NOTICE 

왜 블루투스 인가? 블루투스 기술에 대하여

새로운 기술들은 빠르게 사람들의 일상 생활의 일부가 되고 있습니다. 불과 몇 년 전에는 공상과학 영화에서나 볼 수 있었던 IT 기기들이 없는 생활을 이젠 상상할 수 없게 되었습니다.

블루투스 기술은 1994년에 Erricson에 의해 처음 개발되기 시작했습니다. Erricson, IBM, Nokia, Intel, Toshiba등이 SIG 콘소시엄을 구성하여 블루투스 표준을 제정하였습니다. 현재 많은 종류의 휴대전화, 컴퓨터 주변기기에 블루투스가 적용되어 있고 일부 가정용 기기 제조업체들이 적용하고 있습니다.

휴대용 무선 전화기는 블루투스가 적용되지 않은 기기도 블루투스의 사용을 가능하게 하며 전화기를 스테레오 시스템에 연결하여 송수신기 또는 전화기 내부의 메모리에 MP3 파일 다운로드를 가능하게 합니다.

블루투스는 광범위하게 이용되고 있습니다. 새로운 기술의 융합은 해커가 블루투스를 목표로 삼아 새로운 세기의 잠재취약점으로 이용하기 시작하는 것을 뜻합니다. 결국 해커들은 항상 새롭고 아직 연구되지 않은 기술에 집착합니다. @stack 과 shmoo와 같은 그룹이 블루투스 연구에 관여하고 있습니다.

또한 블루투스는, 웜 바이러스가 이 기술을 이용하여 바이러스를 전파 할 수 있기 때문에, 안티 바이러스 산업의 흥미 있는 대상의 하나이기도 합니다, 예를 들어 Cabir, Lasco, Combat등의 웜 바이러스는 Symbian 운영체제하의 블루투스를 경유하여 퍼져 나갑니다. 악성파일을 포함한 파일 전송이 가능하기 때문에 블루투스 취약점은 흥미로운 대상입니다.

블루투스는 근본적으로 IT 기기의 연결 케이블을 없애기 위하여 설계 되었습니다. 예를 들어 마우스, 프린터, 휴대전화, GPS 수신기를 케이블로 컴퓨터에 연결 할 때 그 컴퓨터는 실질적으로 휴대용 기기가 아닙니다. 또한 컴퓨터는 모든 주변기기를 연결할 충분한 포트가 없습니다.

어떤 측면에서 보면 블루투스 기술은 무선 네트워크 세상의 진입을 가능하게 하였으며, 일부 사람들은 Wi-Fi의 실행 가능한 대안이 될 것으로 생각합니다. 개인적으로는 블루투스 기술은 보충적인 역할을 할 것이며 유사하기는 하지만 타 어플리케이션과는 다르다고 생각합니다.

블루투스 기술은 마스터 유닛과 7개의 슬레이브 유닛으로 구성되어 마스터 유닛의 10 미터 내에 위치한 Piconet을 기본으로 합니다. Piconet은 scatternet으로 구성될 수 있습니다. 마스터 유닛은 슬레이브 유닛과 통신하며 슬레이브 유닛간의 통신은 되지 않습니다.

그림 1
블루투스 기기는 인증되지 않은 2.4 GHz 와 2.4835 GHz 사이의 주파수 영역에서 작동합니다. 같은 영역에서 운영되는 기기의 방해를 피하기 위해 주파수 hop 알고리즘WM을 이용하여 1초당 1600 주파수 hop을 사용합니다.
이러한 기기가 작동되는 특정 주파수를 타임 슬롯(time slot)이라고 하며 625 마이크로초(microsecond) 동안 지속 됩니다. Picont 내부의 주파수는 pseudo-random hop주파수에 근거한 마스터 유닛에 의하여 변화됩니다. 주파수 영역은 1MHz 영역 내에서 79개 채널로 분리되며 데이터는 프레임 단위로 전송되고 1, 3, 5 슬롯(slot) 길이를 지닙니다.
다음과 같은 2가지 접속 방법이 있습니다. ACL(Asynchronous connections), SCO(Synchronous connection-oriented)
첫 번째 방법은 데이터가 필요한 때에 가공될 수 있도록 제어되는 데이터 전달 방법입니다. 슬레이브 유닛과 마스터 유닛은 ACL 접속 방법으로만 연결됩니다.
두 번째 접속 방법은 음성 데이타와 같이 실시간 데이터 전송이 필요 할 때 이용됩니다. 슬레이브 유닛은 마스터 유닛에 3개의 SCO접속까지 가능하며 64 kb/ sec의 속도를 구현합니다.
블루투스 기기는 세가지 그룹으로 정의 할 수 있습니다 :
Class 1 100 mW 100m
Class 2 2.5 mW 10m
Class 3 1 mW 1m
대부분의 블루투스 기기는 Class 2 또는 Class 3 그룹에 속합니다.
프로토콜 스택은 다음과 같습니다.

블루투스 핵심 프로토콜

그림 2
보다 자세한 내용은 블루투스 핵심 정의를 참고하시기 바랍니다.

시큐리티 메커니즘
명세서에 따르면 사용자 정보는 암호화된 데이터 통신으로 보호되어야 하는 반면 액세스 코드와 패킷 헤더는 암호화 되지 않은 채널로 전송 됩니다. 데이터는 E0 stream cipher 를 사용하여 암호화 됩니다.
따라서 커뮤니케이션 링크 레벨에서의 공격은 분명히 가능 합니다.
블루투스는 세가지 시큐리티 모드 중 한가지로 운영 될 수 있습니다.
시큐리티 모드 1 – 보호하지 않음(시큐리티 부재) 이 모드에서는 암호화나 인증이 사용되지 않습니다. 다바이스 자체는 구별하지 않는 상태에서 즉 브로드캐스팅(마구잡이)모드로 운영 됩니다.
시큐리티 모드2 – 어플리케이션/서비스 기반(L2CAP) 이 모드에서는 접속이 되면 시큐리티 매니저가 인증을 수행 하므로 디바이스 접속이 제한 됩니다.
시큐리티 모드 3 – link-layer PIN 인증/ MAC address 암호화. 접속이 되기 전에 인증이 행해 집니다. 비록 투명한 암호화가 이용되지만 이 모드에서도 디바이스는 손상 될 수 있습니다.

블루투스 시큐리티는 PIN 코드를 사용하여 키를 생성하는 것을 기본으로 하고 있으며 길이는 1에서 16바이트까지 입니다. 대부분의 디바이스는 4-byte PIN을 이용 합니다. 우선 E2 알고리즘이 PIN 코드를 기반으로 하여 16-byte Link Key를 생성 합니다.
그런 후에 Link Key를 기본으로 한 암호화된 키가 E3 algorithm를 사용하여 계산 됩니다.
첫 번째 키는 인증을 위해서 사용되며 두 번째는 암호화 용 입니다.

그림 3
인증 절차는 다음과 같습니다.

1. 디바이스가 접속을 하기 위하여 주소를 보냅니다(BD_ADDR). 이 48-bit 주소는 독특하며 네트워크 어댑터의 MAC주소와 유사 합니다. 디바이스 제조사를 이 주소로 알 수 있습니다.
2. 랜덤128-bit 시도 시퀀스의 응답이 보내 집니다(AU_RAND).
3. 양 디바이스가 BD_ADDR, Link Key 및 AU_RAND를 기반으로SRES라는 인증 응답 스트링을 생성 합니다.
4. 디바이스는 SRES를 보내기 위해 접속을 시도 합니다.
5. 다른 디바이스는 그 자체의 것과 받은 SRES를 비교하여 만약 2개가 매치되면 접속을 실행 합니다.
그림 4
비록e PIN code는 공개적으로 보내지지는 않지만 BD_ADDR, AU_RAND 와 SRES를 가로채면 크랙 할 수 있습니다.

블루투스 공격 형태
BlueBug
이 취약점은 블루투스가 강화된 디바이스에 인증되지 않은 동작을 공격자가 실행할 수 있게 합니다.
적절한 환경에서 BlueBug 공격은 단 몇 초만에 성공할 수 있습니다. 희생자의 디바이스와 공격자의 디바이스 사이의 거리는 Class2 bluetooth radio의 전송력으로 제한됩니다. 그리고 이것은 상기에서 언급한 것과 같이 10-15미터 정도 입니다.
지향성 안테나를 사용하여 이 거리를 더 넓힐 수 있습니다.
몇몇 전화가 AT 명령어의 문제를 내포하고 있기에 공격자는 다음의 동작을 수행할 수 있게 되었습니다.
전화 걸기
불특정 번호로 SMS 보내기
상대방 전화에서 SMS 읽기
주소록 읽기 및 쓰기
전화 전송 설정
기타

Blueprinting
Blueprinting 은 블루투스 피해 디바이스의 항목으로 접속하는데 사용될 수 있습니다. 상기에서 언급했듯이 각 블루투스 디바이스는 고유의 주소가 있습니다. 이 주소는 6 바이트로 구성되어 있습니다 (MAC 주소 형태와 상당히 유사합니다. MM:MM:MM:XX:XX:XX).
이 주소의 제일 앞의 3 바이트(M바이트)는 칩셋의 제조사에게 할당되었습니다. 불행히도 남아있는 나머지 3바이트(X바이트)의 경우 상황이 단순하지 않고 디바이스 모델을 100% 확인하는 것이 불가능합니다.
모든 블루투스 디바이스는 서비스 영역을 가지고 있습니다. 서비스 목록은 서비스 발견 프로토콜(SDP, Service Discovery Protocol)을 통하여 가져오게 됩니다. 디바이스는 특정 포맷의 정보 결과 쿼리를 받을 수 있습니다. 그리고 이것은 디바이스 모델을 확인하는데 사용할 수 있습니다.

BlueSmack
BlueSmack 은 Linux Bluez 에 포함된 기본 도구를 이용한 DoS 공격입니다.
BlueSmack은 Microsoft Windows 95 초기 버전에서 사용되었던 공격과 유사합니다. L2CAP 레벨에서 다른 블루투스 디바이스로부터 echo 리퀘스트가 가능합니다.
ICMP ping 과 마찬가지로 L2CAP ping 의 개념은 연결을 확인하고 확립된 링크로의 왕복 시간을 측정합니다. BlueZ 배포판의 기본 유틸리티인 l2ping 으로 사용자는 패킷의 크기를 지정하여 보낼 수 있습니다. 원하는 결과를 만들어내려면 -s옵션으로 약 600바이트의 사이즈로 지정하면 됩니다.

BlueSnarf
이것은 아마도 가장 잘 알려진 블루투스 공격의 형태일 것 입니다. 공격자는 원래 다른 개체와 명함을 교환하기 위해 개발된 OBEX Push Profile (OPP)을 사용합니다. 대부분 이 서비스는 인증이 필요하지 않습니다.
BlueSnarf 공격은 OBEX GET 리퀘스트를 'telecom/pb.vcf' (주소록) 또는 'telecom/cal.vcs' (달력 파일) 과 같이 잘 알려진 파일이름으로 보냅니다. 만약 피해 디바이스의 펌웨어가 잘못 설치되어 있다면 공격자는 피해 디바이스의 모든 파일에 접근할 수 있습니다.

BlueSnarf++
이 공격은 BlueSnarf와 매우 유사합니다. 주요 차이점은 피해 디바이스 파일 시스템에 접근하기 위한 방법입니다. BlueSnarf++ 는 OBEX Push Profile 을 통하여 공격자에게 전체 읽기/쓰기 권한을 줍니다. 만약 OBEX FTP 서버가 디바이스에서 실행 중이면 페어링(pairing)없이 OBEX Push 서비스를 통하여 접속을 확립할 수 있습니다.
공격자는 파일 시스템의 모든 파일을 볼 수 있고(ls명령어 이용) 심지어 파일을 삭제(rm 명령어)할 수도 있습니다. 또한 공격자는 메모리스틱 또는 SD 카드와 같은 메모리 확장 카드를 포함한 디바이스에 설치된 메모리에 명령어를 실행시킬 수 있습니다.

HelloMoto
이것은 BlueSnarf 와 BlueBug의 결합형입니다.
이 공격은 몇몇 모토로라 전화기의 “신뢰하는 디바이스” 핸들링의 잘못된 프로세싱을 이용합니다.
공격자는 OBEX Push Profile 과 위조 송신 vCard를 이용하여 접속을 시도합니다. 송신 프로세스는 그 후 차단됩니다. 하지만 공격자의 디바이스는 피해자의 전화기에 신뢰하는 디바이스로 남게 됩니다. 신뢰하는 디바이스의 목록에 들어간 것을 이용하여 공격자는 인증 없이 헤드셋 프로파일에 접속할 수 있습니다. 한번 접속이 확립되면 공격자는 AT 명령어를 사용하여 디바이스를 조정할 수 있습니다.

BlueBump
이 공격은 사회 공학을 이용합니다. 이 공격의 개념은 피해 디바이스와 신뢰하는 접속을 확립하는 것 입니다. 이것은 받는 사람의 인증을 하기 위해 명함을 보내는 것으로 성공할 수 있습니다. 공격자는 접속을 계속 유지합니다.
그러나 피해자는 공격자의 디바이스 링크를 삭제할 것을 물어 봅니다. 피해자는 접속이 아직 유지 중이라는 것을 알지 못합니다. 그 다음 공격자는 링크 키의 재생성을 요청합니다. 결과적으로 공격자의 디바이스는 인증 없이 새로운 엔트리를 얻게 됩니다. 그 후 키가 삭제될 때 까지 공격자는 피해 디바이스에 액세스를 유지합니다.

BlueDump 공격
이 경우에 공격자는 관계 설정된 디바이스(paired device) 세트의 BDADDR 을 알아야 합니다. 공격자는 디바이스와 다른 연결 중 하나의 주소를 위장합니다.
공격자는 링크 키를 가지고 있지 않기에, 피해 디바이스가 인증 요청하면 공격 디바이스는 'HCI_Link_Key_Request_Negative_Reply'라고 응답을 하게 됩니다.
그리고 이것은 특정 경우에 목표디바이스 자신의 링크 키를 삭제하고 관계 설정 모드(pairing mode)로 가게 됩니다.

BlueChop
이 공격의 목적은 네트워크에 포함되지 않은 디바이스를 이용하여 확립된 piconet을 파괴하는 것 입니다. 이 공격은 확장된 네트워크(a scatternet)를 만드는 것에 사용될 수 있는 다중 접속이 마스터 유닛을 지원한다는 사실에 기반합니다. 공격자는 piconet의 일부분이고 마스터 유닛과 연결되어 있는 랜덤 디바이스의 주소를 위장합니다. 그리고 piconet을 파괴시킵니다.

조사 또는 신년 워니블링(War-nibbling)

러시아의 가장 중요한 휴일인 연말연시는 블루투스 조사를 하기에 가장 좋은 시기입니다. 쇼핑 센터는 사랑하는 사람들을 위한 선물을 사는 고객들로 가득 찹니다. 이것이 쇼핑 센터를 얼마나 많은 블루투스 장비들이 취약점에 무방비 상태로 열려있는지에 대한 조사를 위한 가장 이상적인 장소로 만듭니다. 무엇보다 가장 좋은 것은, 선물 쇼핑과 함께 할 수 있다는 것 입니다.
필자의 친구와 필자는 블루투스 어답터를 탑재한 노트북을 들고 쇼핑센터에 갔습니다. 조사에 사용한 장비는 아래와 같습니다.
1. 소니 바이오fxa 53 노트북
2. SuSE 10.0 OSS.
3. PCMCIA 블루투스 어답터
4. btscanner 2.1
우리는 몇 군데 쇼핑센터를 방문 하였고 아래의 데이터를 수집하였습니다.
모바일 장치들은(휴대폰, PDAs) 탐지 모드와 비탐지 모드로 작동할 수 있습니다. 부루트 포스 접근(다른 주소의 큰 숫자)를 이용하여 비탐지 모드의 장치를 스캐닝하는 것은 가능합니다. 하지만 우리는 오직 탐지 모드에 있는 장치만을 스캔하였습니다.
그림 5
총 194개의 장치가 탐지 되었으며 대부분은 핸드폰 이였습니다. 그림 6은 제조사별로 구분한 것 입니다.
노키아, 소니-에릭슨이 우위를 차지하며 이것은 다른 보고서를 인용한 것 입니다.
그림 6

그림 7
가장 보편적으로 사용되고 있는 이 장치들은 또한 가장 일반적인 블루투스 공격에 매우 취약합니다.
Btscanner 프로그램은 검색된 장치 중 25% 이상이 snart 공격에 취약한 것을 발견하였습니다.

그림 8
또한, 25% 이상의 사용자가 파일 전송이 가능한 상태 입니다.
이것은 대부분의 사용자들이 보안에 대해서 아무런 관심이 없으며, 단지 공격을 받았을 때만 이 사실을 인지한다는 슬픈 결론을 내리게 하였습니다.
보안에 대한 무관심은 매우 심각한 안전 문제를 가져 옵니다. 차량용 블루투스는 이미 시장에서 판매되고 있으며, 만약 차량에 탑재된 컴퓨터가 공격에 침투되면 운전자와 승객 그리고 공공장소의 주변사람들을 위험에 처하게 됩니다.
또한, 보호되지 않은 휴대폰은 악성 코드가 매우 빠르게 전파되고 감염되게 할 수 있습니다.

보호

비탐지 모드 설정
PIN-based 인가 가능
안티바이러스 소프트웨어 사용

안티바이러스 선두 업체들은 이미 모바일 장치에 대한 제품을 가지고 있습니다. 카스퍼스키랩 또한 Kaspersky Mobile for Symbian smartphones (출시 예정) 과 Kaspersky Security for PDA 를 제공하고 있습니다.

부가적인 소프트웨어(Blooover, Blooover II, BT Audit) 사용

Blooover 는 자바로 만들어진 무료 어플리케이션이며, JSR-82 API 의 J2ME MIDP 2.0 VM 을 지원하는 환경에서만 사용 가능합니다. Nokia 6600, Nokia 7610, Sony Ericsson P900, Siemens S65를 포함하여, Blooover 는 특정 공격에 대한 핸드폰 취약점을 검사하는데 사용되는 취약점 스캐너 입니다. Blooover 는 2004년 12월에 처음 릴리즈 된 이래로 150,000번 이상 다운로드 되었습니다. 부가적인 공격 탐지가 가능한 Blooover II 는 2005년 12월에 릴리즈 되었습니다.
BT Audit 는 열린RFCOMM 채널과 L2CAP PSM을 검색하고 상태를 보고 합니다.


참조 :


1. www.trifinite.org


워니블링(War-Nibbling) 이란?
WARNIBBLING 은 phreaker(전화통신해커) 가능한 블루투스 전화기의 취약점을 찾고 접근하기 위한 공격으로, 고이득 안테나와 전화기에 접근할 수 있는 특별 소프트웨어를 장착한 일반적인 노트북 또는 PC를 사용합니다.
워니블러(warnibbler)는 한 곳에 머물지 않고 돌아다니면서 가능한 많은 전화기를 매핑합니다. 이 문제가 최근 증가되게 된 것은 특별히 디자인된 고이득 안테나 때문 이며, 이 안테나는 1마일 이상 떨어진 블루투스 장비를 찾아낼 수 있습니다.
<원본 : Bluetooth, Bluetooth Security and New Year War-nibbling.>

출처 : http://www.kasperskylab.co.kr/

원문 : http://www.kasperskylab.co.kr/board/bbs/board.php?bo_table=Products&wr_id=34

저자 : Konstantin Sapronov (카스퍼스키랩 바이러스 분석 전문가)

참고 : http://blog.naver.com/eulnyung/150028776217
  
트랙백 1  |  댓글   |
 이전  1234567···663   다음 

fotowall :: ncloud RSS Feeds today : 14   yesterday : 16
total : 270,465