El estándar Bluetooth, nacido en 1994 y formalizado en 1998, es una tecnologí­a inalámbrica de bajo costo, que opera en la banda no licenciada de 2.4Ghz de frecuencia (la misma que utiliza la tecnologí­a 802.11).

Básicamente posee cuatro canales: tres canales sincrónicos de voz (64 Kbps por canal) y un canal de datos asincrónico. La velocidad de transmisión de los canales sincrónicos es de 723,2 Kbps mientras que la del canal asincrónico es de 433,9 Kbps.

Uno de los hechos que hace que esta tecnologí­a sea de bajo costo, es la reducida potencia que requiere para funcionar: tan sólo 0,1 Watts, lo que disminuye considerablemente el consumo de los equipos, y que sin duda permitió incorporarla a los teléfonos celulares y a las PDA sin que afecte en exceso el consumo de sus baterí­as.

Caracterí­sticasEl Bluetooth permite la comunicación inalámbrica entre diferentes dispositivos que posean la misma tecnologí­a. Sin embargo, en la frecuencia que opera (en la banda no licenciada) debió enfrentarse al temor elemental de cualquier comunicación inalámbrica, la interferencia, y a fin de superarla se implementaron las siguientes caracterí­sticas:

• Frequency Hoping: Patrón de saltos predefinido.
• Saltos de 1Mhz sobre 79 frecuencias diferentes entre 2.402 GHz y 2.480 GHz.
• Saltos entre frecuencias más rápidos que en otras tecnologí­as inalámbricas (1600 Saltos por segundo).

El protocolo BT está basado en el siguiente Stack:

• Radio Layer: Es la capa más baja, define las caracterí­sticas de la transmisión. Cada dispositivo está clasificado en tres clases diferentes: Clase 1 (hasta 10 centí­metros), Clase 2 (hasta 10 metros, y Clase 3 (hasta 100 metros).
• Baseband Layer: Es la capa fí­sica, provee corrección de errores y caracterí­sticas de seguridad a través de la encripción de datos. También administra los saltos de frecuencia y

  los datos contenidos en el header del paquete.

• Link Manager Protocol (LMP): Es el contenedor de aproximadamente 20 PDU Protocol Data Units. Estas unidades son enviadas desde un dispositivo al otro, algunas de las más utilizadas son: Power Control, Autentication, Calidad de Sevicio (QOS).
• Host Controller Interface: Enví­a comandos a las dos capas inferiores, permitiendo una ví­a para la utilización, de las bondades de Bluetooth.
• The Logical Link Control and Adaptation Protocol (L2CAP): Controla el link entre dos dispositivos y es la encargada de proveer los servicios a los mismos.
• Cable Replacement Protocol (RFCOMM): Es el protocolo de transporte, enví­a la señal montada sobre L2CAP.
• Service Discovery Protocol (SDP): Busca otros dispositivos Bluetooth disponibles y tiene la capacidad de establecer una conexión entre ellos. Se comunica directamente con la capa de L2CAP.

RedesCuando se conectan a más de un dispositivo BT, compartiendo un mismo canal de comunicación, forman una red denominada Piconet. Dichas redes están compuestas por un dispositivo Master que impone la frecuencia de saltos, mientras que los demás dispositivos son los denominados Slaves (esclavos). Las Piconet sólo pueden aceptar hasta siete Slaves conectados, sin embargo soporta hasta 200 dispositivos pasivos.

Los Slaves pueden, a su vez, estar interconectados a diferentes Piconet, formando lo que se denomina "Scatternet", pero esta caracterí­stica no se aplica al Master ya que sólo puede estar en una Piconet.Seguridad Los dispositivos con Bluetooth tienen básicamente dos estados o modos posibles:

• Modo Descubrimiento
• Modo No Descubrimiento

Cabe mencionar que si algún dispositivo se encuentra en modo No Descubrimiento, igualmente puede ser mapeado siempre y cuando el atacante conozca la Mac Address (BD_ADDR)

Los modelos de Seguridad de los dispositivos Bluetooth se clasifican en tres modos primarios:

• Modo 1: Sin seguridad (Modo Default): Esencialmente, los mecanismos de autenticación y cifrado están deshabilidatos.
• Modo 2: Aplicación/ Nivel Servicio: Ocurre en la capa L2CAP, nivel de servicios. Primero se establece un canal entre el nivel LM y el de L2CAP y recién entonces se inicializan los parámetros de seguridad. Como caracterí­stica, el acceso a servicios y dispositivos es controlado por un Gestor de Seguridad, por lo tanto, variando las polí­ticas de seguridad y los niveles de confianza, se pueden gestionar los accesos de aplicaciones con diferentes requerimientos de seguridad que operen en paralelo. Otra caracterí­stica importante de este modo es que no hay ninguna codificación adicional de PIN o claves.
• Modo 3: Autenticación ví­a PIN/ Seguridad a nivel MAC/ Encripción: Ocurre a nivel de Link y todas las rutinas se corren internamente en el chip BlueTooth, por lo que nada se transmite en texto plano. A diferencia del Modo 2, los procedimientos de seguridad se inician antes de establecer algún canal y el cifrado se basa en la autenticación PIN y seguridad MAC. Básicamente, comparte una clave de enlace (clave de link) secreta entre dos dispositivos. Para generar esta clave, se usa un procedimiento de "paring" cuando los dos dispositivos se comunican por primera vez.

ParingPara comprender el proceso de paring o emparejamiento, debemos aclarar que por default, la comunicación Bluetooth no se valida, de manera tal que cualquier dispositivo puede o podrí­a hablar con cualquier otro. Un dispositivo Bluetooth se autentifica con otro si requiere utilizar un determinado servicio (por ejemplo para el servicio de marcación por módem). Como ya mencionamos, la forma de autentificarse es mediante códigos PIN (cadena ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dispositivo cliente como así­ también el proveedor del servicio, deben introducir el código PIN. Obviamente, en ambos casos, el código ingresado debe ser exactamente el mismo.

Al finalizar este proceso correctamente, ambos dispositivos generan una clave de enlace que se puede almacenar en el propio dispositivo o en otro de almacenamiento externo.

Dicha clave será utilizada la siguiente vez que se comuniquen ambos dispositivos sin la necesidad de la intervención de los usuarios para que coloquen nuevamente sus contraseñas. Si alguno de los dos dispositivos pierde la clave, se debe realizar todo el proceso nuevamente. Todo este proceso es conocido como emparejamiento o paring.Información comprometida y lugares de uso riesgosoEs muy común encontrar en los archivos almacenados en las PDA y en los Celulares, los usuarios y las contraseñas de las PC y hasta de los servidores, que para no dejarlos anotados en un papel se anotan en sus dispositivos móviles.

Los lugares donde más fácilmente se puede obtener información como la mencionada anteriormente, son los espacios públicos, como por ejemplo:

• En el cine
• En una plaza con mucha gente
• En una biblioteca
• En un centro comercial o en un bar
• En un campo de fútbol
• En alguna tienda de telefoní­a
• En el tren – autobús

Técnicas de ataque

Desde principios de 2003, comenzaron a hacerse públicas algunas debilidades y vulnerabilidades que afectaban directamente a esta tecnologí­a.

La primera fue descubierta por personal de Atstake y fue denominada War Nibling: permite descubrir a todos los dispositivos que estén en el alcance del atacante, estén en modo descubrimiento o no.

Después, y de la mano de Adam Laurie y los miembros del grupo Trifinite, fueron descubiertas las siguientes técnicas:

• BluePrinting: Es una técnica de Fingerprinting pero de dispositivos Bluetooth, que permite detectar básicamente al fabricante y al modelo del dispositivo. Se basa en la dirección Mac Address del dispositivo y está compuesta por seis bytes: los primeros tres indican el fabricante y los restantes el modelo. Las herramientas para estos ataques buscan dispositivos que se encuentren en Modo Descubrimiento, toman las direcciones Mac y las compara contra la base de firmas que posee, determinando así­ el Fabricante del dispositivo y su modelo (ver tabla ejemplo en el Anexo 1 "BluePrint Device Hashes"). Para el caso de los dispositivos que no se encuentren en Modo Descubrimiento, existen herramientas que se basan en ataques de Brute Force.
• BlueBug: Es una vulnerabilidad que fue encontrada en varios teléfonos celulares con interfaz Bluetooth. Permite enviar comandos AT al celular, a través de un canal encubierto de la tecnologí­a Bluetooth, permitiendo al atacante:

1. Extraer del celular la agenda telefónica y calendario, entre otros.
2. Modificar o Borrar entradas en el calendario, o en los contactos telefónicos.
3. Enviar un mensaje SMS desde el celular comprometido.
4. Provocar que el celular comprometido, realice llamadas telefónicas a los números que el atacante desee.

• BlueSnarfing: Este es el ataque que se aprovecha del bluebug, y permite extraer información de un celular, en vez de insertarla. Varios equipos son vulnerables a este ataque (Nokia 6310,6310i y varios otros). En agosto de 2004, un grupo de hackers logró llevar más allá los lí­mites de alcance de un dispositivo clase uno, extrayendo y modificando la agenda telefónica y el calendario de un teléfono celular a una distancia de 1,78 Km. Utilizando una Laptop bajo Linux (Con todas las librerí­as de Bluetooth), con un adaptador USB Bluetooth modificado (Clase 1) y una antena direccional, cuyo objetivo era un Celular Nokia 6310 Dispositivo (Clase 2).
• BlueSmac: Es un ataque de denegación de servicio que aprovecha las debilidades en la implementación de Bluetooth, más puntualmente en L2CAP. Permite malformar un requerimiento causando que el dispositivo se cuelgue o se reinicie sin necesidad de establecer un conexión previa. Es similar al conocido ping de la muerte, l2ping es una funcionalidad que está presente en las librerí­as Bluez, de Linux, y permite a un atacante especificar el tamaño del paquete a enviar.
• BlueBump: Su fin es robar la link-key del teléfono de la ví­ctima para establecer posteriores conexiones, sin que ésta lo note y aparentando ser un dispositivo confiable. Este tipo de ataque incorpora técnicas de Ingenierí­a social pero fundamentalmente se basa en el beneficio de poder regenerar la link-key mientras la conexión está establecida.
• BlueSpam: Es un ataque basado en la búsqueda de dispositivos en Modo Descubrimiento, a los cuales luego les enviará mensajes arbitrarios creados por el atacante. Este tipo de ataques no requiere la interacción por parte de la ví­ctima para recibir el spam.
• BlueJacking: Es el ataque quizás más inofensivo pero desde el cual se han sentado muchas bases para nuevos ataques. Consiste en conectarse a un dispositivo Bluetooth y colocarle imágenes, mensajes o contactos al dueño del dispositivo. También es utilizado para realizar ingenierí­a social y utilizarla en complemento con otro tipo de ataques que requieran que los equipos estén aparejados.
• Cracking BT PIN: Como sucede en 802.11, la implementación de los algoritmos de encripción y seguridad poseen importantes debilidades. En el caso de Bluetooth, éste contiene varios elementos, como el management de llaves de encripción y autenticación basado en un PIN, los cuales son utilizados en el proceso de Paring: su utilización reside en la decisión del usuario. El algoritmo que brinda seguridad a estas tecnologí­as es SAFER+, un algoritmo simétrico de encripción por bloque que permite la utilización de llaves de 128, 192 y 256. Para el presente caso el algoritmo utilizado es Safer+ de 128bits. De este modo, un atacante podrí­a interceptar el PIN durante el proceso de paring de dos dispositivos, para luego poder monitorear toda la conversación. El proceso de Cracking de PIN demora 0,06 Milésimas de segundo en un Pentiun IV 3Ghz (PIN 4 Dí­gitos).

ConclusionesLas nuevas tecnologí­as traen asociados cientos de riesgos y amenazas para las empresas, que a menudo no están preparadas a afrontar.Muchas corporaciones dan a sus directivos estos dispositivos, sin tener en cuenta los riesgos asociados a los que se expone la información contenida en ellos. Es por esto que hay que crear la conciencia necesaria y tomar medidas que permitan mitigar los riesgos asociados.Ezequiel Sallis es Senior Security Consultant de I-Sec Information Security Inc. www.i-sec.org