Pablo González nos compartió en el #DragonJARCON 2020 una charla titulada "Hackeando el mundo exterior a través de Bluetooth Low-Energy" cuya descripción es: El mundo que nos rodea está lleno de dispositivos BLE que interactúan con muchos de nuestros datos. ¿Cuál es la seguridad de este protocolo? En esta charla se hablará sobre el protocolo BLE (Bluetooth Low-Energy). Se hará hincapié en los ataques actuales y la seguridad general de los dispositivos.","description":"La charla muestra el protocolo BLE y lo fácil que es encontrarlo hoy en día en la casa, en la oficina, en el coche, en cualquier lugar. BLE está aquí para quedarse entre nosotros, pero ¿Cómo es su seguridad? ¿Es fácilmente hackeable? ¿Qué tipos de ataques se realizan? En la charla se mostrarán dispositivos que permiten hacer sniffing de manera sencilla y proporciona la base para llevar a cabo ciertos ataques. Se mostrarán ataques reales en vivo. Se usarán dispositivos BLE con diferentes configuraciones de seguridad: desde tags \"encuentra-todo\", pasando por patinete o por un smartlock. Además, se hará uso de placas Micro:Bit para la utilización de ciertas herramientas y de otro tipo de software orientado a la evaluación de seguridad de BLE. El asistente aprenderá sobre tecnología BLE todo lo necesario para poder evaluar sus dispositivos y poder tomar decisiones. Además, aprederá a diseñar soluciones seguras en el ámbito BLE. Además, se hará una evaluación de diferentes tipos de werables que llevamos hoy en día y la seguridad que tienen estos dispositivos a través de BLE. Por último, también se muestra incidentes de seguridad relacionados con la temática. ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------

1. Hackeandoelmundoexterioratravésde
BluetoothLow-Energy
PabloGonzález@pablogonzalezpe

2. $>whoami
2
Ingeniero Informático & Máster Seguridad
Informática
2009 – 2013 Informática 64
2013 - ?? Telefónica (Ideas Locas – CDCO)
MVP Microsoft 2017-2021
Co-fundador de Flu Project & hackersClub
Algunos libros (0xWord):
Metasploit para pentesters
Pentesting con Kali
Ethical Hacking
Got Root
Pentesting con Powershell

3. ¿Dequévaesto?
3
1. Introducción BLE (Bluetooth Low Energy)
2. Precedentes
3. Evaluación
4. Fortificación
5. Conclusiones

4. 4
Introducción BLE
(Bluetooth Low Energy)

5. IntroducciónBLE(BluetoothLowEnergy)
5
1. Bluetooth Low Energy (BLE) es un protocolo
inalámbrico
2. Comunicación entre dispositivos a un nivel muy bajo de
consumo y con una velocidad de transferencia de datos
muy baja
3. Comunicación en la banda de frecuencia de 2.4GHz
con tasas de transferencia de datos de 1Mbps

6. IntroducciónBLE(BluetoothLowEnergy)
6

7. IntroducciónBLE(BluetoothLowEnergy)
7

8. ElámbitodejuegodeBLE
8
BLE utiliza 40 canales de radio frecuencia con un
espaciado entre canales de 2 MHz
3 canales de ADV (Decimos ¡estamos aquí!) -> 37, 38 y 39
37 canales de datos (Data)

9. ElámbitodejuegodeBLE
9

10. AccessAddress
10
Es una “especie” de sesión
Identifica una conexión entre dos dispositivos
Es generada por el maestro
La posibilidad de que dos maestros generen la misma
access address es insignificante
Evitan la colisión

11. ¿Cómoserealizaelsaltoentrecanales?
11
Colisiones entre BT/BLE y WiFi
Utiliza el espectro de dispersión por salto de frecuencia
(FHSS)
Channel Map
Se utilizan únicamente los canales de datos (0 - 36)
Se dispone de un patrón e intervalo de salto
Hop Interval
Hop Increment

12. Saltaconmigo:Algoritmosdesalto
12
Algoritmo 1 (versión 4.X y 5)
Canal = (canal + incremento salto) mod 37
Algoritmo 2 (versión 5)
Basado en un pseudogenerador de número aleatorios

13. ChannelMap
13
https://www.hackerdecabecera.com/2020/02/blectf-capture-flag-hardware-platafom.html

14. BLEPacket
14
https://microchipdeveloper.com/wireless:ble-link-layer-packet-types

15. ADVPDU
15
Advertising PDU (Tipos)
Advertising PDUs
ADV_IND, ADV_DIRECT_IND…
Scanning PDUs
SCAN_REQ, SCAN_RSP
Initiating PDUs
CONNECT_REQ

16. PDUTYPE
16
0000 ADV_IND： connectable undirected advertising event
0001 ADV_DIRECT_IND：connectable directed advertising event
0010 ADV_NONCONN_IND：non-connectable undirected
advertising event
0011 SCAN_REQ：scan request
0100 SCAN_RSP: scan response
0101 CONNECT_REQ：connection request
0110 ADV_SCAN_IND：scannable undirected advertising event
0111-1111 Reserved

17. CONNECT_REQ
17

18. 18
Precedentes

19. Lainformaciónalalcancedelamano
19
https://gadgetbridge.org

20. Lainformaciónalalcancedelamano
20

21. Lainformaciónalalcancedelamano
21

22. Lainformaciónalalcancedelamano
22

23. Trackers
23
Vulnerabilidades en dispositivos
TrackR Bravo
iTrack Easy
Zizai Tech Nut
Transmisión de contraseña en plano
Exposición del ID del tracker
Acceso no autenticado al servicio basado en la nube
Pareo no autenticado
…

24. Trackers
24

25. BluedIoT
25
Cámaras 360fly 4k
Gerard Fuguet
La contraseña de configuración del AP viajaba en texto plano (se
configuraba por BLE)
CVE-2017-8403

26. Entreruedasandaeljuego
26

27. Entreruedasandaeljuego
27
https://threatpost.com/xiaomi-m365-scooter-hack/141731/

28. Entreruedasandaeljuego
28

29. Entreruedasandaeljuego
29

30. Entreruedasandaeljuego
30

31. Sweyntooth
31
Familia de 12 vulnerabilidades
Se encuentra en la implementación de BLE en el SDK
Vendedores afectados
Texas Instruments
NXP
Cypress
Dialog Semiconductors
Microchip
STMicroelectronics
Telink Semiconductor

32. Sweyntooth
32
Crash
Para la comunicación o deja de funcionar
Deadlock
El dispositivo puede congelarse y dejar de funcionar
correctamente
Bypass security
Acceso a funciones del dispositivo accesibles solo a través de
un usuario autorizado
https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-
sweyntooth-vulnerabilities/

33. Sweyntooth
33

34. Sweyntooth
34

35. Sweyntooth
35

36. Sweyntooth
36
https://asset-group.github.io/disclosures/sweyntooth/

37. 37
Evaluación

38. Ataques
38
Sniffing
Replay
Hijacking
Jamming
MITM
Cifrado
Contraseñas en texto plano
Apps no ofuscadas/hardcodeadas

39. Sniffing
39
Escuchas pasivas
Conocer lo que viaja por el aire
btlejack

40. Replay
40

41. Replay
41
Ataque de reproducción
Se captura una señal y se vuelve a mandar la misma información
Cualquier herramienta que pueda leer y escribir en características
BLE sirve: Bettercap, gatttool, nRF Connect (móvil)…

42. Hijacking
42
Secuestro de una conexión existente
btlejack

43. Hijacking
43
Secuestro de una conexión existente
btlejack

44. Jamming
44
Interferencias en la señal
Impide que la señal pueda llegar a su destino
btlejack

45. Jamming
45

46. MITM
46
Descubrimiento del dispositivo víctima (servicios, características y
advertisement)
Conexión con el dispositivo víctima para que no se anuncie más
Anunciar el mismo dispositivo y redirigir los datos cuando se tenga
una nueva conexión
gattack
btlejuice

47. MITM
47

48. Cifrado
48
Si tenemos una captura con un evento de pareo BLE se puede
hacer fuerza bruta para obtener el TK (Temporary Key)
Posteriormente, se pueden obtener el STK (Short Term Key) y el
LTK (Long Term Key)
Con las claves STK y LTK, todas las comunicaciones entre el
maestro y el esclavo pueden ser descifradas
crackle

49. Contraseñasentextoplano
49

50. Contraseñas“hardcodeadas”
50

51. 51
CrackLE

52. CrackLE
52

53. CrackLE
53

54. 54
Fortificación

55. Fortificación
55
Utilización de canales seguros (cifrados)
Los canales cifrados no deben cifrase con pin de 6 dígitos
(JustWorks y Passkey)
Utilizar mecanismos de intercambio de claves robustos (ECDH o
128 bits out-of-band)
Firma de paquetes

56. 56
Conclusiones

57. Conclusiones
57
Hacking BLE está al alcance de cualquiera
Con un simple móvil ya es posible realizar ataques
Muchos fabricantes no utilizan protocolos cifrados para establecer
sus comunicaciones

58. 5858
SITIENESPREGUNTAS
DURANTELACHARLAINGRESA
ALCODIGOQREINGRESAESTE
NUMERO
#22617qrco.de/preguntar