Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

Blue %&C '(oofing1 El Bac door de Bluetoot!

Castillo, Carlos., Gmez-Casseres, Jose Luis * Torres, Edgar. Ccarlos-castillo,0l.gomez,edgar-torresDE0averiana.edu.co Pontifica Universidad Javeriana, Bogot# F.C, Colom-ia

Resumen"El siguiente documento es un an#lisis del

ata$ue de seguridad inform#tica Blue %&C '(oofing en dis(ositivos mviles. 'e inicia con una introduccin de la tecnolog)a de telefon)a celular, inclu*endo el (rotocolo de comunicacin Bluetoot! * sus mecanismos de seguridad. Luego de esto se e+(one la realizacin del ata$ue, cmo se realiza * cuales de las (ol)ticas de seguridad del (rotocolo son vulneradas. Por ,ltimo realizamos un an#lisis forense -uscando rastros en el celular afectado (ara (oder identificar el (osi-le atacante * $ue acciones realiz en el dis(ositivo sin autorizacin. &l final del art)culo se e+(onen las conclusiones * las consecuencias de este fallo de seguridad en los dis(ositivos mviles actuales.

de las (rinci(ales es $ue la ma*or)a de las veces se desconoce el riesgo de sufrir un ata$ue en su dis(ositivo. El riesgo del $ue estamos !a-lando es $ue al de0ar la cone+in a-ierta, se est# (ermitiendo el acceso a (uertas traseras $ue admiten el ingreso * control del dis(ositivo. 2Puesto $ue los mecanismos de seguridad del Bluetoot! son a nivel de usuario, llegar a su(lantar la identidad de un dis(ositivo aco(lado (ara acceder a un tel;fono sin ser detectado es lo $ue se conoce como un ata$ue Blue %&C '(oofing5 6<8 En el (resente art)culo se (resentar# una vulnera-ilidad en la seguridad de la tecnolog)a Bluetoot!1 el ata$ue Blue %&C '(oofing. Este !ace uso de una falla en el est#ndar de la tecnolog)a Bluetoot!, la cual se e+(lica mas adelante. 2El ata$ue Blue %&C '(oofing (ermite su(lantar la identidad de un dis(ositivo de confianza *=o enlazado (ara atacar un tel;fono mvil * utilizar sus credenciales (ara acceder a (erfiles $ue re$uieren autorizacin *=o autenticacin.5 6<8 II. FUNCIONAMIENTO DE LA TECNOLOGA BLUETOOTH [3] El n,cleo del sistema Bluetoot! consiste en un transmisor de radio, una -anda -ase * una (ila de (rotocolos. El sistema (ermite la cone+in entre dis(ositivos * el intercam-io de distintos ti(os de datos entre ellos. 6/8 Esta tecnolog)a funciona en la -anda de <.> G?z li-re (ara @'% A@ndustrial, 'cientific and %edicalB. El sistema utiliza un transmisor de salto de frecuencia el cual sirve (ara reducir las interferencias * (ara disminuir la intensidad de la se4al. Bluetoot! admite una velocidad de transmisin de 7 %-(s en el modo de velocidad -#sica * una velocidad de transmisin a;rea total de

ndice de TrminosBluetoot!, '(oofing, 'eguridad,

.orense.

I. INTRODUCCIN Es mu* com,n en estos d)as conectar nuestro celular con Bluetoot! a un manos li-res inal#m-rico o a un dis(ositivo mvil (ara transferir un ringtone o alguna foto. Cada vez los dis(ositivos mviles traen funcionalidades avanzadas $ue los convierten en verdaderos gadgets en los cuales est#n contenidos, en un mismo a(arato, servicios como c#mara digital, re(roductor m(/ entre otros. Es (or esto $ue se !ace necesario un medio de comunicacin con los siguientes o-0etivos1 2 - .acilitar las comunicaciones entre e$ui(os mviles * fi0os. - Eliminar ca-les * conectores entre estos. - 3frecer la (osi-ilidad de crear (e$ue4as redes inal#m-ricas * facilitar la sincronizacin de datos entre nuestros e$ui(os (ersonales.5 678 Usualmente los usuarios mantienen estas cone+iones a-iertas de-ido a m,lti(les razones9 una
:

Blue %ac '(oofing1 El Bac door de Bluetoot!

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

<

< a / %-(s en el modo de trasferencia me0orada AEFGB. El nom-re $ue reci-e una red Bluetoot! es 2(iconet5. Esta com(uesta (or un dis(ositivo maestro * varios dis(ositivos esclavos. Todos ellos com(arten el canal f)sico * est#n sincronizados (or un relo0 * una secuencia de salto de frecuencia. 'in em-argo, slo el dis(ositivo maestro (ro(orciona los valores de referencia. La tecnolog)a Bluetoot! (ermite la transmisin -idireccional utilizando la t;cnica de acceso m,lti(le (or divisin de tiem(o ATTFB. En el canal f)sico se encuentra una ca(a de enlaces * canales con sus res(ectivos (rotocolos de control. La 0erar$u)a de a-a0o !acia a arri-a de los canales * enlaces es la siguiente1 canal f)sico, enlace f)sico, comunicacin lgica, enlace lgico * canal L<C&P. Canal fsic ! 'e crea un enlace de este ti(o entre un dis(ositivo esclavo * uno maestro, (ero dos esclavos no (ueden conectarse directamente de esta forma. Enlac" fsic ! 'e utiliza como medio de comunicacin entre uno o dos enlaces lgicos $ue admiten tr#fico s)ncrono, as)ncrono e iscrono de unidifusin, * tr#fico de difusin. El tr#fico de los enlaces lgicos se multi(le+a en el enlace f)sico ocu(ando las ranuras asignadas (or el (rogramador del gestor de recursos. Enlac"s l#$ic s! 'e utilizan (ara trans(ortar el (rotocolo de control de la -anda -ase * las ca(as f)sicas. Esto se conoce con el nom-re de L%P1 Protocolo de gestin de enlace. Esta comunicacin es la $ue se esta-lece cuando un dis(ositivo se une a una (iconet. L%CA&! Esta ca(a se encuentra (or encima de la -anda -ase * su o-0etivo es ofrecer una a-straccin de los canales de comunicacin a los servicios * las a(licaciones. Tam-i;n es la encargada de la unificacin de los datos mediante la multi(le+acin * desmulti(le+acin de varios canales.
Blue %ac '(oofing1 El Bac door de Bluetoot!

La (ila de (rotocolos $ue conforma el n,cleo del sistema Bluetoot! est# com(uesta (or1 -Protocolo de radiofrecuencia AG.B -Protocolo de control de enlace ALCPB -Protocolo de gestin de enlace AL%PB -Protocolo de ada(tacin * de control de enlace lgico AL<C&PB Para m#s informacin so-re la es(ecificacin * la ar$uitectura del (rotocolo Bluetoot! (uede ingresar al -log de Gos(el en donde se e+(lica detalladamente este tema. 6>8 III. 'ENTA(A) DE LA TECNOLOGA BLUETOOTH

2La tecnolog)a inal#m-rica Bluetoot! es l)der en el mercado * es la ,nica de corto alcance de la $ue se distri-u*en m#s de cinco millones de unidades todas las semanas, con una -ase fi0a de m#s de HII millones de unidades a finales del a4o <IIH.5 6H8 Es (or esto $ue vale la (ena e+(oner las diferentes venta0as $ue ofrece esta tecnolog)a *a $ue, aun$ue es vulnera-le, ofrece muc!as (reeminencias $ue no (odemos de0ar de a(rovec!ar1 -Dis* ni+ili,a,! La es(ecificacin del est#ndar Bluetoot! est# dis(oni-le de forma gratuita (ara una gran variedad de em(resas en todo el mundo. Una gran diversidad de fa-ricantes est#n im(lementando esta tecnolog)a en numerosos dis(ositivos. Fistintos sectores industriales est#n im(lantando esta tecnolog)a en sus (roductos (ara reducir el n,mero de ca-les * lograr cone+iones sin interru(ciones, transmitir sonido est;reo, transferir datos o esta-lecer comunicaciones de voz. -Ti* s ," ,is* si-i. s! La tecnolog)a Bluetoot! se encuentra dis(oni-le en una gran variedad de ti(os de dis(ositivos. Celulares, GP', @m(resoras, PF&, La(to(s etc.. Fe-ido a su -a0o costo * su reducido tama4o, esta tecnolog)a se (uede im(lementar en dis(ositivos de tama4o mu* reducido lo cual lo !ace mu* atractivo (ara las com(a4)as fa-ricantes de dis(ositivos mviles.

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

-Facili,a, ," /s ! Bluetoot! es una tecnolog)a $ue no necesita infraestructura fi0a * es sencilla de instalar * configurar. La ma*or)a de drivers $ue e+isten (ara JindoKs (or e0em(lo son mu* intuitivos (ara los usuarios * en materia de celulares, el env)o de arc!ivos es cuestin de unos (asos mu* f#ciles de realizar. C n"0i n"s s"$/1as! Bluetoot! se !a dise4ado, desde un (rinci(io, (ensando en seguridad. La tecnolog)a de salto ada(ta-le A&.?B (ermite en cierto modo esta seguridad *a $ue la se4al 2salta5 * limita las interferencias con otras se4ales, adem#s de $ue cuenta con un cifrado de 7<L -its * la autentificacin mediante cdigo P@M. Nale la (ena aclarar esta ,ltima 2venta0a5 $ue no es del todo cierta. En realidad este documento muestra como la seguridad de autentificacin mediante el cdigo P@M es vulnerada (or el ata$ue Blue %&C '(oofing 6<8. Con res(ecto al salto de frecuencia, anteriormente era un im(edimento (ara (oder sniffear una red $ue utiliza la tecnolog)a Bluetoot! (ero esto *a no es del todo cierto (or$ue *a e+iste un softKare $ue (uede crear 'niffers Bluetoot! caseros a -a0o costo. 6O8 MECANI)MO) DE )EGURIDAD EN BLUETOOTH & continuacin se e+(onen los mecanismos de seguridad de Bluetoot! (ara (oder entender de una me0or manera de $u; vulnera-ilidades se a(rovec!a nuestro ata$ue. A/-"n-icaci#n! 2Es el (roceso (or el cual un dis(ositivo Bluetoot! verifica su identidad en otro dis(ositivo (ara (oder acceder a los servicios $ue ofrece.5 6P8. Este (roceso consiste en crear una clave de enlace com,n de forma segura. A/- 1i2aci#n! 2Es el (rocedimiento $ue determina los derec!os $ue tiene un dis(ositivo Bluetoot! (ara acceder a los servicios $ue ofrece un sistema.56L8 Este (rocedimiento se lleva a ca-o a trav;s de niveles de confianza. Esta funcionalidad se I'.

mane0a desde una lista de dis(ositivos de confianza, los cuales no necesitan autorizacin futura (ara utilizar servicios en el dis(ositivo aco(lado. '. TECNOLOGA GM) Uno de los cam(os de a(licacin de la tecnolog)a Bluetoot! es la telefon)a mvil G'%, $ue significa Glo-al '*stem for %o-ile Communications, A'istema Glo-al (ara Comunicaciones %vilesB. Como su nom-re lo indica, esta tecnolog)a trae consigo el o-0etivo de (oder -rindarle a las (ersonas comunicaciones a nivel mundial. Lo $ue se (retende lograr con la tecnolog)a G'% es una es(ecie de roaming internacional, algo m#s glo-al, $ue no slo se refiera a un (a)s o ciertas zonas es(ec)ficas del mismo. Es como tener el mismo n,mero (ara m#s de 7HI (a)ses *a $ue es una tecnolog)a satelital. & (esar de $ue em(ez a desarrollarse desde !ace m#s de 7I a4os, !asta a!ora es $ue est# em(ezando a ser utilizada en todo el mundo. La venta0a de la tecnolog)a G'% no slo esta en $ue se (ueden mandar mensa0es de te+to sino $ue tam-i;n se (ueden enviar (e$ue4os arc!ivos, como fotos, mensa0es de voz * tim-res o sonidos. Todo esto es con e$ui(o inal#m-rico a(o*ado en o(eraciones satelitales. Los tel;fonos G'% tam-i;n son conocidos como tel;fonos de Tercera Generacin, aun$ue esto no es totalmente cierto. Los tel;fonos de Tercera Generacin est#n -asados en la tecnolog)a G'% (ero son m#s avanzados a,n. Qstos ofrecen transmisin de video en l)nea, acceso a @nternet de alta velocidad, * en general la calidad * ca(acidad es muc!o ma*or. 3tra de las venta0as $ue (resenta tener un tel;fono G'% es $ue utiliza tecnolog)a confia-le * segura, $ue !a sido desarrollada (or e+(ertos a nivel mundial. Todo esto es con el fin de evadir riesgos (or el uso de celulares, (ara evitar m#s controversia acerca de las emisiones * si da4an o no al cuer(o !umano o si (roducen enfermedades.

Blue %ac '(oofing1 El Bac door de Bluetoot!

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

>

'I. )IM CARD 2Una tar0eta '@% A'u-scri-er @dentit* %odule, R%dulo de @dentificacin del 'uscri(torSB es una tar0eta inteligente desmonta-le usada en tel;fonos mviles $ue almacena de forma segura la clave de servicio del suscri(tor usada (ara identificarse ante la red, de forma $ue sea (osi-le cam-iar la l)nea de un terminal a otro sim(lemente cam-iando la tar0eta.5 6T8 El uso de la tar0eta '@% es o-ligatorio en las redes G'%. La tar0eta '@% G'% tiene (oca memoria, alrededor de < a / UB * ;ste reducido es(acio es utilizado directamente (or el tel;fono. 'in em-argo, e+isten '@% con a(licaciones adicionales $ue am(l)an la ca(acidad de ;stas, llegando a ser ma*or a H7< UB. .inalmente de-emos anotar $ue las tar0etas '@% menores, de /< UB * 7O UB son las (redominantes en zonas de redes G'% menos desarrolladas. 2Las tar0etas '@% almacenan informacin es(ec)fica de la red usada (ara autenticar e identificar a los suscri(tores en ella, siendo la m#s im(ortante el @CC-@F, el @%'@, la clave de autenticacin AUiB * la identificacin de #rea local AL&@B. La tar0eta '@% tam-i;n almacena otros datos es(ec)ficos del o(erador como el n,mero del '%'C Acentro de servicio de mensa0es cortosB, el nom-re del (roveedor de servicio A'PMB, los n,meros de servicio de marcado A'FMB * las a(licaciones de servicios de valor a4adido AN&'B.5 6T8 2La clave de autenticacin AUi, &ut!entication e*B es un valor de 7O -*tes usado (ara autenticar las tar0etas '@% en la red mvil. Cada tar0eta '@% tiene una Ui ,nica asignada (or el o(erador durante el (roceso de (ersonalizacin. La Ui tam-i;n se almacena en una -ase de datos Aconocida como ?LG, acrnimo de ?ome Location GegisterB de la red del o(erador.5 6T8 Las tar0etas '@% son en s), un medio de almacenamiento de informacin del celular * (or tanto es im(ortante revisarla *a $ue a veces se encuentran datos valiosos so-re la informacin, configuracin * autentificacin del tel;fono mvil.

'II. E(ECUCIN DEL ATA3UE El ata$ue fue realizado utilizando dos tel;fonos celulares Mo ia O7/7 * un (ort#til ?P Pavilion dvO7<IL& con %andriva Linu+ '(ring <IIP instalado * un dis(ositivo Bluetoot! N<.I Encore com(ati-le con la (ila de (rotocolo (ara Bluetoot! de Linu+ BlueV 6<78 A. Fase de emparejamiento La (rimera fase del ata$ue consiste en el em(are0amiento de dos dis(ositivos mviles. En este suceso se crea entre los dos a(aratos una clave de enlace com,n de una forma segura intercam-iando un cdigo de seguridad Bluetoot! el cual se conoce com,nmente como (in. 2& (artir de este cdigo P@M Bluetoot!, la direccin BFW&FFG de cada dis(ositivo * varios n,meros aleatorios de 7<L -its se o-tiene la clave de enlace com,n a am-os dis(ositivos a trav;s de los algoritmos E<< * E<756<8. El (roceso varia de(endiendo de la marca * modelo del tel;fono celular *a $ue, 0unto con esto, tam-i;n var)a el firmKare o sistema o(erativo del dis(ositivo. En nuestro caso, con el Mo ia O7/7, vamos a @r a -X %en, Bluetoot! -X Fis(ositivos &co(lados -X 3(ciones -X &co(lar nuevo dis(ositivo. En ese momento se intercam-ian los P@M * se crea el enlace comentado en el (#rrafo anterior. Una vez los dis(ositivos se encuentran em(are0ados, *a los dos tienen su res(ectiva clave de enlace * (ueden autentificarse autom#ticamente (ara futuras sesiones, es decir, no necesitan autorizacin (ara realizar la cone+in. B. Fase de descubrimiento de dispositivos En esta fase nos dis(onemos a realizar un escaneo de los dis(ositivos mviles $ue se encuentran dentro de nuestro alcance. Para esto utilizamos la !erramienta Bluez'canner 67I8 la cual utiliza la (ila de (rotocolos de Bluetoot! (ara GMU=Linu+ Bluez 6778.

Blue %ac '(oofing1 El Bac door de Bluetoot!

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

confianza. Para esto utilizamos la !erramienta -daddr 6<<8 a la cual se le env)an como (ar#metros la nueva BFW&FFG * el (uerto de Bluetoot! a utilizar $ue usualmente es el !ciI.

.igura /. Cam-io de la %&C del ada(tador U'B (or la %&C del dis(ositivo de confianza aco(lado.

.igura 7. Fescu-rimiento de dis(ositivos con BlueV'canner 67I8

Esta a(licacin nos (ermite, adem#s de detectar los dis(ositivos, mostrar caracter)sticas de estos tales como la %&C, el nom-re de fa-ricante, el ti(o de dis(ositivo * los servicios Bluetoot! dis(oni-les. Con esto logramos detectar los dos dis(ositivos $ue realizaron el em(are0amiento d#ndonos la (osi-ilidad de sa-er las BFW&FFGSs (ara utilizarlas en la siguiente fase del ata$ue. Luego $ue *a sa-emos los dis(ositivos $ue est#n al alcance, tratamos de enviar un arc!ivo utilizando el (rotocolo 3BEY (ara la transferencia de arc!ivos (or Bluetoot!, lo cual no nos (ermite *a $ue no somos un dis(ositivo de confianza1

Luego de esto desconectamos el ada(tador (ara $ue los cam-ios sean ace(tados * finalmente, cuando lo volvemos a conectar, colocamos el comando !ciconfig verificando $ue en realidad se cam-io la %&C de nuestro ada(tador, realizando e+itosamente la su(lantacin de identidad.

.igura >. Confirmacin de $ue la %&C !a sido cam-iada.

Luego de tener la %&C cam-iada, *a !emos su(lantado la identidad del dis(ositivo enlazado * (odemos (roceder a enviar arc!ivos, acceder a la informacin del otro tel;fono entre muc!as otras o(ciones m#s. . Fase transferencia de arc!ivo

.igura <. @ntento de transferencia de arc!ivo desde el La(to(

Para realizar la transferencia del arc!ivo desde el la(to( sin necesidad de autenticacin necesitamos (asar a la siguiente fase del ata$ue. C. Fase de suplantacin de identidad de un dispositivo de confianza. Conociendo la direccin BFW&FFG a su(lantar, (rocedemos a cam-iar la %&C de nuestro ada(tador Bluetoot! U'B con la del dis(ositivo de
Blue %ac '(oofing1 El Bac door de Bluetoot!

& (artir de este momento el atacante tiene la (osi-ilidad de enviar arc!ivos al e$ui(o de la victima sin (edir (revia autorizacin. Esto se (uede lograr desde la l)nea de comandos con el comando 2o-e+W(us!5 al cual se le env)an como (ar#metros el canal, la %&C destino * el arc!ivo o tam-i;n se (uede instalar el (a$uete GM3%E o UFE de Linu+ $ue so(orte Bluetoot! (ara enviarlo (or medio de interfaz gr#fica.

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

.igura H. Trasferencia de arc!ivos al celular sin necesidad de confirmacin.

e+tremos de la comunicacinB. Entre ellos e+iste un segmento $ue los comunica. G.C3%% (retende cu-rir a$uellas a(licaciones $ue utilizan los (uertos serie de las m#$uinas donde se e0ecutan. El segmento de comunicacin es un enlace Bluetoot! desde un dis(ositivo al otro Acone+in directaB.5678 .. $C%dump Lee la informacin (ura de las tramas enviadas * reci-idas (or el (rotocolo ?C@ !acia * desde un dis(ositivo Bluetoot!. Es una li-rer)a (ro(ia de BlueV * (ermite es(ecificar diferentes filtros (ara la seleccin de diferentes ti(os de (a$uetes como L/C&P, rfcomm, sd(, o-e+, etc. /. 0)pin1 Env)a una 2ec!o re$uest5 * reci-e un (a$uete del mismo ti(o, funciona igual $ue un (ing en los ordenadores normales. 2. Bluepin Es usado (or !cid (ara (reguntar al usuario (or un cdigo P@M cuando se esta intentando realizar el em(are0amiento de los dis(ositivos -luetoot!. 3. Bluemon 2Blo$ueo de las Y en funcin de la distancia de un dis(ositivo Bluetoot! A!ace L<(ing !asta $ue llega a un limite (redefinidoB. Puede ser usado (ara -lo$uear servicios en funcin de la distancia de una (ersona, PF&s (ara em(resarios, cuer(os de seguridad, etc.5 67/8. 4. +-nfsd Permite realizar un aco(lamiento de el sistema de arc!ivos del dis(ositivo Bluetoot! $ue se este utilizando, al de los sistemas o(erativos GMU=Linu+, !aciendo (osi-le co(iar o editar cual$uier ti(o de arc!ivo $ue se encuentre en el dis(ositivo con la !erramienta (referida de la ma$uina UM@Y. 5. BtBro6ser

'III. HERRAMIENTA) A. Blue" Esta a(licacin es considerada la m#s com(leta * (otente im(lementacin li-re de Bluetoot! * desarrollada (ara GMU=Linu+. 'u funcionamiento esta -asado en el reconocimiento de los diferentes (rotocolos mane0ados (or Bluetoot!1 #. $C% &$ost Controller %nterface aemon'( El Femonio de la @nterface Controladora de la %#$uina 2Esta interfaz (ro(orciona una ca(a de acceso !omog;nea (ara todos los dis(ositivos -luetoot! de -anda -ase5 678, (ermite una acceso al estado del !ardKare * a los registros del control de los dis(ositivos. La ca(a ?C@ es la encargada de intercam-iar datos con el firmKare con la ca(a ?C@ del dis(ositivo Bluetoot! $ue se este utilizando. Este (rotocolo es im(lementado (or el driver de la ca(a de trans(orte, es decir, (or el driver controlador del -us f)sico. ). * + &*ervice iscover, +rotocol aemon'( El Protocolo de Fescu-rimiento de 'ervicios es el encargado de -uscar todos los servicios dis(oni-les en los diferentes servidores de a(licacin cercanos, estos servicios son (u-licados (or estos servidores 0unto con los atri-utos * la descri(cin de los servicios $ue ofrecen9 la descri(cin de estos servicios inclu*e la forma de uso * los atri-utos re(resentan los (ar#metros de entrada $ue necesitan. -. Rfcomm( Este (rotocolo realiza una simulacin de los (uertos serie a trav;s del (rotocolo L<C&P. 'o(orta !asta T (uertos serie G'-</< * (ermite !asta OI cone+iones simultaneas ente dos dis(ositivos Bluetoot!. 2Para los (ro(sitos de G.C3%%, un camino de comunicacin involucra siem(re a dos a(licaciones $ue se e0ecutan en dos dis(ositivos distintos Alos
Blue %ac '(oofing1 El Bac door de Bluetoot!

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

Permite el descu-rimiento de los dis(ositivos Bluetoot! 0unto con los servicios $ue ofrecen * los canales (ara cada servicio * sa-er si el dis(ositivo tiene encri(tacin. #7. Blue8oto Este (rograma cam-ia el (rofile del dis(ositivo (ara (oder (asar (or un manos li-res * reci-ir comandos desde un mvil, enviando s!ellscri(ts (ara cada accin. ##. 9B:; &9bject :<c!an1e +rotocol' 3BEY es un (rotocolo de intercam-io de datos $ue funciona so-re cual$uier ca(a de trans(orte ABluetoot!, U'B, TCP, etcB. 'e im(lementa un 3-e+ft( $ue (retende acceder a los sistemas de arc!ivos de los dis(ositivos com(ati-les con 3-e+. 67>8 La gran venta0a de BlueV es $ue es una im(lementacin li-re desarrollada (ara Linu+ $ue (ermite mani(ular f#cilmente los diferentes comandos de Bluetoot! * acomodarlos a las necesidades del usuario. Es (or esta razn $ue los ata$ues con esta nueva tecnolog)a se desarrollan todos desde este sistema o(erativo, dada su versatilidad, aun$ue re$uiere de un cierto conocimiento. Un e0em(lo de las (osi-ilidades $ue -rinda esta !erramienta es sustituir al dis(ositivo $ue reci-e la cone+in As(oofingB, el stac de BlueV registra en rfcomm como 2closed5 la cone+ion $ue aca-amos de rom(er. &s) (odemos sa-er en $ue canal esta-a conectado. B. T=0+)>

(ermiten es(ecificar los ti(os de datos -uscados * diferentes ti(os de (resentacin en ?T%L. 6>8 I4. RECOLECCIN DE E'IDENCIA Para recolectar evidencia del ata$ue realizado, es necesario sa-er cmo funciona * cu#l es el 2ruido5 $ue !ace el atacante cuando lo e0ecuta9 como *a se !a visto la e0ecucin de este en una seccin (revia de este articulo, retomaremos los (asos (resentados all) (ara reco(ilar la evidencia necesaria. Como el o-0etivo del ata$ue es su(lantar la direccin BF&FFG de un dis(ositivo de confianza $ue tenga un celular o una PF&, como lo (uede ser un dis(ositivo de manos li-res u otro celular, los (rimeros indicios $ue tendr)amos de $ue se est# realizando el ata$ue es e+aminar una transferencia de arc!ivos desde un dis(ositivo $ue no conocemos sin (edir ning,n ti(o de autorizacin o si el dis(ositivo est# a(agado. La a(aricin de arc!ivos e+tra4os en el dis(ositivo (odr)a ser un indicio. E+isten tres ti(os de datos $ue se (ueden o-tener de un tel;fono mvil1 67O8 7. @nformacin local <. @nformacin de cuenta inclu*endo call logs /. @nformacin almacenada localmente Las (rimeras dos se (ueden o-tener del (roveedor de telefon)a celular local AComcel, %ovistarB (ero la tercera se encuentra almacenada en el dis(ositivo. 2T!e Ka* t!e data are stored on t!e !andset Kill de(end to a large e+tend on t!e ma e and model of t!e (!one. 'im(listicall* s(ea ing, t!e neKer t!e model t!e grater t!e so(!istication and t!e larger t!e amount of data stored.567O8. Por e0em(lo, los Mo ias antiguos slo (od)an guardar la lista de contactos en la tar0eta '@% (ero los nuevos modelos (ro(orcionan la o(cin de elegir si guardarlos en el tel;fono o en la '@%. Para todas las marcas * los modelos la informacin $ue de-e ser recu(erada en una investigacin es1 67O8 7. .ec!a * !ora de llamadas * mensa0es de te+to. <. Llamadas realizadas, reci-idas * (erdidas.

Una vez com(rendido el est#ndar de comunicacin de Bluetoot!, se !ace el uso de TULP<G una !erramienta (ara e+traer informacin de ti(o forense de un tel;fono celular. & (esar de ser una !erramienta mu* com(leta (ara la e+traccin de evidencia forense, solo (ersonal e+(erto sa-e $ue -uscar es(ec)ficamente o como !acer uso de la informacin encontrada de acuerdo al ata$ue $ue se realice. El almacenamiento de datos es realizado en Y%L, (ero (ara la e+traccin * (resentacin de estos tiene diferentes (lugins $ue
Blue %ac '(oofing1 El Bac door de Bluetoot!

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

/. >. H. O.

%ensa0es de te+to reci-idos * enviados. %ensa0es -orrados. M,mero del tel;fono. La lista de contactos.

&dem#s de -uscar en el dis(ositivo en si, e+iste informacin valiosa $ue se encuentra almacenada en la '@% de la cual !a-lamos anteriormente. La siguiente es una lista de informacin ,til en un an#lisis forense a un dis(ositivo mvil1 7. @dentificador de Zrea Local1 @dentificador de donde esta el tel;fono actualmente situado. <. M,mero 'erial1 @dentifica la '@% /. M,mero del Cliente1 @dentifica al cliente ante el (roveedor de servicio de telefon)a celular. >. M,mero del Celular H. %ensa0es de Te+to1 Usualmente la '@% alcanza a guardar al menos 7< mensa0es de te+to. O. %ensa0es Borrados P. M,meros marcados L. [ltimo n,mero marcado Como se o-serva, toda esta informacin $ue (ueden recu(erar ciertas !erramientas es(eciales sirve como evidencia (ara encontrar (rue-as so-re un (osi-le acto delictivo * no (ara sa-er so-re (osi-les ata$ues en nuestro dis(ositivo. Luego de realizar el ata$ue al celular, lo $ue se -usca-a eran rastros en este dis(ositivo (ara (oder identificar alguna (ista $ue nos llevara al (osi-le atacante * tam-i;n (ara (oder sa-er $ue acciones malintencionadas e in-autorizadas se le realizaron a la victima. Pero luego de -uscar e+!austivamente en @nternet * mirando una variedad de art)culos so-re el tema 67T8, se conclu* $ue la variedad de !erramientas $ue e+isten actualmente en el mercado sirven (ara recolectar informacin del ti(o $ue mencionamos anteriormente * no alg,n ti(o de log de registro de acciones en el tel;fono celular *a $ue se (iensa $ue la memoria * el tama4o del dis(ositivos son mu* limitados * el sistema o(erativo no se dedica a guardar este ti(o de datos.
Blue %ac '(oofing1 El Bac door de Bluetoot!

3tra alternativa $ue se analiz fue construir un sniffer de -a0o costo (ara Bluetoot! flas!eando el ada(tador U'B convencional con el firmKare de un sniffer comercial. El nom-re de esta !erramienta es BT'niff 6<I8 * esta dis(oni-le solo (ara Linu+. 2El firmKare del sniffer comercial se !a o-tenido mediante ingenier)a inversa a (artir de una versin trial $ue ofrec)a un fa-ricante de estos dis(ositivos, lo cual es ilegal en algunos (a)ses.5 6O8 4. CONCLU)IONE) El ata$ue Blue %&C '(oofing es una vulnera-ilidad $ue e+(lota el est#ndar mismo * (or eso es tan (reocu(ante $ue se (ueda realizar *a $ue corregirlo llevar)a a modificar el est#ndar com(leto cam-iando el firmKare de los dis(ositivos $ue usen esta tecnolog)a (ara $ue no de0aran cam-iar la BFW&FFG. Este fallo de seguridad (r#cticamente es un Bac door (or el cual se (ueden enviar diferentes arc!ivos, desde una inocente imagen !asta un tro*ano sin autorizacin. Un e0em(lo de esto es una a(licacin desarrollada (ara tomar el control del celular de una (ersona 6<78. Este softKare (ermite el acceso trans(arente de un celular a otro, tomando el control (or com(leto. El ,nico inconveniente es $ue (ara conectarse, la victima necesita dar la autorizacin a menos $ue el celular atacante este en la lista de dis(ositivos confia-les de la victima. Es en este momento en donde entra en accin el ata$ue $ue estamos analizando en este documento, el cual logra conectarse * transferir arc!ivos sin autorizacin (revia del usuario, su(lantando la identidad de un dis(ositivo de confianza. Es (or esto $ue este ata$ue mas la a(licacin de control del dis(ositivo formar)an una nueva manera de intrusin en donde no ser)a necesario conocer la victima ni (edirle autorizacin (ara (oder controlar el tel;fono * descargar informacin de ;ste. .inalmente en la (arte de an#lisis forense concluimos $ue es mu* com(licado reunir los rastros suficientes (ara (oder encontrar el (osi-le atacante * las acciones $ue realiz en el tel;fono. La ,nica a(ro+imacin (osi-le es descargar los datos e+(licados anteriormente de la '@% * del tel;fono

Pontificia Universidad Javeriana. Castillo Carlos, Gmez-Casseres Jose Luis, Torres Edgar. El Bac door de Bluetoot!.

(ara ver $ue acciones no realiz el usuario. 'in em-argo es dif)cil detectar $uien fue el (osi-le atacando * muc!o m#s reunir las (osi-les evidencias $ue lo incriminen. Por otro lado la me0or forma de (revencin es mantener el Bluetoot! encendido solamente cuando se va*an a transferir arc!ivos * no generar aco(lamientos *a $ue si no e+isten dis(ositivos confia-les, no !a* o-0etivo (ara su(lantar la identidad del dis(ositivo $ue (ueda tener acceso li-re al otro.
GE.EGEMC@&'

678 Ji i(edia1 La Enciclo(edia Li-re, Bluetoot!. A&gosto, <IIPB Fis(oni-le1 !tt(1==es.Ki i(edia.org=Ki i=Bluetoot! 6<8 &. %oreno, Blue 8AC *poofin1. A<IIPB . Fis(oni-le1 !tt(1==gos(el.endorasoft.es=-luetoot!=seguridad-luetoot!=-lue-mac-s(oofing.!tml 6/8 @n.otecnolog)a, Funcionamiento de la Tecnolo1?a Bluetoot!. Fis(oni-le1 !tt(1==KKK.infotecnologia.com.ar=redes=.uncionamiento-de-latecnologia-Bluetoot!.(!( 6>8 &. %oreno, Ar@uitectura de +rotocolos Bluetoot!A A<IIPB Fis(oni-le1 !tt(1==gos(el.endorasoft.es=-luetoot!=es(ecificacion-luetoot!=ar$uitectura-de-(rotocolo=inde+.!tml 6H8 @nfoTecnologia, Nentajas de la Tecnolo1ia Bluetoot!. Fis(oni-le1 !tt(1==KKK.infotecnologia.com.ar=redes=Nenta0as-de-la-tecnologiaBluetoot!.(!( 6O8 &. %oreno, Avances en *niffin1 Bluetoot! , A<IIPB. Fis(oni-le1 !tt(1==el-logdegos(el.-logs(ot.com=<IIP=IL=avances-ensniffing--luetoot!.!tml 6P8 '@G Bluetoot!, Bluetoot! *ecurit,, Fis(oni-le1 !tt(1==KKK.-luetoot!.com=Bluetoot!=Learn='ecurit*= 6L8 &. %oreno, elementos de *e1uridad en Bluetoot!, A<IIPB !tt(1==gos(el.endorasoft.es=-luetoot!=seguridad-luetoot!=elementos-de-seguridad.!tml 6T8 Ji i(edia1 La Enciclo(edia Li-re, Tarjeta *%8 A &)773' Fis(oni-le1 !tt(1==es.Ki i(edia.org=Ki i=Tar0etaW'@% 67I8 &. %oreno, Blue"*canner( el escaner Bluetoot! basado en Blue" A<IIPB Fis(oni-le1 !tt(1==el-logdegos(el.-logs(ot.com=<IIO=I>=-luezscanner -el-escaner--luetoot!.!tml 6778 BlueV Pro0ect, 9fficial 0inu< Bluetoot! protocol stacBA A<IIPB Fis(oni-le1 !tt(1==KKK.-luez.org= 67<8 P. Lucistnic . 8anual de FreeB* . Capitulo )3( Cet6orBin1 Avanzado. Fis(oni-le1 !tt(1==KKK.free-sd.org=docesWE'.@'3LLHT7=-oo s=!and-oo =netKor --luetoot!.!tml 67/8 Panca e. Bluetoot! $acBin1. A<IIOB . Fis(oni-le !tt(1==KKK. asla-.net=doKnloads=TelematicasW<IIO=Tele maticasW<IIO-Bluetoot!W?ac ing-(anca e.(df

67>8 G. 3rtega . 9be< A<IIP, &gostoB Fis(oni-le1 !tt(1==coffeliusKi i.-loggear.net=o-e+ 67H8 J J. van den Bos \ G. van der Uni0ff. T=0+)> D An 9pen *ource Forensic *oft6are Frame6orB for Ac@uirin1 and ecodin1 ata *tored in :lectronic evices . Met!erlands .orensic @nstitute. A<IIHB. Nolumen >. Fis(oni-le1 !tt(1==KKK.utica.edu=academic=institutes=ecii=(u-lications =articles=B>&LH>HO-BEPH-LP.LE>HEBTCOIL<.F.>E.(df. 67O8 B. %ellars, Forensic :<amination of 8obilel +!ones. A<II>B Fis(oni-le1 !tt(1==facult*.colostate(ue-lo.edu=daKn.s(encer=Cis>O<=?omeKor =C!>=.orensi c]<Ie+amination]<Iof]<Imo-ile]<I(!ones.(df 67P8 %. %usters, Cell +!one Forensics. A<IIPB Fis(oni-le1 !tt(1==KKK.com(uterforensics.ca=images=Cell]<IP!one ]<I.orensics.(df 67L8 E-evidence info, T!e electronic evidence %nformation. Fis(oni-le1 !tt(1==KKK.e-evidence.info=cellarticles.!tml. 67T8 Far irco(. *ecurit,. !tt(1==dar irco(.org=securit*= 6<I8 La comunidad Fragon. *uper Bluetoot! $acBA Controla Telfonos con Bluetoot! Activado. Fis(oni-le1 !tt(1==KKK.dragon0ar.us=su(er--luetoot!-!ac -controlatelefonos-con--luetoot!-activado.+!tml 6<78 % ?oltmann. EBluetoot! adapters and Bluetoot! enabled productsF. )77/. Fis(oni-le en1 !tt(1==KKK.!oltmann. org=linu+=-luetoot!=features.!tml 6<<8 % ?oltman 2-daddr.c5. Fis(oni-le en1 !tt(1==csourcesearc!.net=data=(ac age=-luez-utils=-luez-u tils-<.7P=test=-daddr.c

Blue %ac '(oofing1 El Bac door de Bluetoot!