Pablo González nos compartió en el #DragonJARCON 2020 una charla titulada "Hackeando el mundo exterior a través de Bluetooth Low-Energy" cuya descripción es:
El mundo que nos rodea está lleno de dispositivos BLE que interactúan con muchos de nuestros datos. ¿Cuál es la seguridad de este protocolo? En esta charla se hablará sobre el protocolo BLE (Bluetooth Low-Energy). Se hará hincapié en los ataques actuales y la seguridad general de los dispositivos.","description":"La charla muestra el protocolo BLE y lo fácil que es encontrarlo hoy en día en la casa, en la oficina, en el coche, en cualquier lugar. BLE está aquí para quedarse entre nosotros, pero ¿Cómo es su seguridad? ¿Es fácilmente hackeable? ¿Qué tipos de ataques se realizan? En la charla se mostrarán dispositivos que permiten hacer sniffing de manera sencilla y proporciona la base para llevar a cabo ciertos ataques. Se mostrarán ataques reales en vivo.
Se usarán dispositivos BLE con diferentes configuraciones de seguridad: desde tags \"encuentra-todo\", pasando por patinete o por un smartlock. Además, se hará uso de placas Micro:Bit para la utilización de ciertas herramientas y de otro tipo de software orientado a la evaluación de seguridad de BLE. El asistente aprenderá sobre tecnología BLE todo lo necesario para poder evaluar sus dispositivos y poder tomar decisiones. Además, aprederá a diseñar soluciones seguras en el ámbito BLE.
Además, se hará una evaluación de diferentes tipos de werables que llevamos hoy en día y la seguridad que tienen estos dispositivos a través de BLE. Por último, también se muestra incidentes de seguridad relacionados con la temática.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
5. IntroducciónBLE(BluetoothLowEnergy)
5
1. Bluetooth Low Energy (BLE) es un protocolo
inalámbrico
2. Comunicación entre dispositivos a un nivel muy bajo de
consumo y con una velocidad de transferencia de datos
muy baja
3. Comunicación en la banda de frecuencia de 2.4GHz
con tasas de transferencia de datos de 1Mbps
8. ElámbitodejuegodeBLE
8
BLE utiliza 40 canales de radio frecuencia con un
espaciado entre canales de 2 MHz
3 canales de ADV (Decimos ¡estamos aquí!) -> 37, 38 y 39
37 canales de datos (Data)
10. AccessAddress
10
Es una “especie” de sesión
Identifica una conexión entre dos dispositivos
Es generada por el maestro
La posibilidad de que dos maestros generen la misma
access address es insignificante
Evitan la colisión
11. ¿Cómoserealizaelsaltoentrecanales?
11
Colisiones entre BT/BLE y WiFi
Utiliza el espectro de dispersión por salto de frecuencia
(FHSS)
Channel Map
Se utilizan únicamente los canales de datos (0 - 36)
Se dispone de un patrón e intervalo de salto
Hop Interval
Hop Increment
23. Trackers
23
Vulnerabilidades en dispositivos
TrackR Bravo
iTrack Easy
Zizai Tech Nut
Transmisión de contraseña en plano
Exposición del ID del tracker
Acceso no autenticado al servicio basado en la nube
Pareo no autenticado
…
31. Sweyntooth
31
Familia de 12 vulnerabilidades
Se encuentra en la implementación de BLE en el SDK
Vendedores afectados
Texas Instruments
NXP
Cypress
Dialog Semiconductors
Microchip
STMicroelectronics
Telink Semiconductor
32. Sweyntooth
32
Crash
Para la comunicación o deja de funcionar
Deadlock
El dispositivo puede congelarse y dejar de funcionar
correctamente
Bypass security
Acceso a funciones del dispositivo accesibles solo a través de
un usuario autorizado
https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-
sweyntooth-vulnerabilities/
41. Replay
41
Ataque de reproducción
Se captura una señal y se vuelve a mandar la misma información
Cualquier herramienta que pueda leer y escribir en características
BLE sirve: Bettercap, gatttool, nRF Connect (móvil)…
46. MITM
46
Descubrimiento del dispositivo víctima (servicios, características y
advertisement)
Conexión con el dispositivo víctima para que no se anuncie más
Anunciar el mismo dispositivo y redirigir los datos cuando se tenga
una nueva conexión
gattack
btlejuice
48. Cifrado
48
Si tenemos una captura con un evento de pareo BLE se puede
hacer fuerza bruta para obtener el TK (Temporary Key)
Posteriormente, se pueden obtener el STK (Short Term Key) y el
LTK (Long Term Key)
Con las claves STK y LTK, todas las comunicaciones entre el
maestro y el esclavo pueden ser descifradas
crackle
55. Fortificación
55
Utilización de canales seguros (cifrados)
Los canales cifrados no deben cifrase con pin de 6 dígitos
(JustWorks y Passkey)
Utilizar mecanismos de intercambio de claves robustos (ECDH o
128 bits out-of-band)
Firma de paquetes
57. Conclusiones
57
Hacking BLE está al alcance de cualquiera
Con un simple móvil ya es posible realizar ataques
Muchos fabricantes no utilizan protocolos cifrados para establecer
sus comunicaciones