Czy Bluetooth nigdy już nie będzie bezpieczny? BLUFFS #37c3

00:00

Cześć!

00:00

Jak myślisz — czy da się złamać zabezpieczenia prawie wszystkich połączeń Bluetooth?

00:05

Okazuje się, że podobno tak.

00:07

Podsłuchiwanie tego, co mówisz przez zestaw głośnomówiący?

00:10

Proszę bardzo.

00:11

Przechwytywanie wszystkiego co piszesz na klawiaturze, wliczając w to loginy i hasła?

00:15

Jeszcze jak.

00:16

Otwieranie samochodu, który pozwala na korzystanie z kluczyków bluetooth?

00:20

Jedziemy.

00:21

Dobra, żeby nie było aż tak clickbaitowo,

00:23

na szczęście nie dotyczy to każdego jednego przypadku, ale o szczegółach za chwilę.

00:28

Na grudniowym Chaos Computer Club zachwyciło mnie wystąpienie jednego z badaczy,

00:33

Daniele Antonioliego z francuskiego instytutu Eurecom.

00:37

Pokazał on, że Bluetooth jako protokół jest zwyczajnie zepsuty w swoich założeniach

00:43

i prawdopodobnie większości urządzeń, które mamy wokół siebie nie da się i nigdy nie będzie się dało naprawić.

00:49

Diabeł tkwi w szczegółach, dlatego chodźmy wprost do piekła.

00:53

No, przynajmniej takiego bezpiecznikowego, na spotkanie z królem Haraldem Bluetoothem!

00:58

Zapraszam!

01:05

Bluetooth to technologia, z której korzystają do komunikacji miliardy urządzeń na całym świecie

01:11

od bezprzewodowych słuchawek, przez klawiatury, sensory wszystkiego, co tylko możliwe, po smart-zegarki i samochody.

01:18

Ale warto w tym miejscu dokonać ważnego rozróżnienia.

01:21

Część urządzeń nie wymaga od połączenia bezprzewodowego wysokiej przepustowości w przesyle danych,

01:26

za to zależy im na oszczędnościach w zużyciu energii.

01:29

Mowa tu o zabawkach internetu rzeczy, fitness trackerach czy też różnych czujnikach.

01:35

Dla nich właśnie powstał dodatkowy pod standard, czyli Bluetooth Low Energy, w skrócie BLE.

01:41

I on nie będzie tematem dzisiejszego odcinka.

01:44

Skupię się na klasycznym Bluetooth, który jest z nami przecież od lat, w coraz to nowszych wersjach.

01:49

A ta bardzo długa kariera niesie za sobą pewne dodatkowe zagrożenia w imię kompatybilności wstecznej.

01:56

No bo przecież skoro istnieje standard, to do zakupionego parę dni temu telefonu czy też laptopa,

02:01

powinniśmy móc podłączyć słuchawki bezprzewodowe sprzed ćwierć wieku.

02:06

A wtedy zagrożenia i sposoby przeciwdziałania im były na zupełnie innym poziomie.

02:12

Kiedy dodamy do tego fakt, że urządzeń korzystających z Bluetooth jest wokół Ciebie w tej chwili co najmniej kilka,

02:17

to złamanie jego zabezpieczeń ma potencjalnie ogromny wpływ na Twoje bezpieczeństwo.

02:23

Tylko jak to zrobić?

02:28

Daniele postanowił zająć się tym tematem, nie pierwszy zresztą raz.

02:32

Tym razem doszedł do wniosków, które opublikował w pracy pod tytułem BLUFFS,

02:36

który to akronim rozwija się w dość niestandardowy sposób.

02:39

A więc do rzeczy.

02:40

Kiedy parujemy ze sobą jakieś dwa urządzenia Bluetooth,

02:44

dochodzi między nimi do wymiany kluczy i ustalenia wspólnego sekretu,

02:48

aby prowadzona od tej pory komunikacja była szyfrowana.

02:52

Klucze te dla porządku nazwijmy kluczami parowania,

02:55

bo w całym procesie występuje ich więcej, dlatego warto ich nie pomylić.

02:59

Parowania dokonuje się raz i te klucze nie ulegają zmianie przez cały czas, kiedy takie sparowanie jest aktywne.

03:07

Czasem nawet latami.

03:08

Zdarza się też, że w trakcie tego procesu wyskakują nam komunikaty,

03:12

abyśmy potwierdzili, że widzimy na obu ekranach takie same cyfry.

03:17

Może i jest to irytujące, ale ma pozwolić uniknąć sytuacji,

03:21

w której ktoś chciałby się pod jedno z tych urządzeń podszyć

03:24

i w efekcie przeprowadzić na nas atak kategorii man-in-the-middle i podsłuchiwać wszystko, co przesyłamy.

03:31

Ale samo sparowanie nie wystarcza jeszcze, aby prowadzić z sukcesem dalszą komunikację.

03:36

Do tego potrzebujemy jeszcze nawiązać sesję i sesja taka dla odmiany jest ustalana tymczasowo za każdym razem,

03:44

kiedy sparowane już urządzenia łączą się ze sobą ponownie.

03:48

No bo nie zawsze są przecież w swoim zasięgu ani nie są stale włączone.

03:53

Na tym etapie dochodzi do ustalenia nowych kluczy i nowych sekretów na czas trwania takiej właśnie sesji.

04:00

Nazwijmy je więc kluczami sesji.

04:02

Ustalenie ich nie jest wcale takie trywialne,

04:05

co po części jest wynikiem konieczności wspierania urządzeń korzystających z wielu generacji standardu.

04:11

Urządzenia muszą porozumieć się co do tego, jakie zabezpieczenia i w jakich wersjach wspierają.

04:17

Jedną z takich rzeczy jest security mode, czyli tryb bezpieczeństwa.

04:22

Występuje on w dwóch wersjach, nowszej Secure Connection oraz leciwej już, nazwanej Legacy Secure Connection.

04:31

Nie będziecie pewnie zaskoczeni, że wersja Legacy nie jest tak odporna na ataki jak jej młodsza siostra.

04:37

Tylko jak użyć tego w niecnych celach?

04:40

To dobre miejsce na kilka słów w kwestii wymagań dotyczących poufności komunikacji.

04:48

Bardzo istotną cechą bezpiecznej, poufnej i trwającej w miarę ciągle komunikacji

04:54

jest odporność protokołu na wypadek odszyfrowania pojedynczej wiadomości.

04:58

O co chodzi?

04:58

To dokładnie tak jak w komunikatorach.

05:01

Jeżeli ktoś przechwyci jakąś wiadomość i uda mu się ją odszyfrować,

05:05

to protokoły komunikacji powinny być zaprojektowane w taki sposób,

05:09

aby pozyskane przez niego informacje nie pozwoliły ani odszyfrować tego,

05:13

o czym rozmawialiśmy wcześniej, jak i tego, co będziemy dalej pomiędzy sobą przesyłać.

05:19

Fachowo pojęcia te nazywają się Forward Secrecy,

05:22

co dotyczy bezpieczeństwa minionych wiadomości oraz Future Secrecy, czyli odporności tego, co dopiero powiemy.

05:29

Zapewnienie tych cech daje nam pewność,

05:31

że ewentualny wpływ takiego nawet teoretycznego złamania szyfru jest bardzo ograniczony.

05:37

W efekcie też znacznie podnosi skomplikowanie,

05:40

a tym samym koszty zaprojektowania gotowego narzędzia do łamania całości takiej komunikacji.

05:46

Jak więc zapewnić tak Forward jak i Future Secrecy?

05:50

Ano zmienia się często klucze szyfrujące.

05:53

Nawet dla każdej pojedynczej przesłanej wiadomości.

05:57

A do wygenerowania nowych kluczy wykorzystuje się poprzednie.

06:00

I tak się to po kolei roluje.

06:03

Jeżeli implementacja jest poprawna, to nie da się nawet posiadając aktualny klucz odtworzyć poprzedniego.

06:10

Dlatego właśnie bezpieczne komunikatory mają taki problem z odtwarzaniem historii konwersacji,

06:15

co postanowił ostatnio naprawić Facebook, o czym zrobiłem materiał.

06:19

No ale dość tej autopromocji.

06:21

Bo co z przyszłymi wiadomościami?

06:24

Podobnie.

06:24

Też do wygenerowania następnego klucza wykorzystamy ten poprzedni,

06:28

ale do mechanizmu jego stworzenia dodamy jakiś element pseudolosowy,

06:32

którego siłą rzeczy nie pozna przecież ktoś odszyfrowując tylko jedną wiadomość.

06:39

Co więc o takich kwestiach mówi specyfikacja Bluetooth?

06:42

Ano... nic, bo okazuje się, że temat Forward i Future Secrecy nie jest w niej poruszany wcale, co tym bardziej dziwi,

06:52

że w innych zastosowaniach jest to bardzo istotny aspekt wielu rozwiązań dbających o bezpieczeństwo komunikacji.

06:59

Co dziwi chyba jeszcze bardziej,

07:01

okazuje się, że nie ma jakoś zbyt wielu badań w tym zakresie dla Bluetootha, albo przynajmniej nie było do tej pory.

07:08

Co więc odkrył Daniele?

07:13

Zacznijmy od kilku założeń.

07:14

W realnym świecie atakowanie samego procesu parowania urządzeń nie jest zbyt praktyczne.

07:20

Parowanie wykonuje się rzadko, przeważnie jednokrotnie.

07:23

Zaraz po odpakowaniu nowej zabawki z pudełka,

07:26

więc atakujący musiałby być obecny dokładnie w tym momencie.

07:30

Chwila nieuwagi, no i nici z ataku.

07:32

W przypadku BLUFFS mowa więc o urządzeniach już sparowanych,

07:36

czyli pewnie dokładnie tak jak używamy na co dzień klawiatury,

07:39

myszki czy też słuchawek albo podłączamy telefon do samochodu.

07:43

Atakujący więc nie podgląda procesu parowania.

07:47

Po prostu pojawia się znienacka w dowolnym miejscu, w dowolnym czasie.

07:52

Oczywiście musi być blisko, bo pamiętajmy, że mowa jest o Bluetooth.

07:56

Okazuje się, że w paru prostych trikach możemy zmusić dwa urządzenia,

08:01

aby ustaliły do szyfrowania komunikacji prosty do złamania klucz.

08:06

Jak?

08:06

W trakcie ustalania sesji.

08:08

Na samym początku tego procesu — zaznaczam sesji nie parowania, urządzenia są już sparowane

08:14

— atakujący wcina się między wódkę a zakąskę stosując atak man-in-the-middle.

08:19

Czyli po jednej stronie nasłuchuje, przetwarza co usłyszał,

08:23

czasami nawet dokonuje drobnych zmian, o ile ma taką możliwość, a następnie przesyła dalej.

08:28

Zmusza w ten sposób oba urządzenia, aby skorzystały z przestarzałego protokołu bezpieczeństwa,

08:34

czyli wspomnianego Legacy Secure Connection.

08:36

Jest w stanie to zrobić,

08:37

ponieważ sam proces ustalania połączenia nie posiada mechanizmów sprawdzania integralności i nie jest szyfrowany.

08:45

Reszta informacji koniecznych w procesie ustalania wspólnego sekretu po prostu jest przesyłana dalej pomiędzy urządzeniami.

08:53

Z jeszcze jednym wyjątkiem, gdzie znów atakujący dokonuje drobnej modyfikacji.

08:59

W trakcie tych wszystkich ustaleń, definiuje się też rozmiar entropii.

09:03

Hola, hola, a co to takiego w ogóle jest i do czego służy?

09:07

Ano, entropia w tym przynajmniej znaczeniu jest jednym ze składników wykorzystywanych do generowania klucza.

09:13

Po to, by nie dało się go w łatwy sposób odgadnąć.

09:17

I teraz im więcej jest tej entropii, tym jest to trudniejsze, bo znacznie rozszerza się przestrzeń dostępnych rozwiązań.

09:25

Czyli na prosty rozum — losujemy ziarenko piasku nie z tych, które wpadły nam do buta,

09:31

a z tych, które są na plażach Mierzei Wiślanej.

09:35

Szansa trafienia dokładnie tego konkretnego, którego szukamy, jest znacznie mniejsza.

09:41

Ale co to ma do rzeczy?

09:43

Ano atakujący wymusza w ten sposób użycie najmniejszego dopuszczalnego rozmiaru entropii,

09:49

czyli siedmiu bajtów, aby znacznie ograniczyć ilość możliwych wyników.

09:54

A bardziej przewidywalny klucz to mniejsze bezpieczeństwo całej komunikacji.

10:01

Następnie urządzenia kończą ustalanie wspólnego klucza sesji,

10:05

przesyłając między sobą parę koniecznych informacji, które atakujący podgląda.

10:09

Co ważne, nie pozna w ten sposób klucza parującego, czyli tego niezmiennego,

10:14

ustalonego na samym początku, ani też wynikowego klucza sesji, który się na jego podstawie buduje,

10:21

więc teoretycznie nadal nie powinien być w stanie złamać szyfrowania komunikacji.

10:28

Kiedy urządzenia zaczynają ze sobą rozmawiać,

10:31

dla atakującego wygląda to jak bełkot, bo wszystko jest zaszyfrowane,

10:35

a on nie ma przecież klucza odszyfrującego.

10:39

Jednak wymuszenie niskiej wartości entropii użytej do jego wygenerowania

10:43

pozwala mu po prostu zastosować atak brute force, czyli sprawdzić wszystkie możliwe kombinacje po kolei.

10:50

Jeżeli myślicie, że zajmuje to strasznie dużo czasu, to macie rację, ale połowicznie,

10:57

bo zajmuje dużo czasu, ale wcale nie strasznie.

11:00

Klucz uzyskany w ten sposób bazuje na 56 bitach entropii, co wystarczało w latach 80.

11:07

Obecnie za bezpieczne minimum uważa się 84 bity.

11:12

Oznacza to, że da się go złamać, wykorzystując dostępne dla każdego metody w ciągu kilku tygodni.

11:19

No ale co mi po tym, że złamie treść jakiejś pojedynczej wiadomości po miesiącu? — zapytacie.

11:26

Ano to, że korzystając ze specjalistycznego sprzętu czas ten spada do dni, a może nawet godzin.

11:32

I to już jest realne zagrożenie.

11:35

Ba, w pewnych szczególnych warunkach udaje się nawet zmusić urządzenia do ustalenia entropii na poziomie jednego bita,

11:43

co zgodnie ze specyfikacją nie powinno być wcale możliwe.

11:47

No ale wiadomo jak każdy się jej trzyma.

11:51

Wtedy liczba wszystkich możliwych do ustalenia kluczy to oszałamiające 256 kombinacji,

11:58

które idzie na upartego rozpisać w zeszycie.

12:02

Tak dzieje się choćby w przypadku słuchawek Google Pixel Buds serii A,

12:06

mimo że to wcale nie jest jakiś leciwy sprzęt.

12:09

à propos — Google na zgłoszenie błędu odpowiedziało, że nie będzie go naprawiać.

12:14

Cóż, dobrze mieć w kieszeni słuchawki,

12:17

których mikrofon — w teorii — każdy może wykorzystać do podsłuchiwania nas w dowolnym momencie,

12:22

a producent ma to całkowicie w nosie.

12:25

Nie mamy pana płaszcza i tak dalej.

12:28

Wróćmy jednak do szyfrowania.

12:29

Skoro na podstawie tego złamanego przed chwilą klucza,

12:33

generowane są kolejne klucze do szyfrowania następnych wiadomości,

12:37

to jesteśmy też w stanie odszyfrować wszystkie późniejsze wiadomości po kolei,

12:41

bo posiadamy wszystkie potrzebne ku temu składniki.

12:45

I nie, nie musimy mieć do tego bazowego klucza parującego urządzenia,

12:49

bo jest on wykorzystywany tylko jednokrotnie, na samym początku.

12:54

Złamaliśmy właśnie całą komunikację następującą po pierwszej odszyfrowanej wiadomości.

13:00

Ale to nie wszystko.

13:05

Wszystkie zebrane wcześniej informacje możemy również wykorzystać, aby podać się za jedną ze stron tej komunikacji.

13:12

Zmuszamy po prostu drugie z urządzeń, aby ustaliło do dalszego szyfrowania dokładnie taki sam klucz,

13:19

jaki ustaliło już wcześniej, bo mamy wszystkie konieczne do tego składniki.

13:25

Dodajmy — klucz ten złamaliśmy już wcześniej.

13:28

To jest bardzo zła praktyka,

13:30

kiedy do ustalenia wspólnego sekretu wszystkie wymagane parametry dyktowane są przez jedno urządzenie,

13:36

co w tym przypadku właśnie ma miejsce.

13:39

No i nie powinno też w ogóle dać się skorzystać z dokładnie takiego samego sekretu,

13:44

który był już kiedyś użyty.

13:46

Aby tego uniknąć przeważnie stosuje się jakiś element pseudolosowy

13:50

w procesie generowania klucza, czego tutaj zabrakło.

13:54

Co ciekawe, błędy popełnione na poziomie projektowania procesu w tej kategorii idą dalej.

13:59

W przeciwieństwie do wielu ataków tego typu, atakujący może nawet sam takie połączenie zainicjować,

14:06

a nie tylko czekać, aż zrobi to atakowany.

14:09

W efekcie zdecydowanie łatwiej jest np. podszyć się pod jakiś zaufany telefon, żeby otworzyć samochód,

14:16

który umożliwia korzystanie z telefonu jako kluczyka Bluetooth.

14:19

Ale to nie koniec.

14:21

Przecież skoro atakujący może zainicjować połączenie sam, to nic nie stoi na przeszkodzie,

14:27

żeby podbić stawkę i od razu zestawić dwa takie połączenia równolegle.

14:32

Do dwóch urządzeń.

14:33

A potem stać pośrodku i podsłuchiwać o czym rozmawiają, czyli przeprowadzić klasyczny atak kategorii man-in-the-middle,

14:40

Na przykład, słuchając klawiatury bezprzewodowej podłączonej do komputera,

14:44

poznając kolejno wszystkie wpisywane loginy i hasła.

14:47

To co, jesteśmy zgubieni?

14:50

Trochę tak, ale nie do końca.

14:56

Każde urządzenie korzystające z Bluetooth jest w jakimś stopniu podatne na te zagrożenia.

15:01

Mowa o praktycznie wszystkich kombinacjach urządzeń, systemów operacyjnych i wersji Bluetooth.

15:08

I to jest ta zła wiadomość.

15:10

Czy jest też jakaś dobra?

15:11

Tak.

15:12

Cały opisany proces składa się tak naprawdę z kilku pomniejszych podatności.

15:17

I nie wszystkie urządzenia są podatne na wykorzystanie każdej z tych luk, a czasem muszą też być spełnione dodatkowe warunki.

15:25

Dlaczego pewnych sprzętów to nie dotyczy?

15:27

Bo nie do końca stosują się do standardu.

15:30

Na przykład, po procesie sparowania i ogarnięciu, że obaj uczestnicy komunikacji wspierają pełne Secure Connection,

15:38

nie pozwalają na przejście na tryb Legacy, a bez tego ani rusz.

15:42

Oczywiście oznacza to, że muszą przechowywać gdzieś w pamięci informacje na ten temat,

15:48

aby nie inicjować każdej nowej sesji w mniej bezpieczny sposób.

15:52

Tylko czy można coś poradzić na luki BLUFFS?

15:56

No cóż, badacze przedstawili pewien sposób, ale niestety wymaga on zmian w samym protokole Bluetooth.

16:03

Chodzi o szersze wykorzystanie klucza parowania,

16:06

czyli tego ustalonego przy pierwszym połączeniu oraz uzgadnianie sekretów sesji

16:12

korzystając z danych pochodzących z obu urządzeń, a nie tylko z jednego.

16:16

Proces ten o dziwo jest wstecznie kompatybilny, więc jego wdrożenie nic nie popsuje, ale sam fakt,

16:23

że wymaga to zmian na tak głębokim poziomie nie daje raczej nadziei, że zostanie to wdrożone.

16:30

Są też pewne rozwiązania do zastosowania w oprogramowaniu urządzeń, ale daleko im do idealnych.

16:36

Można nie zgadzać się na korzystanie z połączenia Legacy

16:39

jeżeli oba urządzenia wspierają bezpieczniejsze rozwiązanie i zapamiętać ten parametr.

16:45

Można też pamiętać klucze sesji, aby sprawdzać,

16:49

czy ktoś złośliwy nie chce użyć ich ponownie i nie dopuszczać takiej możliwości.

16:54

A no i warto też podkreślić, że na szczęście nawet kiedy królestwo Bluetootha upadnie,

17:00

to nie jest to jeszcze koniec świata.

17:02

Bo można przecież szyfrować komunikację na wyższej warstwie stosując, np. TLSa.

17:08

Oczywiście jest to w tym momencie już rola producentów oprogramowania,

17:12

które korzysta pod spodem z Bluetootha do komunikacji, więc mam nadzieję,

17:17

że wszyscy stosują się do dobrych praktyk w tym zakresie.

17:23

Na GitHubie dostępne jest narzędzie napisane przez badaczy,

17:26

pozwalające na przetestowanie we własnym zakresie bezpieczeństwa swoich urządzeń.

17:31

Jeżeli Cię to interesuje, szczerze polecam.

17:34

Jest to trochę druciarnia, bo trzeba spełnić szereg warunków, żeby zadziałało i nieźle się przy tym napocić.

17:40

Ale dasz radę, wierzę w Ciebie.

17:42

Zgodność wsteczna zawsze rodzi wiele problemów, dlatego projektując jakieś rozwiązania nie chodź na skróty,

17:48

abyś potem nie musiał zgadzać się na kompromisy w kwestii bezpieczeństwa.

17:52

Lepiej zrobić coś raz a porządnie, niż potem latami kląć pod nosem za każdym razem, kiedy spojrzy się w kod.

17:59

Bluetooth nie jest wcale tak bezpieczny, jak niektórym się wydawało.

18:03

Nie pomaga w tym fakt, że nie da się w łatwy sposób sprawdzić,

18:07

jak zabezpieczone jest połączenie, które nawiązaliśmy, przynajmniej obecnie

18:12

bezpieczeństwo jakichkolwiek połączeń bezprzewodowych zawsze będzie słabsze niż połączenie kablem.

18:18

Dlatego jeżeli potrzebujesz poufności, nie korzystaj z radia.

18:22

Z jakiegoś powodu w większości standardów militarnych nie zezwala się na bezprzewodowe urządzenia.

18:28

Aby nie być narażonym na podobne ataki, bo to nie pierwsze luki odkryte w Bluetooth.

18:34

Kryptografia to nie jest kaszka z mleczkiem.

18:37

Jeżeli potrzebujesz bezpieczeństwa,

18:39

korzystaj ze sprawdzonych standardów i nie próbuj wynajdywać koła na nowo.

18:43

To praktycznie zawsze źle się kończy.

18:45

Jeżeli potrzebujesz więcej wiedzy w tym zakresie, to mogę polecić pewną lekturę, ale wiedz, że tanio nie będzie.

18:52

I to już wszystko na dziś.

18:54

Tymczasem dziękuję za Waszą uwagę i do zobaczenia!

18:58

Petarda, bierzemy ten.