El nombre Bluetooth procede del rey danés del siglo X llamado Harald Blatand (traducido como Harold Bluetooth), conocido por unificar las tribus en guerra de Noruega, Suecia y Dinamarca e iniciar el proceso de cristianización de la sociedad vikinga. El logo de Bluetooth combina la representación de las runas nórdicas Hagalaz (transcrito por ‘H’) y Berkana (transcrito por ‘B’) en un mismo símbolo:
Esta tecnología permite la comunicación inalámbrica, entre diferentes dispositivos que posean la misma tecnología, la cual posibilita la transmisión de voz y datos entre diferentes equipos mediante un enlace por radiofrecuencia. Entre los equipos que utilizan esta tecnología podemos mencionar: auriculares stereo y auriculares manos libres en audio, sistemas integrados, manos libres y GPS en automóviles; notebooks, adaptadores USB Bluetooth, gateways de acceso a otras redes en computadoras; teclados y ratones inalámbricos, impresoras en periféricos; teléfonos móviles, PDAs y smartphones en telefonía y handhelds; cámaras de fotos, cámaras de video y proyectores en video e imagen.
Características
El alcance que logran tener estos dispositivos es de 10 metros para ahorrar energía ya que generalmente estos dispositivos utilizan baterías. Sin embargo, se puede llegar a un alcance de hasta 100 metros; utilizan un salto de 1Mhz sobre 79 frecuencias diferentes entre 2.402 GHz y 2.480 GHz.
Seguridad
La proliferación de productos USB, fireWire, Bluetooth y otros protocolos hace fácil conectar dispositivos externos no autorizados a los PCs de la empresa. Esto plantea dos amenazas distintas de seguridad: pérdida de información y ataques dirigidos.
La información comprometida en los ataques a bluetooth está dirigidos a: calendarios, agendas telefónicas, conversaciones telefónicas, archivos, posibilidad de causar costos monetarios a los usuarios de telefonía celular entre otros.
Hoy en día los dispositivos móviles almacenan información de gran contenido estratégico, a continuación unos datos importantes al respecto:
• 85% utiliza estos dispositivos para almacenar el día a día del negocio.
• 85% Las utiliza para almacenar contactos y direcciones relacionadas con el negocio.
• 33% Las utiliza para almacenar PINs y Passwords.
• 32% Para recibir y enviar correo.
• 25% Para llevar el detalle de sus cuentas bancarias.
• 25% Para almacenar información corporativa.
Fuente: Pointsec Mobile Technologies
Asimismo, los puntos de mayor riesgo o donde es fácilmente posible obtener información como la mencionada anteriormente es en lugares públicos como por ejemplo:
• En el cine
• En Aeropuertos
• En una biblioteca
• En un centro comercial o en un bar.
• En un campo de fútbol
• En alguna tienda de telefonía
• En Medios de Transporte Públicos
Tipos de Ataques
Ataques a teléfonos móviles:
BlueBug (Martin Herfurt, 2004), permite ejecutar comandos AT en el Terminal, a través de un canal encubierto, sin necesidad de autenticación, el atacante podría extraer del celular: la agenda telefónica, calendario y otros, modificar o borrar entradas en el calendario o en los contacto telefónicos, enviar un mensaje SMS desde el celular comprometido, provocar que el celular comprometido, realice llamadas telefónicas a los números que el atacante pase.
BlueSnarf/BlueSnarf++ (Marcel Holtmann & Adam Laurie, 2003), permite extraer archivos de un teléfono móvil aprovechando el protocolo OBEX PUSH, sin previa autorización del propietario. Archivos conocidos como el telecom/pb.vcf que almacena los contactos o el telecom/cal.vs que almacena el calendario de citas son descargados mediante la operación OBEX GET.
Actualmente, menos del 5% de teléfonos móviles bluetooth en el mercado son vulnerables a los ataques BlueBug, BlueSnarf, en ese sentido, existen nuevas modalidades de ataques más complejos y combinados manteniendo el mismo objetivo: acceder a la capa de comandos AT del Terminal comprometido.
Ataques a dispositivos manos libres:
Car Whisperer (Martin Herfurt, 2005), su objetivo era sensibilizar a los fabricantes de dispositivos manos libres bluetooth de la amenaza que constituye incorporar claves PIN por defecto como medio para emparejarse con estos dispositivos.
Un atacante podrá acceder a las funciones de audio implementadas en el Terminal y realizar las siguientes acciones:
• Capturar el audio a traves del micrófono del dispositivo y escuchar conversaciones dentro de los vehículos.
• Emitir mensajes a los ocupantes del vehiculo reproduciéndolos por los altavoces de los dispositivos.
También podemos mencionar ataques como el Headsets Hijacking (Kevin Finisterre, 2005) y el Laptop Whisperer (Kevin Finisterre, 2005).
Recomendaciones de seguridad para dispositivos Bluetooth
1. Activar el servicio de bluetooth solamente cuando sea necesario la transmisión de datos y/o voz y desactivarlo cuando no se vaya a utilizar.
2. Configurar el dispositivo en modo oculto para evitar el escaneo de dispositivos por parte de los atacantes.
3. Configurar en el dispositivo la función de cifrado para garantizar la confidencialidad de los mensajes en la transmisión de información.
4. No utilizar el nombre representativo de la marca y modelo del mismo dispositivo.
5. No aceptar conexiones de dispositivos desconocidos.
6. Configurar todos los perfiles soportados por el dispositivo para que requieran autentificación ante cualquier intento de acceso.
7. Verificar periódicamente la lista de dispositivos de confianza y eliminar aquellas entradas de dispositivos con las que habitualmente no se establece conexión.
8. Utilizar en la medida de lo posible claves PIN de longitud extensa (16 bytes).
Conclusión
En la actualidad, muchas empresas ofrecen estos dispositivos sobre todo a su plana gerencial sin tener en cuenta los riesgos asociados a la extracción y/o modificación de información. Es necesario contar con las políticas de seguridad alineadas a los avances de la tecnología de información y comunicaciones y crear conciencia para adoptar normas simples y aplicación inmediata que deberían formar parte de la conducta habitual de un usuario de dispositivos bluetooth.
No hay comentarios:
Publicar un comentario