kieszeni i nosi膰 ze sob膮 robi膮c jednocze艣nie inne rzeczy. Po kilku godzinach mia艂em ju偶 informacje o ponad 200 urz膮dzeniach. Powt贸rzy艂em eksperyment nast臋pnego dnia; uzyska艂em dane dotycz膮ce oko艂o 500 urz膮dze艅.

Nast臋pnym zadaniem by艂o przetworzenie danych. Poniewa偶 wszystkie dane przechowywane by艂y w standardowych plikach tekstowych, do ich przetworzenia wystarczy艂o polecenie pow艂oki.

艁膮cznie wykry艂em urz膮dzenia przeno艣ne 32 r贸偶nych producent贸w. Jednak wi臋kszo艣ci urz膮dze艅 nie da艂o si臋 zidentyfikowa膰, co by艂o do艣膰 rozczarowuj膮cym wynikiem. Aby je zidentyfikowa膰, trzeba by艂o podj膮膰 dodatkowe dzia艂ania. W tym celu wykorzystali艣my plik zlokalizowany na http://standards.ieee.org/regauth/oui/oui.txt.

Ka偶de urz膮dzenie z komunikacj膮 Bluetooth posiada unikatowy adres identyfikacyjny (BT_ADDR), kt贸ry sk艂ada si臋 z 6 bajt贸w i jest zazwyczaj w formacie MM:MM:MM:XX:XX:XX, podobnie jak adresy MAC. Pierwsze trzy bajty, oznaczone symbolem M, zawieraj膮 informacje o producencie mikroczipa. Pozosta艂e trzy bajty zawieraj膮 informacje o modelu urz膮dzenia. Analiza unikatowych identyfikator贸w umo偶liwia okre艣lenie producenta. Niestety, analiza ostatnich trzech bajt贸w nie jest tak prosta, dlatego nie mo偶na w 100% ustali膰 producenta.

Producenci, kt贸rych sprz臋t wykryto tylko kilka razy, zostali przyporz膮dkowani do jednej kategorii "inny". Kategoria ta zawiera urz膮dzenia, kt贸re w naszym badaniu zosta艂y wykryte cztery lub mniej razy.

Nale偶y pami臋ta膰, 偶e wykrywane by艂y tylko urz膮dzenia z Bluetoothem w trybie wykrywalnym. (Z tego powodu wyniki zawieraj膮 stosunkowo niewiele urz膮dze艅 Motorola - nawet w trybie wykrywalnym urz膮dzenia te s膮 wykrywalne tylko przez kr贸tki czas). Urz膮dzenie w trybie wykrywalnym oznacza, 偶e mo偶na je wykry膰, przez co stanowi 艂atwy cel dla zdalnych szkodliwych u偶ytkownik贸w. Mo偶na r贸wnie偶 wykry膰 urz膮dzenie, kt贸re nie jest w trybie wykrywalnym, jednak wymaga to przeprowadzenia wyczerpuj膮cego badania, kt贸re zabra艂oby wi臋cej czasu.


Urz膮dzenia przeno艣ne wed艂ug producenta

Je艣li por贸wnamy tegoroczne dane z danymi z zesz艂ego roku, zauwa偶ymy dwie rzeczy: pierwsza to taka, 偶e Nokia, kt贸ra w zesz艂ym roku znalaz艂a si臋 na pierwszym miejscu, nadal pozostaje na prowadzeniu. Jednak, na drugim miejscu jest teraz Samsung, kt贸ry zepchn膮艂 Sony Ericssona na trzeci膮 pozycj臋. W tym roku wykryli艣my znaczn膮 liczb臋 zestaw贸w s艂uchawkowych w technologii Bluetooth, 艂膮cznie z zestawami dla samochod贸w. Zwi臋kszy艂a si臋 r贸wnie偶 liczba urz膮dze艅 PDA i laptop贸w.

Pod wzgl臋dem bezpiecze艅stwa istotne znaczenie ma liczba urz膮dze艅 podatnych na snarfing. Snarf jest prawdopodobnie najbardziej znanym rodzajem ataku Bluetooth. Skuteczny atak typu snarf pozwala zdalnemu szkodliwemu u偶ytkownikowi uzyska膰 ka偶dy plik z urz膮dzenia ofiary, 艂膮cznie z ksi膮偶k膮 adresow膮, notatnikiem, zdj臋ciami itd.

W 2007 roku liczba urz膮dze艅 podatnych na snarfing by艂a znacznie mniejsza ni偶 w 2006 roku: odpowiednio 25% (48 urz膮dze艅) oraz 4% (21 urz膮dze艅).

Cz臋艣ciowo wynika to z tego, 偶e producenci publikuj膮 nowe wersje oprogramowania, kt贸re albo nie zawieraj膮 tej luki, albo nie zosta艂a ona jeszcze zidentyfikowana. Nale偶y pami臋ta膰, 偶e - podobnie jak poprzednio - bardziej nara偶one s膮 najpopularniejsze urz膮dzenia. Jednak, wyniki naszego badania pokazuj膮, 偶e u偶ytkownicy nadal nie traktuj膮 powa偶nie kwestii bezpiecze艅stwa, pozostawiaj膮c swoje urz膮dzenia w trybie wykrywalnym, przez co mog膮 sta膰 si臋 celem szkodliwych u偶ytkownik贸w.

Wnioski

  1. Technologia Bluetooth staje si臋 coraz bardziej popularna. W ci膮gu roku zwi臋kszy艂a si臋 zar贸wno liczba producent贸w, jak r贸wnie偶 liczba modeli wykorzystuj膮cych t臋 technologi臋.
  2. Bezpiecze艅stwo urz膮dze艅 przeno艣nych wykorzystuj膮cych technologi臋 Bluetooth nadal stanowi problem. Rosn膮ca popularno艣膰 tej technologii przyci膮ga naturalnie uwag臋 szkodliwych u偶ytkownik贸w. Szkodliwe programy mog膮 rozprzestrzenia膰 si臋 poprzez Bluetooth, a szkodliwi u偶ytkownicy mog膮 wykorzystaj膮 luki w celu uzyskania dost臋pu do danych u偶ytkownika oraz przeprowadzania atak贸w DOS.
  3. Niestety, najpopularniejsze urz膮dzenia to r贸wnie偶 te najbardziej nara偶one na ataki.
  4. Producenci wydaj膮 si臋 przywi膮zywa膰 wi臋ksz膮 wag臋 do kwestii bezpiecze艅stwa.
  5. Liczba wykrytych urz膮dze艅 zwi臋kszy艂a si臋 w stosunku do poprzedniego roku.

Na tej podstawie mo偶na wysun膮膰 wniosek, 偶e u偶ytkownicy nie traktuj膮 powa偶nie kwestii bezpiecze艅stwa; urz膮dzenia zachowuj膮 swoje domy艣lne konfiguracje. Pod wzgl臋dem bezpiecze艅stwa domy艣lna konfiguracja trybu wykrywalnego i domy艣lny PIN to mniej ni偶 idea艂.

Istnieje kilka prostych wskaz贸wek, kt贸re mog膮 sprawi膰, 偶e korzystanie z urz膮dzenia przeno艣nego wyposa偶onego w technologi臋 Bluetooth b臋dzie bezpieczniejsze: zainstalowanie ochrony antywirusowej, ustawienie urz膮dzenia w trybie niewykrywalnym, w艂膮czenie uwierzytelnienia przy u偶yciu kodu PIN.