Uno de los hechos que hace que esta tecnología sea de bajo costo, es la reducida potencia que requiere para funcionar: tan sólo 0,1 Watt, situación que disminuye considerablemente el consumo de los equipos, y que sin duda permitió incorporarla a los teléfonos celulares y a las PDA sin que afecte, en exceso, el consumo de sus baterías.

El Bluetooth permite la comunicación inalámbrica entre diferentes dispositivos que posean la misma tecnología.

Sin embargo, en la frecuencia que opera (en la banda no licenciada) debió enfrentarse al temor elemental de cualquier comunicación inalámbrica, la interferencia, y a fin de superarla se implementaron las siguientes características:

• Frequency Hoping: Patrón de saltos predefinido.
• Saltos de 1MHz sobre 79 frecuencias diferentes entre 2.402GHz y 2.480GHz.
• Posee saltos entre frecuencias más rápidos que en otras tecnologías inalámbricas (1600 Saltos por segundo).

• Clase 1 (hasta 10 centímetros)
• Clase 2 (hasta 10 metros)
• Clase 3 (hasta 100 metros)

Baseband Layer: es la capa física, provee corrección de errores y características de seguridad a través de la encripción de datos. También administra los saltos de frecuencia y los datos contenidos en el header del paquete.

Link Manager Protocol (LMP): es el contenedor de aproximadamente 20 PDU Protocol Data Units. Estas unidades son enviadas desde un dispositivo al otro, algunas de las más utilizadas son:

• Power Control
• Autentication
• Calidad de Servicio (QOS)

Host Controller Interface: envía comandos a las dos capas inferiores, permitiendo una vía para la utilización, de las bondades de Bluetooth.

The Logical Link Control and Adaptation Protocol (L2CAP): controla el link entre dos dispositivos y es la encargada de proveer los servicios a los mismos.

Cable Replacement Protocol (RFCOMM): es el protocolo de transporte, envía la señal montada sobre L2CAP.

Service Discovery Protocol (SDP): Busca otros dispositivos Bluetooth disponibles y tiene la capacidad de establecer una conexión entre ellos. Se comunica directamente con la capa de L2CAP.

Las Piconet sólo pueden aceptar hasta siete Slaves conectados, sin embargo soporta hasta 200 dispositivos pasivos.

Los Slaves pueden, a su vez, estar interconectados a diferentes Piconet, formando lo que se denomina “Scatternet”, pero esta característica no se aplica al Master ya que sólo puede estar en una Piconet.

• Modo Descubrimiento
• Modo No Descubrimiento

Cabe mencionar que si algún dispositivo se encuentra en modo No Descubrimiento, igualmente puede ser mapeado siempre y cuando el atacante conozca la Mac Address (BD_ADDR)

Los modelos de Seguridad de los dispositivos Bluetooth se clasifican en tres modos primarios:

Modo 1:
Sin seguridad (Modo Default):
Esencialmente, los mecanismos de autenticación y cifrado están deshabilitados.

Modo 2:
Aplicación/ Nivel Servicio:
Ocurre en la capa L2CAP, nivel de servicios. Primero se establece un canal entre el nivel LM y el de L2CAP y recién entonces se inicializan los parámetros de seguridad.

Como característica, el acceso a servicios y dispositivos es controlado por un Gestor de Seguridad, por lo tanto, variando las políticas de seguridad y los niveles de confianza, se pueden gestionar los accesos de aplicaciones con diferentes requerimientos de seguridad que operen en paralelo.

Otra característica importante de este modo es que no hay ninguna codificación adicional de PIN o claves.

Modo 3:
Autenticación vía PIN/ Seguridad a nivel MAC/ Encripción:
Ocurre a nivel de Link y todas las rutinas se corren internamente en el chip BlueTooth, por lo que nada se transmite en texto plano. A diferencia del Modo 2, los procedimientos de seguridad se inician antes de establecer algún canal y el cifrado se basa en la autenticación PIN y seguridad MAC. Básicamente, comparte una clave de enlace (clave de link) secreta entre dos dispositivos. Para generar esta clave, se usa un procedimiento de “paring” cuando los dos dispositivos se comunican por primera vez.

Paring:
Para comprender el proceso de Paring o Emparejamiento, debemos aclarar que por default, la comunicación Bluetooth no se valida, de manera tal que cualquier dispositivo puede o podría hablar con cualquier otro.

Un dispositivo Bluetooth se autentifica con otro si requiere utilizar un determinado servicio (por ejemplo para el servicio de marcación por módem).

Como ya mencionamos, la forma de autentificarse es mediante códigos PIN (cadena ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dispositivo cliente como así también el proveedor del servicio, deben introducir el código PIN. Obviamente, en ambos casos, el código ingresado debe ser exactamente el mismo.

Al finalizar este proceso correctamente, ambos dispositivos generan una clave de enlace que se puede almacenar en el propio dispositivo o en otro de almacenamiento externo. Esto se emplea, por ejemplo, para transmitir datos entre teléfonos celulares que cuenten con esta tecnología.

Dicha clave será utilizada la siguiente vez que se comuniquen ambos dispositivos sin la necesidad de la intervención de los usuarios para que coloquen nuevamente sus contraseñas.

Si alguno de los dos dispositivos pierde la clave, se debe realizar todo el proceso nuevamente. Todo este proceso es conocido como emparejamiento o Paring.

Los lugares donde más fácilmente se puede obtener información como la mencionada anteriormente, son los espacios públicos, como por ejemplo:

• En el cine
• En una plaza con mucha gente
• En una biblioteca
• En un centro comercial o un bar
• En un campo de fútbol
• En alguna tienda de telefonía
• En el tren - autobús

Desde principios de 2003, comenzaron a hacerse públicas algunas debilidades y vulnerabilidades que afectaban directamente a esta tecnología.

La primera fue descubierta por la gente de Atstake y fue denominada War Nibling: permite descubrir a todos los dispositivos que estén en el alcance del atacante, estén en modo descubrimiento o no. Después, y de la mano de Adam Laurie y la gente del grupo Trifinite, fueron descubiertas las siguientes técnicas:

1) BluePrinting
Es una técnica de Fingerprinting pero de dispositivos Bluetooth, que permite detectar básicamente:

• Fabricante del dispositivo
• Modelo del dispositivo

Se basa en la dirección Mac Address del dispositivo y está compuesta por seis bytes: los primeros tres indican el fabricante y los restantes el modelo. Las herramientas para estos ataques buscan dispositivos que se encuentren en Modo Descubrimiento, toman las direcciones Mac y las compara contra la base de firmas que posee, determinando así el Fabricante del dispositivo y su modelo (ver tabla ejemplo en el Anexo 1 “BluePrint Device Hashes”). Para el caso de los dispositivos que no se encuentren en Modo Descubrimiento, existen herramientas que se basan en ataques de Brute Force.

2) BlueBug
Es una vulnerabilidad que fue encontrada en varios teléfonos celulares con interfaz Bluetooth. Permite enviar comandos AT al celular, a través de un canal encubierto de la tecnología Bluetooth, permitiendo al atacante:

• Extraer del celular la agenda telefónica y calendario, entre otros.
• Modificar o Borrar entradas en el calendario, o en los contactos telefónicos.
• Enviar un mensaje SMS desde el celular comprometido.
• Provocar que el celular comprometido, realice llamadas telefónicas a los números que el atacante desee.

3) BlueSnarfing
Este es el ataque que se aprovecha del bluebug, y permite extraer información de un celular, en vez de insertarla. Varios equipos son vulnerables a este ataque (Nokia 6310,6310i y varios otros). En agosto de 2004 lograron llevar más allá los límites de alcance de un dispositivo clase uno, logrando extraer y modificar la agenda telefónica y el calendario de un teléfono celular a una distancia de 1,78 Km. Utilizando una Laptop bajo Linux (Con todas las librerías de Bluetooth), con un adaptador USB Bluetooth modificado (Clase 1) y una antena direccional, cuyo objetivo era un Celular Nokia 6310 Dispositivo (Clase 2).

4) BlueSmack
Es un ataque de Denegación de servicio que aprovecha las debilidades en la implementación de Bluetooth, más puntualmente en L2CAP. Permite malformar un requerimiento causando que el dispositivo se cuelgue o se reinicie, sin necesidad de establecer un conexión previa. Es similar al conocido ping de la muerte, l2ping es una funcionalidad que está presente en las librerías Bluez, de Linux, y permite a un atacante especificar el tamaño del paquete a enviar.

5) BlueBump
Su fin es robar la link-key del teléfono de la víctima para establecer posteriores conexiones, sin que ésta lo note y aparentando ser un dispositivo confiable. Este tipo de ataque incorpora técnicas de Ingeniería social, pero fundamentalmente se basa en el beneficio de poder regenerar la link-key mientras la conexión está establecida.

6) BlueSpam
Es un ataque basado en la búsqueda de dispositivos en Modo Descubrimiento, a los cuales luego les enviará mensajes arbitrarios creados por el atacante. Este tipo de ataques no requiere la interacción por parte de la víctima para recibir el spam.

7) BlueJacking
Es el ataque quizás más inofensivo, pero desde el cual se han sentado muchas bases para nuevos ataques. Consiste en conectarse a un dispositivo Bluetooth y colocarle imágenes, mensajes o contactos al dueño del dispositivo. También es utilizado para realizar ingeniería social y utilizarla en complemento con otro tipo de ataques que requieran que los equipos estén aparejados.

8) Cracking BT PIN
Como sucede en 802.11, la implementación de los algoritmos de encripción y seguridad poseen importantes debilidades. En el caso de Bluetooth, éste contiene varios elementos, como el management de llaves de encripción y autenticación basado en un PIN, los cuales son utilizados en el proceso de Paring: su utilización reside en la decisión del usuario.

El algoritmo que brinda seguridad a estas tecnologías es SAFER+, un algoritmo simétrico de encripción por bloque que permite la utilización de llaves de 128, 192 y 256. Para el presente caso el algoritmo utilizado es Safer+ de 128bits.

De este modo, un atacante podría interceptar el PIN durante el proceso de paring de dos dispositivos, para luego poder monitorear toda la conversación.

El proceso de Cracking de PIN demora 0,06 Milésimas de segundo en un Pentiun IV 3Ghz (PIN 4 Dígitos).

Muchas corporaciones dan a sus directivos estos dispositivos, sin tener en cuenta los riesgos asociados a los que se expone la información contenida en ellos. Es por esto que hay que crear la conciencia necesaria y tomar medidas que permitan mitigar los riesgos asociados.

“La creatividad es una de las herramientas de ataque,
contra la que muy pocos desarrollan contramedidas”.

Referencias: www.bluetooth.org www.trifinite.org