Attacco al Bluetooth

Attacco

Ugo Lopez

Grado di difficoltà

Bluetooth è la tecnologia nata per rendere le nostre abilità di

comunicazione più facili. Si è rivelata però anche uno strumento
utile per rubare i dati. In quest'articolo vi presenteremo come
sfruttare i suoi punti deboli.

C
hi ricorda quando, non molti anni fa, auricolari, navigatori satellitari, stampanti
il cellulare veniva guardato con diffi- e così via). Questa tecnologia permette di
denza o con invidia? Considerato uno creare delle vere e proprie PAN (Personal
status symbol più che uno strumento di comu- Area Network) in maniera da condividere
nicazione, il cellulare è da un bel po' entrato contenuti tra dispositivi non necessariamente
nella vita quotidiana di ognuno di noi. omogenei semplificando al massimo l’intera-
La tecnologia Bluetooth, nata per sop- zione con l’utente.
piantare i limiti delle porte a raggi infrarossi Attualmente esistono 2 standard implemen-
IRDA (Infra Red Device Adapter) e FastIRDA, tati sulle periferiche oggi in commercio:
in cui le periferiche dovevano essere fisica-
mente visibili l'una dall'altra e supportavano • Core Specification 1.2 – 5 Novembre 2003,
basse velocità di trasmissione, sta avendo • Core Specification 2.0 + EDR – 15 Ottobre
uno sviluppo oltre ogni previsione. Come 2004.
ogni cosa nel campo informatico, quando il
progresso avviene così rapidamente, la sicu-
rezza arranca dietro. Non sono poche infatti Dall'articolo imparerai...
le vulnerabilità segnalate sul Bluetooth. Ma
• quali sono i punti deboli di alcuni dispositivi
procediamo per ordine e cerchiamo innan-
Bluetooth e come sfruttarli.
zitutto di descrivere più nel dettaglio questa
tecnologia.
Cosa dovresti sapere...
La tecnologia Bluetooth • conoscenze utente sistemi Windows,
Bluetooth nasce nel 2003. Voluta da molti • conoscenze utente sistemi Linux, utilizzo della
produttori che hanno istituito il consorzio SIG shell,
(Ericsson, Nokia, Microsoft, Intel, Motorola, • conoscenze utente avanzato dispositivi mobili
Apple e molti altri), Bluetooth è presente or- Bluetooth.
mai su quasi tutti i dispositivi mobili (cellulari,

2 hakin9 Nº 1/2007 www.hakin9.org

 Attacco al Bluettoth

Esistono inoltre degli standard ora- anche un protocollo per l'accesso Controller Interface), che non fa
mai abbandonati. In particolare: a dispositivi condivisi, riduce netta- altro che definire un insieme di
Bluetooth 1.0 e 1.0B: le versione mente i tempi di risposta e dimezza messaggi ed un insieme di modi
1.0 e 1.0B sono afflitte da molti pro- la potenza utilizzata. per trasportarli.
blemi, per lo più di interoperabilità tra E' già in fase di sviluppo la nuova Adesso scendendiamo più nel det-
prodotti di costruttori differenti. Tra versione di Bluetooth (nome in co- taglio della pilla protocollare (Fig 2).
i due standard ci sono state delle dice Lisbon) che prevederà: Atomic Questo è lo schema definitivo
modifiche nel processo di verifica Encryption Chance: cambio periodi- della pila protocollare. Al fine del-
dell'indirizzo fisico associato a ogni co della password per collegamenti l'interscambio con altri protocolli, i
dispositivo: il vecchio metodo rende- cifrati, Extended Inquiry Response: componenti fondamentali sono:
va impossibile rimanere anonimi du- fornisce più informazioni sui dispo-
rante la comunicazione e quindi un sitivi che tentano la connessione, fa- • L2CAP (Logical Link Control and
utente malevole dotato di uno scan- vorendo così il filtering dei dispositivi Adaptation Protocol): incapsula
ner di frequenze poteva intercettare insicuri, Sniff Subrating: sistema di i pacchetti e fornisce un mec-
eventuali informazioni confidenziali. riduzione dei consumi in stato di snif- canismo di astrazione simile al
La versione B apportò anche delle fing, miglioramento del QoS (Quality concetto di porte nel TCP/IP,
modifiche alla gestione dell'ambiente of Service), Simple Pairing: miglio- • SDP (Service Discovery Proto-
Bluetooth in modo da migliorare l'in- ramento del controllo sui flussi di bit col): pubblica i servizi offerti dal
teroperabilità, attraverso meccanismi di parità. singolo dispositivo e ricerca quel-
Bluetooth 1.1: risolve molti errori Esiste poi un'ulteriore versione li offerti dagli altri apparecchi con
introdotti nella versione 1.0B. Per- (nome in codice Seattle) che preve- cui si vuole comunicare.
mette la comunicazionesu canali derà come innovazione significativa
non cifrati. l'introduzione dell' Ultra Wide Band Proviamo adesso a mostrare un
Per arrivare ai giorni nostri, lo (UWB), con la quale si avrà un signi- diagramma funzionale del protocollo
standard 1.2, retrocompatibile con ficativo aumento di velocità. Bluetooth (Fig. 3).
la versione 1.1, prevede: Adaptive Infine, i dispositivi Bluetooth si di- In breve, gli stati sono: Standby:
Frequency Hopping (AFH): questa vidono in 3 classi (vedi la Tabella 1). in attesa di connessione, Inquiry:
tecnica fornisce maggior resistenza Per ulteriori dettagli su questi scoperta dei dispositivi vicini, Pa-
alle interferenze elettromagnetiche, standard, è possibile consultare il si- ge: tentativo di connessione ad un
poichè evita di utilizzare i canali to ufficiale sulla tecnologia Bluetooth dispositivo, Connected: dispositivo
soggetti a forti interferenze, au- e scaricare i documenti di specifica attivo in una rete, Transmit data: dati
menta la velocità di trasmissione, (http://www.Bluetooth.com). in corso di trasmissione, Park/Hold:
extended Synchronous Connec- Diamo adesso un'occhiata a co- modalità a basso consumo.
tions (eSCO): fornisce una mo- me funziona, a grandi linee, la pila Teniamo a mente questo dia-
dalità di trasmissione audio a alta protocollare Bluetooth (Fig. 1) gramma funzionale perchè ci sarà
qualità, in quanto in caso di perdita In buona sostanza possiamo divi- utile per comprendere alcune tipolo-
dei dati questi vengono ritrasmessi. derla in due parti: gie di attacco.
E' stato anche introdotto un rileva-
tore di qualità del segnale. Fornisce • Host protocols: implementati Principi di sicurezza
un'interfaccia per gestire fino a tre a livello software comunicano, Dando un'occhiata alle specifi-
UART (standard che simula la pre- attraverso le API, con le appli- che, queste prevedono tre modi di
senza di un collegamento via cavo) cazioni; gestiscono le funzioni di (in)sicurezza:
e accesso alle informazioni di sin- alto livello,
cronizzazione per le trasmissioni • Controller protocols: gestiscono • mode 1: nessuna sicurezza,
Bluetooth. il modulo radio. • mode 2: protezione a livello
Lo standard 2.0, invece, retro- servizio/applicazione,
compatibile con tutti gli standard I due componenti comunicano • mode 3: protezione a livello di
precedenti, offre i seguenti migliora- tra di loro attraverso la HCI (Host dispositivo.
menti: evita di saltare tra i canali per
ragioni di sicurezza. La sicurezza Tabella 1. Tre classi di Bluetooth
viene garantita attraverso algoritmi
crittografici, supporta sia il multicast Classe Potenza(mW) Potenza Distanza(Approssimativa)
che il broadcast, porta la velocità di (dBm)
trasmissione a 2,1 Mbit/sec (3 nella Classe 1 100 mW 20 dBm ~ 100 metri
versione sopra citata del 15 Otto- Classe 2 2,5 mW 4 dBm ~ 10 metri
bre 2004), introduce un servizio di
Classe 3 1 mW 0 dBm ~ 1 metro
gestione della qualità. Introduce

www.hakin9.org hakin9 Nº 1/2007 3

 Attacco

la richiesta di un dispositivo debba varie chiavi di collegamento genera-

essere soddisfatta o meno; ogni te utilizzando i diversi pin. Questo at-
������������ applicazione può avere una lista di tacco è abbastanza costoso a causa
dispositivi che possono accedervi della strumentazione necessaria.
������ (trusted device), se il dispositivo non Per difendersi da questo tipo di
�������������� è nella lista viene chiesta conferma attacco, è buona norma utilizzare
all'utente. pin lunghi e difficili da indovinare ed
All'interno di questi livelli, vengono effettuare il pairing in luoghi conside-
���
utilizzati cinque elementi principali: in- rati sicuri. Anche questa sicurezza,
����������
��������� dirizzo BD_ADDR: indirizzo fisico del comunque, è relativa perchè è sta-
singolo dispositivo (una sorta di MAC to dimostrato che, con la semplice
Address), chiave di cifratura (8-128 modifica di un Bluetooth dongle, è
bit), chiave di collegamento (128 bit), possibile realizzare attacchi anche a
Fig. 1. Funzionamento della pila numeri pseudocasuali (128 bit), algo- oltre 1,5 km di distanza. Un esempio
protocollare Bluetooth ritmi per la generazione delle chiavi brillante è stato realizzato dal gruppo
(E0, E21, E22, ecc.). trifinite, il cui URL è indicato nella se-
Questi tre modi vengono implemen- Come vedete, è facile ritrovare zione links di questo articolo.
tati all'interno di quattro livelli: pai- tutti gli elementi nei quattro livelli. Esistono poi numerose vulne-
ring: viene attivato tra due dispositivi Adesso iniziamo a vedere dove rabilità a livello applicativo di cui
che vogliano attivare procedure di sono le debolezze di questo mec- parleremo più avanti in questo ar-
sicurezza e vengano in contatto tra canismo. La prima e più evidente è ticolo. Queste dipendono per lo più
di loro per la prima volta; in pratica nel meccanismo di pairing che, co- da implementazioni specifiche dei
l'utente inserisce un pin (identico) su me descritto, prevede l'introduzione produttori piuttosto che da bug nella
entrambi i dispositivi i quali, a loro di un pin. Se il pin è preimpostato progettazione dei protocolli.
volta, generano ciascuno un numero sul dispositivo, è addirittura possibile
pseudocasuale; a questo punto si effettuare un attacco online di tipo Tecniche di
ottiene uno shared secret (segreto brute-force (cioè direttamente contro attacco al Bluetooth
condiviso) che viene utilizzato per il dispositivo della vittima). Nel caso Nonostante sia un appassionato di
la comunicazione, autenticazione: di pin debole, invece, si può attuare quasi tutto ciò che è tecnologia da
meccanismo cosiddetto a challenge un attacco offline (non direttamente molti anni, non sono stato uno dei
(sfida); in pratica si basa su un nu- contro il dispositivo della vittima) primi patiti dei dispositivi mobili. La
mero pseudocasuale (challenge) e cosiddetto attacco contro E22: in mia curiosità, a dire il vero, è iniziata
sullo shared secret, cifratura: avvie- breve, si „registra” il traffico su tutti dalla lettura di un articolo scritto su
ne, eventualmente, dopo l'autentica- i 79 canali attraverso un opportuno un quotidiano che titolava Quando il
zione, autorizzazione: determina se strumento e poi, offline, si testano le dente duole... e parlava di toothing,
ovvero di come, attraverso il proto-
collo Bluetooth, si potessero inviare
���������� ��� dei messaggi a dei perfetti scono-
���� ��� sciuti che avessero un Bluetooth
��� device acceso e disponibile nel giro
�������� ������� ���
��� ��� di alcuni metri. Inizialmente mi colpì
�� maggiormente l'aspetto sociale del-
l'articolo ma, riflettendo meglio, mi si
���
aprirono scenari ben più ampi in cui
utenti poco accorti venivano raggirati
in mille e uno modi da parte dello
������
smanettone di turno. E' stato allora
�����
che ho iniziato a documentarmi sulle
�����
varie tipologie di attacco e difesa.
������������������������� Vediamo di analizzarle assieme.
���

Bluejacking
��������
Come dicevo sopra, mi incuriosiva la
possibilità di comunicare gratuitamen-
���������������
te attraverso un sistema di messaggi-
stica con dei perfetti sconosciuti che,
Fig. 2. Lo schema definitivo della pila protocollare però, avessero un dispositivo Blue-

4 hakin9 Nº 1/2007 www.hakin9.org

 Attacco al Bluettoth

tooth attivo nel raggio di pochi metri. Il web è pieno di strumenti atti trovare i bit variabili anche in poco
Come è possibile questo? Bisogna allo scopo, qui ne sono elencati solo più di un'ora.
tener presente che, durante la fase alcuni. Bisogna tener presente che I tool per questa operazione
di discovery di altri dispositivi, viene questi tool dipendono anche dai te- sono, al momento della redazione
scambiato il nome identificativo del lefonini utilizzati. dell'articolo, disponibili solo sotto
device. Questo altro non è se non un Linux. Sono:
campo di testo. Ora, immaginiamo Discovery mode abuse
che il campo di testo contenga un Sulla maggior parte dei dispositivi • Redfang (http://www.securitywir
qualcosa del tipo: Problemi alla rete, in commercio è possibile se, una eless.info/Downloads-index-req-
per favore digiti il 1234. Chiaramente volta acceso, il servizio Bluetooth getit-lid-41.html),
1234 sarà il pin che noi avremo avuto debba essere visibile o nascosto. • Bluesniff (http://
cura di digitare sul nostro dispositivo. Quello che in realtà succede è che in bluesniff.shmoo.com/bluesniff-
L'ignaro utente digiterà il pin ed ecco modalità nascosta il dispositivo altro 0.1.tar.gz).
che il pairing è realizzato. In questo non fa che scartare tutte le richieste
modo abbiamo realizzato un attacco di inquiry provenienti in broadcast da Redfang è uno strumento a riga di
di bluejacking (termine che inizialmen- altri apparecchi Bluetooth. I servizi, comando realizzato dalla @Stake,
te veniva utilizzato per tutti gli attacchi pertanto, non vengono assolutamen- attualmente incorporata dalla Sy-
al protocollo Bluetooth). Questo tipo di te disabilitati, ma solamente respinte mantec, e costituisce POF (Proof Of
attacco, derivato dall'ingeneria socia- le richieste all'SDP. Inoltre, abbiamo Concept) della tecnica di attacco già
le, è molto simile per certi aspetti ad detto che ogni dispositivo ha un suo citata. Bluesniff è un front-end grafi-
un attacco di phishing. BD_ADDR: è composto da 48 bit di co per Redfang.
Oltre a questa procedura empi- cui i primi 24 dipendono esclusiva-
rica, esistono numerosi tool gratuiti mente dal produttore (una sorta di Blueprinting
che consentono anche di realizzare vendor code) e, quindi, sono fissi. E' una sorta di nmap per il Bluetooth.
questo attacco. Degli altri, solo gli ultimi 6 bit iden- La tecnica consente di ricavare in-
Eccone alcuni: Freejack (http: tificano univocamente il dispositivo formazioni tecniche sul dispositivo
//w w w.bluejackq.com/freejack.jar), in quanto servono dei bit per identi- analizzato facendo il matching delle
SMAN (http://www.bluejackq.com/ ficare il tipo di dispositivo (cellulare, caratteristiche percepite con quelle
sman13a-eng.zip), Mobiluck (http:// dongle, cuffia, etc.). Pertanto non è presenti in un database aggiornato.
www.mobiluck.com/download-Blue- assolutamente difficile scoprire un Anche qui esiste un tool per Linux a
tooth-software-all-phones-en.php), apparecchio Bluetooth, anche in mo- riga di comando:
Easyjack (http://www.getjar.com/ dalità nascosta. Infatti, da un punto
products/2758/EasyJack) di vista computazionale, è possibile • Blueprint (http://trifinite.org/
Downloads/bp _v01-3.zip)

Redfang, visto nel paragrafo prece-

�����������
������� dente, si occupa anche di blueprin-
�������
ting.
��

Bluesnarf
��
��

� ���������� E' un attacco derivante dalla cattiva im-

���������� plementazione delle specifiche di molti
������� ����
������ cellulari (numerosi modelli di Ericsson,
Sony-Ericsson, Nokia, Siemens, Mo-
torola). Un elenco più dettagliato delle
� ������������
periferiche implicate è consultabile qui:
������
��������
���������
http://www.thebunker.net/security/
����
������ ��� ��� Bluetooth.htm.
Ma in cosa consiste questo attac-
� ���������� � ���������� co? In null'altro se non collegarsi al
servizio OBEX Push (usato spesso
per scambiarsi i biglietti da visita elet-
�������� ���� ���� tronici). La cattiva implementazioni
���������
������ ��� ��� ��� in alcuni cellulari consente, oltre alla
������� ricezione del biglietto da visita, anche
l'OBEX Get, ovvero la richiesta di file.
Fig. 3 Diagramma funzionale del protocollo Bluetooth Cioè, se so che sul cellulare vittima c'è

www.hakin9.org hakin9 Nº 1/2007 5

 Attacco

il file lovoglio.jar, è possibile scaricarlo si trovano tutta una serie di altri stru-
saltando la fase di autenticazione. menti davvero utili.
Spesso non è neanche necessario
conoscere il path del file sul sistema Bluebug
perchè molti apparecchi memoriz- Anche questa vulnerabilità dipende
zano le informazioni relative al file dalla cattiva implementazione di al-
system su un file di testo di cui è nota cune specifiche e pertanto è presen-
a priori la posizione, dipendente dal te solo in alcuni modelli di periferiche
sistema. Per esempio, i cellulari Erics- mobili. A differenza di Bluesnarf e
son e Sony-Ericsson di prima genera- Bluesnarf++, consente l'esecuzione
zione salvano la rubrica telefonica in di comandi AT sul dispositivo vittima.
telecom/pb.vfc oppure il calendario in Il problema, questa volta, è relativo
telecom/calc.vcs. a servizi sul canale RFCOMM non
Per effettuare questo tipo di at- annunciati da SDP ma comunque
tacco è sufficiente un qualsiasi client utilizzabili.
OBEX. Eccone alcuni: In pratica, un attaccante avrebbe Fig. 6a. Impostamento dei parametri
accesso completo al cellulare, in principali
• obexftp (http://openobex.triq.net/ particolare potrebbe: inviare chia-
obexftp/installing), mate, inviare, leggere e cancellare tremisura una echo request (L2CAP
• obex-commander (ht- SMS/MMS, leggere e scrivere in ping) da spedire verso il dispositivo
tp://intradarma.com/ rubrica, cambiare i parametri di con- vittima. Alcuni terminali ricevono il
OBEXCommander.html). figurazione. dato ma generano errori facendo
Per mostrare questa falla, oltre al bloccare completamente il cellulare
Il primo dei due client è per Linux, il già citato Bluediving, possiamo uti- (alcuni Compaq iPaq, per esempio).
secondo per Windows. lizzare BloooverII (http://trifinite.org/ Possiamo eseguire le nostre
trifinite_stuff_bloooverii.html). Con- prove o con l'utilissimo coltellino
Bluesnarf++ sente di effettuare anche altri attacchi svizzero Bluediving oppure scari-
Molto simile al Bluesnarf, ma con- tra cui Helomoto, in sostanza una cando solo le librerie Bluetooth per
sente l'accesso completo in lettura/ combinazione dell'attacco Bluesnarf e Linux Bluez (http://www.bluez.org/
scrittura al file system senza neces- Bluebug: interrompe la ricezione di un download.html, comunque necessa-
sità di pairing. Vcard e, per un errore di implementa- rie anche per Bluediving) e format-
Qui trovate un tool per fare que- zione, il dispositivo rimane in modalità tando opportunamente il comando
sto tipo di attacco: trusted. A titolo di curiosità, il nome è l2ping. Per molti modelli di iPaq è
dovuto al fatto che è una vulnerabilità sufficiente scrivere:
• Bluediving (http://bluediving.sour tipica dei sistemi Motorola.
ceforge.net/) l2ping -s <num_byte>
Bluesmack con <num_byte> maggiore o uguale a 600.
Questo tool è una vera è propria E' una attacco di tipo DOS, non è
suite, molto utile per eseguire dei altro che un Ping of Death del Blue- Bluebump
pentest molto completi. Nella pagina tooth. Consiste nell'incrementare ol- E' un attacco di ingegneria sociale.
L'attaccante stabilisce una connes-
sione trusted con un dispositivo,
per esempio mandando un Vcard e
forzando il ricevente ad autenticarsi
(Mode-3-Abuse). L'attaccante man-
tiene la connessione aperta e dice
alla vittima di cancellare il collega-
mento alla sua periferica. La vittima
non è chiaramente a conoscenza
che la connessione è ancora attiva.
A questo punto l'attaccante chiede
che venga rigenerata la chiave di
collegamento. In questo modo, ha la
vittima nella sua lista senza doversi
riautenticare. L'attaccante si può
connettere alla vittima finchè non
Fig. 4. Facciamo partire BloooverII Fig. 5. Find devices cancella anche la nuova chiave.

6 hakin9 Nº 1/2007 www.hakin9.org

 Attacco al Bluettoth

Bluedump
Attraverso uno sniffer Bluetooth, è
possibile fare il dumping dei pin e di
alcune chiavi durante una sessione
Bluetooth. L'attaccante deve cono-
scere il BD_ADDR di una coppia
di dispositivi che sono in pairing;
a quel punto l'attaccante spoofa
(sempre attraverso Bluediving,
magari) il BD_ADDR di uno dei due
dispositivi e si connette all'altro.
Quando la vittima procede all'au-
tenticazione, poichè l'attaccante
non ha la chiave di collegamento,
il suo dispositivo risponderà con
un 'HCI_Link_Key _Request_Ne- Fig. 6b. Impostamento dei parametri Fig. 6c. Impostamento dei parametri
gative_Reply ' che, in alcuni casi, principali principali
porterà alla cancellazione della
chiave di collegamento sul disposi- Car whisperer Dalla teoria alla pratica
tivo vittima ed al successivo pairing Attacco alle periferiche Bluetooth au- Vediamo adesso come mettere
con l'attaccante. dio all'interno di una vettura. Il gruppo in pratica parte di quanto visto
trifinite.org lo ha realizzato per sen- nelle pagine precedenti. Tra i
Bluechop sibilizzare i produttori di auto sulla vari software esaminati, utilizzeremo
Attacco che consente di buttare giù sicurezza delle periferiche Bluetooth BloooverII (http://trifinite.org/trifinite_
un'intera piconet. Una periferica all'interno della vettura. Il tool d'attac- stuff_bloooverii.html). Gli attacchi che
esterna ad una piconet spoofa un co carwhisperer (http://trifinite.org/ possiamo provare sono: bluebug, he-
dispositivo slave fuori della piconet trifinite_stuff_car whisperer.html) lomoto, bluesnarf, bluesnarf++ (solo
e poi contatta il master della piconet altro non è se non una raccolta di sulla versione Breeeder), invio di mal-
stessa. Poichè il protocollo prevede alcuni strumenti visti finora, eventual- formed objects attraverso OBEX.
che uno slave acceda alla piconet mente modificati. La tecnica di attac- BloooverII è un software per di-
solo a seguito della richiesta di un co si basa sul fatto che le periferiche spositivi mobili che supportino MIDP
master, questo va in confusione e Bluetooth all'interno dell'autoveicolo 2.0 (Mobile Information Device Profi-
causa la caduta di una piconet. An- hanno le chiavi già preimpostate, a le) e le Bluetooth API JSR-82.
che per questo attacco è utile un tool volte addirittura note perchè stan- Per prima cosa installiamo Blooo-
di spoofing come Bluediving. E' forse dard ('0000' o '1234' per molte cuffie verII (meglio la versione Breeeder
l'unico attacco al protocollo Blue- e/o vivavoce). Il risultato dell'attacco che, come abbiamo visto, supporta
tooth che non sembra dipendere da e la registrazione delle conversazio- anche l'attacco bluesnarf++). Trasfe-
cattive implementazioni dello stack ni della vittima o la trasmissione di riamola sul nostro cellulare attraver-
Bluetooth perchè colpisce trasver- audio fake (notizie del traffico false so IRDA, USB o Bluetooth stesso e
salmente tutti i produttori. o altro).

Worm
Un ulteriore problema del Bluetooth
è quello di essere usato come mezzo
di propagazione per alcuni worm. Un
esempio è Inqtana.A, un worm proof-
of-concept che utilizza la tecnologia
Bluetooth dei sistemi Mac OS X 10.4
(Tiger) per propagarsi. Questo worm
si copia su tutti i dispositivi visibili
attraverso le funzionalità OBEX e
si auto-esegue al successivo riavvio
del sistema.
Esistono comunque altri worm
(molti dei quali sono evitabili con
un comportamento accorto) come Fig 8 Le configurazioni per l'attacco
Fig. 7. Attacco Bluebug Cabir, Mabir ed altri. Bluebug

www.hakin9.org hakin9 Nº 1/2007 7

 Attacco

di leggere la rubrica, di leggere gli

SMS, di scrivere sulla rubrica, di inol-
trare le chiamate ricevute e di iniziare
una nuova chiamata. A questo punto
occorre fare un'ulteriore precisazione.
BloooverII non è un programma per
hacker, bensì un POC (Proof of Con-
cept). Fatta questa premessa, non è
studiato per arrecare danni. Quindi
l'unica chiamata che si può iniziare è
verso numeri gratuiti. Ora è possibile
modificare questa funzione attraverso
un editor esadecimale (tipo HHD Free
Hex Editor, lo si può scaricare qui: ht-
tp://www.hhdsoftware.com/free-hex-
Fig. 9a. Processo dell'attacco Fig 9b. Processo dell'attacco editor.html). In pratica basta modificare
Bluebug Bluebug opportunamente il file e.class che si
trova all'interno di Blooover2b.jar. Una
poi seguiamo la procedura di instal- A questo punto facciamo partire volta aperto l'archivio con un qualsiasi
lazione. Attiviamo il Bluetooth sul BloooverII e ci si presenterà una software di gestione archivi compressi
nostro cellulare. schermata (Fig. 4 ). (WinRAR andrà benissimo), e.class si
Una raccomandazione importan- Proviamo a fare una ricerca delle trova in org\trifinite\bloover2b. Chiara-
te: proviamo sempre un tipo di attacco periferiche con Find devices (Fig. 5). mente queste informazioni non vengo-
per volta con una sola funzione per Una volta trovati i dispositivi, an- no assolutamente date per compiere
volta se non indicato diversamente, diamo a impostare i parametri princi- reati, quindi mi raccomando all'utilizzo
altrimenti il nostro cellulare potrebbe pali (ricordate che vanno reimpostati che ne fate.
crashare. Un'altra raccomandazione è ad ogni avvio di Blooover 2), che po- Le procedure per compiere altri
questa: a volta il programma, nel fare tete vedere nella ùFigura 6. attacchi sono sostanzialmente simili,
l'attacco, segnala il nome del cellulare Impostiamole esattamente così quindi potete provarle da voi. Vorrei
attaccante (per esempio accade sul come nella figura 6. Adesso provia- solamente aggiungere che, a volte,
Nokia 6310i). Quindi, se state facendo mo un paio di attacchi. Prima provia- facendo partire l'attacco Helomoto,
uno scherzo ad un amico, cambiate il mo il Bluebug (Vedi Figura 7). BloooverII si blocca. In questo caso
nome del vostro cellulare in maniera Nel screenshot (Fig. 8) ci sono le ripetiamo l'operazione facendo parti-
tale che non sia riconducibile diretta- configurazioni per l'attacco Bluebug. re Helomoto insieme a Bluebug.
mente a voi. Infine, se l'attacco non Settiamole così come in figura. Ades-
riesce al primo tentativo, non scorag- so scegliamo cosa vogliamo ottenere Riassunto
giatevi e ritentate. A volte è necessa- con questo tipo di attacco (Fig. 9). Come abbiamo visto in questo arti-
rio ripetere l'attacco più volte perchè Nell'ordine (Figure 9a-e), sono colo, le tecniche di attacco al proto-
funzioni correttamente. illustrati gli attacchi che consentono collo sono davvero tante e disparate,

Fig 9c. Processo dell'attacco Fig. 9d. Processo dell'attacco Fig. 9e. Processo dell'attacco
Bluebug Bluebug Bluebug

8 hakin9 Nº 1/2007 www.hakin9.org

 Attacco al Bluettoth

basate per lo più sull'ingenuità degli minacce di ogni rete, anche di quella
utenti o su cattive implementazio- Bluetooth. Un elenco di tutti i telefoni-
ni dello stack Bluetooth da parte ni che dispongono le Java Bluetooth
dei singoli produttori. Ovviamente API installate si trova qui:
quanto appreso in questo articolo h t t p : / / w w w. j 2 m e p o l i s h . o r g /
dovrebbe servirci come aiuto per devices/devices-btapi.html
difendere la nostra privacy e non per La particolarità di questo softwa-
fare i violare quella di qualcun altro! re è che è stato il primo a consentire
Ricordiamoci che un comportamento attacchi che prima erano possibili
attento è la migliore difesa contro le solo con l'utilizzo di un laptop. l

Terminologia
• POF (Proof of Concept): utilizzata in ambito scientifico, è un esperimento pratico
che supporta la teoria esposta all'interno di un trattato o di un articolo,
• Pentest (Penetration Test): sono test che si fanno a reti di tutti i tipi (e quindi anche
Bluetooth) per verificarne l'effettiva sicurezza,
• AT: abbreviazione di Attention, sono comandi che consentono di prendere il con-
trollo completo di un telefonino,
• DOS (Denial of Service): è un attacco massiccio ad un servizio al solo scopo di
farlo crashare e renderlo inaccessibile,
• Ping of Death: il ping della morte prende il nome da una vecchia vulnerabilità di
Windows 95 il quale, se riceveva un comando ICMP (ping per l'appunto) mal for-
mattato, crashava,
• Piconet: rete Bluetooth a stella in cui un dispositivo si comporta da master e gli
altri da slave. Un dispositivo può essere master di una piconet e slave di un'altra.
L'aggregazione di più piconet si chiama scatternet.

In Rete
• http://www.Bluetooth.com/ - sito ufficiale del progetto,
• http://Bluetooth.interfree.it/ - sito su cui è spiegato in modo semplice il Bluetooth,
• http://www.eng.tau.ac.il/~yash/shaked-wool-mobisys05/ - attacco contro E22,
• http://trifinite.org/ - sito del gruppo trifinite,
• http://www.securiteam.com/tools/5JP0I1FAAE.html - sorgente di bluefang,
• http://www.betaversion.net/btdsd/ - Bluetooth Device Security Database,
• http://www.niksula.hut.fi/~jiitv/bluesec.html – sicurezza Bluetooth approfondita,
• http://ftp.vub.ac.be/~sijansse/2e%20lic/BT/Tools/Tools.html – strumenti per la
sicurezza Bluetooth,
• http://it.wikipedia.org/wiki/Bluetooth – pagine wikipedia dedicata a Bluetooth,
• http://www.remote-exploit.org/index.php/BlueTooth – sito con ottimi tool e infor-
mazioni sulle vulnerabilità del Bluetooth.

Cenni sull'autore
Laureatosi a Siena in Ingegneria Informatica, svolge attività di libera professione dal
2001. Si occupa di formazione, sistemi e sicurezza in ambito aziendale. E' amministrato-
re di sistema, responsabile della sicurezza, consulente per la privacy e responsabile dei
sistemi informativi per varie aziende italiane; lavora inoltre come docente per alcune so-
cietà di formazione, tra cui Elea-De Agostini e Percorsi, per conto delle quali svolge alta
formazione a realtà di primaria importanza nel panorama italiano come il Ministero della
Giustizia, IBM, Alitalia e molte altre. Ha tenuto alcune conferenze sull'e-government per il
Comune di Reggio Calabria ed è in possesso di svariate certificazioni informatiche, pre-
valentemente in ambito sistemi e sicurezza ma anche in ambito di Office Automation.
Nel tempo libero fa il preparatore atletico e l'arbitro internazionale di tennis.
Contacto con l'autore: www.ugolopez.it

www.hakin9.org hakin9 Nº 1/2007 9