Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Bluetooth: Londyn 2006

Tagi:

Alexander Gostev
Senior Virus Analyst, Kaspersky Lab

Najpowszechniejszą metodą bezprzewodowej transmisji danych jest Bluetooth. Prawie wszystkie telefony komórkowe posiadają moduł bezprzewodowy, który umożliwia transmisję danych do innych urządzeń oferujących komunikację Bluetooth i pozwala użytkownikowi pracować w trybie bezobsługowym. Bluetooth jest integralną częścią smartfonów, urządzeń PDA i wielu laptopów.

Jak większość osiągnięć technologicznych, Bluetooth szybko przyciągnął uwagę hakerów, którzy próbowali znaleźć sposoby wykorzystania protokołu do własnych celów. Ułatwiali im to nie tylko użytkownicy, którzy nie rozumieli działania technologii Bluetooth w swoich telefonach, ale również błędy w implementacji Bluetootha w urządzeniach przenośnych. W skrócie, można powiedzieć, że sam protokół zawiera błędy.

Na początku 2006 roku firma Kaspersky Lab opublikowała przegląd architektury Bluetooth, który zawierał szczegóły najpowszechniejszych luk w zabezpieczeniu Bluetootha. Kontynuujemy badania nad tą technologią, ponieważ sądzimy, że spojrzenie na Bluetootha z punktu widzenia zagrożeń ze strony złośliwego kodu jest niezwykle istotne. Telefony komórkowe były już celem ataków szeregu różnych wirusów, łącznie z Cabirem. Robak ten jest najbardziej rozpowszechnionym złośliwym programem, który do rozpowszechniania się wykorzystuje technologię Bluetooth. b

Z tematem związane są trzy podstawowe kwestie:

  • Socjotechnika: hakerzy mogą uzyskać dostęp do informacji na telefonie użytkownika, wykorzystując Bluetooth do ustanowienia połączenia "z urządzeniem zaufanym", albo przekonując użytkownika do zmniejszenia poziomu zabezpieczeń/wyłączenia uwierzytelnienia dla połączeń Bluetooth.
  • Luki w samym protokole. Hakerzy mogą kraść dane z telefonu, wykonywać rozmowy telefoniczne lub przesyłać wiadomości, przeprowadzać ataki DoS na urządzenia, wykorzystywać słuchawkę Bluetooth do podsłuchiwania rozmów itd.
  • Złośliwy kod. Telefon może zostać zainfekowany przez robaka, który za pośrednictwem Bluetooth lub MMS roześle się na inne urządzenia. Dane na komputerze ofiary mogą zostać zmodyfikowane, skradzione lub zaszyfrowane.

Aby zaatakowanie telefonu przez Bluetooth było możliwe, musi on działać w trybie "widoczny dla wszystkich". Istnieją wprawdzie sposoby wykrycia telefonów z Bluetoothem działającym w trybie niewidocznym, jest to jednak bardzo skomplikowane, dlatego ten artykuł nie dotyczy takich przypadków. Aby wykryć telefon w trybie niewidocznym, osoba atakująca musi określić adres MAC telefonu; wymaga to sporo czasu, poza tym nie ma gwarancji sukcesu.

Pod koniec 2005 i na początku 2006 roku przeprowadziliśmy badanie w Moskwie, w którym zebraliśmy dane dotyczące liczby telefonów z włączonym Bluetoothem. Badanie zostało przeprowadzone w ruchliwych miejscach, takich jak supermarkety czy Moskiewskie Metro. W przeciągu mniej więcej godziny wykryliśmy około 100 urządzeń w trybie "widoczny dla wszystkich". Wprawdzie liczba ta nie jest bardzo wysoka, wskazuje jednak na potencjalnie niebezpieczną koncentrację: gdyby jedno z tych urządzeń zostało zainfekowane Cabirem, mogłoby dojść do poważnej epidemii wirusowej.

Podczas targów InfoSecurity 2006 w Londynie planowaliśmy zebrać dane dotyczące zarówno sieci WiFi, jak i urządzeń w technologii Bluetooth. Ze względu na dużą liczbę odwiedzających wystawa InfoSecurity stanowiła idealne miejsce na przeprowadzenie takiego badania. Postanowiliśmy wykonać podobne testy również w innych miejscach Londynu (również w Mertrze) w celu porównania danych z tymi uzyskanymi w Moskwie.

W ciągu trzech dni, w czasie których przeprowadzaliśmy nasze badania, wykryliśmy ponad 2000 urządzeń z włączonym Bluetoothem w trybie "widoczny dla wszystkich". Ponad połowa z tych urządzeń została wykryta na targach InfoSecurity i należała zarówno do zwiedzających, jak i wystawców. Podobne badanie przeprowadził niedawno podczas targów CeBIT 2006 jeden z naszych partnerów - fińska firma F-Secure.

Oprócz zebrania danych, które wykorzystaliśmy w naszej prezentacji na targach InfoSecurity, postawiliśmy sobie za cel przechwycenie wirusów dla telefonów komórkowych. Telefony i laptopy skonfigurowaliśmy w taki sposób, aby były w trybie "widoczny dla wszystkich" i aby wszystkie pliki były automatycznie akceptowane i zapisywane. Przy wyborze nazw urządzeń uwzględniliśmy fakt, że większość robaków dla urządzeń mobilnych skanuje w poszukiwaniu dostępnych urządzeń, a następnie wysyła się na pierwsze urządzenie z listy.

W naszych testach wykorzystywaliśmy programy BlueSoleil, Blue Auditor i BT Scanner.

Jak już wspomnieliśmy, pierwsza część naszego badania została przeprowadzona podczas targów InfoSecurity. Na pewnym etapie liczba znajdujących się w zasięgu urządzeń była tak ogromna, że oprogramowanie miało problemy z przetwarzaniem wszystkich danych: w promieniu 100 metrów wykryliśmy ponad 100 urządzeń w trybie "widoczny dla wszystkich". W ostatnim dniu wystawy przyszło mniej zwiedzających, mimo to w ciągu zaledwie godziny zdołaliśmy wykryć ponad 700 urządzeń. Wystarczyłby tylko jeden zainfekowany telefon, aby w przeciągu niecałej godziny zainfekowane zostały niemal wszystkie niezabezpieczone urządzenia.

Druga część naszego testu została przeprowadzona równocześnie z badaniem sieci WiFi w dzielnicy Canary Wharf. Poszukiwania prowadziliśmy również w Metrze Londyńskim w godzinach szczytu oraz na trzech głównych stacjach kolejowych Londynu: Victoria, King's Cross oraz Waterloo.

Do oszacowania prawdopodobieństwa wystąpienia epidemii wirusów mobilnych wykorzystaliśmy dane dotyczące epidemii spowodowanych przez wirusy biologiczne oraz matematyczne modele epidemiologiczne. Obliczyliśmy, że przy przeciętnej liczbie urządzeń przenośnych na metr kwadratowy robak atakujący urządzenia przenośne potrzebowałby 15 dni do zainfekowania prawie wszystkich niezabezpieczonych urządzeń w Moskwie. W rzeczywistości zajęłoby mu to trochę dłużej. Wynik ten pokazuje jednak, jak duże jest ryzyko wystąpienia epidemii lokalnej. Z podobną epidemią mieliśmy już do czynienia w zeszłym roku w Helsinkach, podczas Mistrzostw Świata w Lekkiej Atletyce (według informacji podawanych przez F-Secure).

Typy urządzeń

Poniżej przedstawiamy rodzaje wykrytych urządzeń, które wykorzystują Bluetooth:

0605_londonbt_chart1_en.png

Ogromną większość wykrytych urządzeń (ponad 70%) stanowiły standardowe telefony komórkowe - urządzenia nie posiadające w pełni funkcjonalnego systemu operacyjnego, które teoretycznie mogą zostać zainfekowane tylko przez wirusy napisane dla J2ME (Java Mobile). Jednak wszystkie z tych telefonów narażone są na ataki Bluetooth wykorzystujące luki w protokole Bluetooth. W badaniu przeprowadzonym w Moskwie ustaliliśmy, że około 25% wykrytych urządzeń narażonych było na ataki BlueSnarf.

BlueSnarf jest prawdopodobnie najpopularniejszym atakiem Bluetooth. Atakujący wykorzystuje OBEX Push Profile (OPP), zaprojektowany w celu wymiany wizytówek i innych obiektów. W większości przypadków usługa ta nie wymaga uwierzytelniania. Atak BlueSnarf polega na wysłaniu żądania OBEX GET dla znanych powszechnych plików, takich jak 'telecom/pb.vcf' (książka telefoniczna) lub 'telecom/cal.vcs' (kalendarz). Jeżeli oprogramowanie urządzenia nie zostało zaimplementowane poprawnie, agresor może uzyskać dostęp do wszystkich plików zapisanych na atakowanym urządzeniu.

Tego rodzaju danych nie próbowaliśmy zbierać podczas targów InfoSecurity, ponieważ nie mieliśmy pewności, czy skanowanie w poszukiwaniu luk w zabezpieczeniu jest legalne. Zgromadziliśmy tylko dane transmitowane przez urządzenia otwarcie i na ich podstawie sformułowaliśmy wnioski.

Drugim najbardziej rozpowszechnionym typem urządzeń były smartfony, stanowiące około 25% wszystkich urządzeń. Świadczy to o rosnącej popularności urządzeń wykorzystujących systemy operacyjne Windows Mobile oraz Symbian. Przy tak dużym współczynniku wzrostu możemy się spodziewać, że w przyszłym roku liczba smartfonów dorówna liczbie standardowych urządzeń. Smartfony działające pod kontrolą systemu Symbian są obecnie głównym celem twórców wirusów; jednak wraz ze wzrostem popularności Windows Mobile, który w wielu krajach wyprzedza Symbiana, system ten będzie atakowany przez coraz więcej wirusów.

Na trzecim miejscu znalazły się laptopy z adapterami Bluetooth. Chociaż stanowiły tylko 3% wszystkich wykrytych urządzeń, prawdopodobnie są one bardziej narażone na ataki hakerów niż standardowe telefony czy smartfony. Wynika to z tego, że na laptopach przechowywanych jest o wiele więcej danych i są one potencjalnie o wiele bardziej użyteczne dla hakerów niż dane przechowywane na telefonie.

Zaskoczeniem było dla nas wykrycie bardzo małej liczby urządzeń PDA - stanowiły one mniej niż 2% wszystkich wykrytych urządzeń. Pośrednio może być to związane z faktem, że użytkownicy PDA są świadomi problemów bezpieczeństwa Bluetooth i wykazują odpowiednią ostrożność.

W sumie wykryliśmy ponad 2 000 urządzeń 12 różnych typów. Wśród nich znalazły się również urządzenia z grupy Nieskategoryzowany i Różne, stanowiły jednak mniej niż 1%.

Producenci sprzętu

Dzięki uzyskanym danym dotyczącym producentów sprzętu możemy dużo powiedzieć na temat rynku urządzeń przenośnych. Dane te pozwalają określić, które systemy operacyjne wykorzystują smartfony i urządzenia PDA oraz jaki jest udział producenta w rynku.

W sumie zidentyfikowaliśmy 35 producentów urządzeń, z czego 6 należało do najpopularniejszych i stanowiło ponad 67% wszystkich wykrytych urządzeń. W znacznej liczbie przypadków (25,5%) nie byliśmy w stanie ustalić producenta.

0605_londonbt_chart2_en.png

Jak wynika z danych, najpopularniejsze były telefony Nokia, na drugim miejscu znalazły się telefony Sony Ericsson. 6 lokatę, dzięki sporej liczbie wykrytych laptopów i komputerów, zdobył USI.

Wcześniej przedstawialiśmy, jaki typ urządzeń wytwarzają poszczególni producenci. Warto więc przyjrzeć się następującym danym:

Nokia
Telefon/Smartfon 26,7%
Telefon/Urządzenie mobilne 73,3%

Sony Ericsson
Telefon/Smartfon 10,9%
Telefon/Urządzenie mobilne 88,9%
Inne 0,2%

Murata
Telefon/Urządzenie mobilne 99,4%
Komputer/Komputer stacjonarny 0,6%

Samsung
Telefon/Urządzenie mobilne 65,7%
Telefon/Urządzenie bezprzewodowe 34,3%

Texas Instruments
Telefon/Urządzenie mobilne 62,2%
Komputer/Handheld 26,8%
Telefon/Smartfon 9,8%
Komputer/PDA 1,2%

USI
Komputer/Laptop 81,6%
Komputer/Komputer stacjonarny 18,4%

Nieznani producenci
Telefon/Urządzenie mobilne 50,8%
Telefon/Smartfon 41,9%
Komputer/Laptop 4,9%
Telefon/Urządzenie bezprzewodowe 2,1%
Komputer/Komputer stacjonarny 0,2%
Audio-Video/Zestaw głośnomówiący 0,2%

Dostępne usługi

Dane dotyczące dostępnych usług są interesujące z tego względu, że do pewnego stopnia wskazują, jakie ataki hakerskie mogą zostać przeprowadzone oraz jakie jest prawdopodobieństwo zainfekowania urządzenia złośliwym programem. Gdy urządzenie z włączonym Bluetoothem nawiązuje połączenie z innym urządzeniem, udostępniany jest szereg różnych usług. Na przykład, jeśli ustanowisz połączenie ze swoim przyjacielem w celu transmisji danych, twój telefon umożliwi mu wykonywanie rozmów telefonicznych i wysyłanie SMS-ów, przeglądanie twojej książki telefonicznej itd. Pomyśl, co by się stało, gdyby na miejscu twojego przyjaciela znalazł się haker - na skutek wykorzystania socjotechniki albo luki w zabezpieczeniu Bluetootha.

Zebrane przez nas dane ukazują rodzaje usług, do jakich szkodliwi użytkownicy mogą uzyskać dostęp, a następnie wykorzystać je.

Na początek przyjrzyjmy się danym dotyczącym usług dla wszystkich wykrytych urządzeń. W ponad 2 000 wykrytych urządzeń zidentyfikowaliśmy około 6000 usług:

0605_londonbt_chart3_en.png

Oznacza to, że średnio na każdym urządzeniu dostępne były trzy usługi (6000 podzielone przez 2000). W rzeczywistości wykryliśmy urządzenia z 5 lub 6 dostępnymi usługami.

Jak wynika z przedstawionych wyżej danych, najpopularniejsze były następujące usługi:

  • Object Transfer (transmitowanie/otrzymywanie plików) - usługa wykorzystywana w ponad 90% urządzeń
  • Telephony (wykonywanie/otrzymywanie rozmów telefonicznych, wiadomości) - usługa wykorzystywana w ponad 90% urządzeń
  • Networking (możliwość dostępu do Internetu za pośrednictwem wewnętrznego modemu) - usługa wykorzystywana w ponad 65% urządzeń

Ze względu to, że telefony i smartfony są najpopularniejszymi urządzeniami z włączonym Bluetoothem, warto przyjrzeć się danym dotyczącym tych urządzeń oddzielnie.

Smartfony

Stosunek liczby urządzeń do usług wynosił mniej więcej 1:2.

0605_londonbt_chart4_en.png

Dane przedstawione wyżej znacznie różnią się od ogólnych liczb.

Ogólnie, najbardziej rozpowszechnioną usługą był OBEX. Jednak usługę tą wykryto w mniej niż 90% smartfonów. Na pierwszym miejscu znalazła się usługa "Telephony". Trzecia pod względem popularności - i tu spotkała nas niespodzianka - nie była usługa "Networking", ale "Audio". Wygląda na to, że smartfony o wiele częściej wykorzystywane są do pracy z bezprzewodowymi urządzeniami audio niż w celu nawiązania połączenia z siecią.

Jednak jak wiemy, smartfony są głównym celem ataków mobilnego złośliwego oprogramowania, które w celu rozprzestrzeniania się wymaga usługi "Object Transfer". Mniej więcej 30% wszystkich wykrytych smartfonów zostało wyprodukowanych przez Nokię i działało pod kontrolą systemu Symbian, platformy najczęściej wykorzystywanej przez mobilne złośliwe oprogramowanie, łącznie z robakami Cabir i Comwar.

Telefony

Jeśli chodzi o standardowe telefony, współczynnik urządzeń do dostępnych usług wynosił mniej więcej 1:3. Był to nieco zaskakujący wynik, ponieważ smartfony mają o wiele większą funkcjonalność niż standardowe telefony. Prawdopodobnie wynikało to z lepszej konfiguracji polityki bezpieczeństwa w usługach smartfonów.

0605_londonbt_chart5_en.png

Dane statystyczne ukazujące trzy najpopularniejsze usługi dostępne w klasycznych telefonach niewiele różnią się od danych dla wszystkich rodzajów urządzeń. Nie ma w tym nic zaskakującego, zwłaszcza że standardowe telefony stanowiły prawie 70% wszystkich wykrytych urządzeń.

Interesujące jest to, że współczynnik usług OBEX do "Telephony" jest odwrotny niż dla smatrfonów. Ponad 97% telefonów miało dostępną usługę transmisji plików (w porównaniu z 80% smartfonów). O wiele popularniejsza była również usługa "Networking" - dostępna w prawie 90% telefonów.

Luki, które mogą zostać wykorzystane podczas korzystania z usługi "Telephony", stanowią zagrożenie zarówno dla standardowych telefonów, jak i smartfonów. Luki w zabezpieczeniu i potencjalna infekcja wirusem, które mogą zostać wykorzystane podczas transmisji plików, są większym zagrożeniem dla standardowych telefonów niż dla smartfonów. Usługa "Networking", która jest podstawą szeregu innych ataków, jest również popularniejsza w telefonach niż smartfonach.

Niestety nie udało nam się przyjąć żadnego zainfekowanego pliku. Nie wykryliśmy żadnej próby przesłania zainfekowanego pliku. Otrzymaliśmy wiele plików, głównie gdy byliśmy w samym Londynie, a nie podczas targów InfoSecurity. Wszystkie z nich były jednak nieszkodliwe. Wniosek jest jeden: albo tzw. "bluejacking" (wysyłanie muzyki, grafiki i gier) jest tak samo popularny w Londynie jak w Moskwie, albo pliki te zostały wysłane przez pomyłkę. Jednak wysyłanie i otrzymywanie takich plików również stanowi pewne ryzyko dla obu stron: osoba wysyłająca może przesłać plik do niewłaściwego odbiorcy, a odbiorca może przyjąć plik z wirusem, sugerując się tym, że wszystkie pliki, jakie do tej pory otrzymał były nieszkodliwe.

Wyniki naszego badania pokazują, że wciąż należy informować użytkowników o zagrożeniu wynikającym ze stosowania technologii Bluetooth. Również producenci telefonów i smartfonów powinni zacząć poświęcać więcej uwagi lukom w zabezpieczeniu Bluetootha i błędom w zabezpieczeniu usług, które mogłyby zostać wykorzystane przez szkodliwych użytkowników.

Źródło:
Kaspersky Lab