Die Zukunft der kabellosen Kurzstreckenkommunikation ist nicht nur rosig, sondern auch blau, sofern man den üblichen Verdächtigen der Prognosebranche glauben mag. Nachdem WLAN-Sicherheit mittlerweile ausführlich diskutiert wurde, ist nun auch Bluetooth in den Fokus der Untersuchungen geraten. Aktuelle Schwachstellenfunde und detaillierter werdende Analysen der verwendeten Protokolle und Algorithmen sind Indikatoren einer im letzten Jahr sprunghaft gewachsenen Präsenz der Technik auf dem Markt und im Bewusstsein der Menschen.
Bluetooth-Protokolle sind komplex, die Technik ist neu und Hersteller oft mehr daran interessiert, die Software mit Features auszustatten als auf deren sichere Umsetzung zu achten. Fehler im Code eines Telefonherstellers haben im Januar 2004 zur Veröffentlichung des ersten großen Sicherheitsproblems (Snarf) geführt, bei dem ein Angreifer sich mit dem betroffenen Gerät verbinden kann, ohne dass sein Besitzer dies bemerkt. Derselbe Bericht hat aufgedeckt, dass gelöschte Verbindungen nicht immer wirklich entfernt sind, sondern sich weiterhin nutzen lassen. Anfang August wurde dann das bisher schlimmste Sicherheitsloch einer Bluetooth-Implementierung entdeckt: Alle Windows-Bluetooth-Adapter des marktbeherrschenden Herstellers Widcomm sind durch einen Buffer-Overflow verwundbar. Dadurch lässt sich Code einschleusen, der im Windows-System mit den Berechtigungen des angemeldeten Benutzers arbeitet. Derartige Angriffe dürften noch zunehmen, da bisher wenig Zeit in die Erforschung von Implementierungsfehlern gesteckt wurde.
Das fehlende Sicherheitsbewusstsein der Hersteller zeigt sich auch in den Standardeinstellungen der Geräte, die im Auslieferungszustand oft erkennbar und damit leicht angreifbar sind. Auch die Betriebssysteme der Funktelefone lassen Sicherheit vermissen: Eine Vergabe von gesonderten Rechten ist dort nicht vorgesehen. Somit kann jede Anwendung und jedes fest verbundene (paired) Bluetooth-Gerät vollen Zugriff auf alle Ressourcen erhalten. Nur ob eine feste Verbindung erlaubt ist oder nicht, kann der Benutzer steuern – ob darüber anschließend eine DFÜ-Verbindung aufgebaut oder alle Kontakte ausgelesen werden können, lässt sich nicht differenzieren. Immerhin ist es möglich, Daten auch ohne eine feste Verbindung zwischen zwei Geräten zu übertragen, dabei muss der Benutzer dann jede Übertragung einzeln akzeptieren und kann somit Kontrolle ausüben.
Neben offensichtlichen Attacken birgt Bluetooth weitere Gefahren: Ein einmal erkanntes Gerät kann man beispielsweise zum Verfolgen seines Benutzers und zum Erstellen eines Bewegungsprofils missbrauchen. Dafür sind keine besonderen Rechte beim Telefonanbieter oder auf dem Telefon notwendig. Es reicht, an neuralgischen Punkten eines Gebäudes (z. B. Eingangstüren oder Durchgänge) einen Bluetooth-Adapter aufzustellen, der die "vorbeilaufenden" erkennbaren Geräte-IDs aufzeichnet. Zudem weicht jeder neue Datenpfad den sorgsam gehüteten Perimeter des Intranets weiter auf: Die Möglichkeit Firmendaten per Bluetooth und UMTS zur Konkurrenz zu übertragen ist zumindest technische Realität. Dieser Gefahr sollte man schon heute durch entsprechende Kontrollen der Datenzugriffe und der auf PCs installierten Schnittstellen begegnen.
Bluetooth ist in drei Klassen aufgeteilt, deren Sendeleistungen von 1 mW bei einem Class-3-Gerät mit bis zu 10 Metern Reichweite, über Class 2 mit bis zu 2,5 mW (bei gleicher Reichweite) bis zu den Class-1-Systemen mit 100 mW reichen, die bis zu 100 Meter überbrücken. Wer sich durch die geringe spezifizierte Reichweite in Sicherheit wähnt, der irrt. Auf dem "Hacking-Kongress" Defcon 12 wurde vorgeführt, dass sich eine gute Richtfunkantenne auch für Bluetooth einsetzen lässt. Bei genauer Ausrichtung und vorhandener Sichtlinie konnte mit dem so genannten BlueSniper ein Standard-Handy aus einer Entfernung von 1,6 km angegriffen werden; der BlueSniper besteht aus einer Yagi-Antenne mit 19 dB Verstärkung und lässt sich an viele Bluetooth-Adapter löten.
Die Übertragungsraten sind auf rund 780 kBit beschränkt (bedingt durch die verwendeten Zeitscheiben) und sinken mit dem Abstand der Stationen. Die jüngst veröffentlichte Bluetooth-Version 1.2 wird hier keine Verbesserungen bringen, erst 2.0 soll bis zu 4 MBit möglich machen. Problematisch bleibt die Benutzung des gleichen Frequenzbandes zusammen mit WLANs und Mikrowellenöfen (2,4 GHz). Version 1.2 soll durch eine veränderte Kanalwahl besser dafür sorgen, dass sich verschiedene Übertragungstechniken nicht gegenseitig behindern.
Ob für eine Verbindung Authentifizierung und Verschlüsselung notwendig sind, ergibt sich aus ihrem Sicherheitsmodus: Modus 1 ist ungesichert, Modus 2 verschlüsselt und verifiziert die Echtheit des Kommunikationspartners mit einem Verbindungsschlüssel pro Session. Modus 3 chiffriert alle Übertragungen mit einem vorab festgelegten Schlüssel.
Bluetooth-Geräte unterteilt das Protokoll in "Vertraute" und "Unbekannte": Vertraute, die fest verbunden ("gepaart") wurden, erhalten vollen Zugang zum Gerät – ohne weitere Kontrolle können sie auf alle bereitgestellten Dienste zugreifen. Unbekannte erhalten nur sehr begrenzten Zugang, dürfen sich aber beim Gerät melden und nach Diensten fragen. Bei dieser Frage wird ein Namensfeld von bis zu 248 Zeichen übertragen und dem Benutzer angezeigt. So ist es möglich, mit einem PC und entsprechender Software allen innerhalb der Reichweite befindlichen Geräten eine "Nachricht" zukommen zu lassen (Bluejacking). Dies kann man derzeit nur durch vollständiges Abschalten von Bluetooth unterbinden. Wenn eine solche Nachricht wie eine Systemmeldung wirkt, könnte ein Angreifer damit den Benutzer täuschen und zur Akzeptanz einer gefährlichen Nachricht veranlassen.
Jedes Bluetooth-Gerät hat eine eigene 48-Bit-Adresse, die zum Teil aus der Nummer des Herstellers besteht. Wenn ein Gerät "erkennbar" geschaltet ist, reagiert es auf alle Anfragen und ist damit auch für andere Geräte sichtbar. Ein einfacher Schutz gegen Attacken ist das Abschalten der Erkennbarkeit: Dann muss ein Angreifer immerhin die Adresse kennen, um das eigene Gerät zu erreichen. Das Durchprobieren aller möglichen Adressen ist zwar möglich und auch ein entsprechendes Tool (Redfang) zum automatisierten Scan gibt es bereits. 248, also 281 474 976 710 656 mögliche Adressen sind zwar theoretisch eine ganze Menge und ein Angreifer, der zehntausend Adressen pro Sekunde ausprobiert, würde für den kompletten Adressraum etwa tausend Jahre benötigen. Da wie bei Ethernet aber jeder Hersteller einen eigenen Adressbereich zugewiesen bekommen hat, kann man den Suchbereich drastisch verkleinern, indem man nur einen bestimmten Hersteller anvisiert. Dadurch soll es möglich sein, einen Scan auf dessen Geräte in 90 Minuten durchzuführen – und die Zahl der Hersteller ist gering.
Die Authentifizierung gewährleistet bei Bluetooth eine im Protokoll spezifizierte Verschlüsselung: Aus einer vom Benutzer eingegebenen PIN, ihrer Länge und einer Zufallszahl errechnet das Gerät einen symmetrischen Schlüssel von 8–128 Bit Länge, der entweder für alle Verbindungen (Unit-Key) oder nur für die Verbindung zu einem bestimmten Gerät (Combination-Key) genutzt wird. Nur wenn beide Systeme denselben Schlüssel errechnen, ist die gegenseitige Authentifizierung per Challenge/Response erfolgreich. Bei diesem Vorgang wird der erste Startwert für den Session-Key ermittelt und von beiden Geräten gespeichert. Die Mindestlänge dieses Schlüssels legt die Anwendung fest; dem Benutzer wird dies aber auf keinem dem Autor bekannten Gerät angezeigt. Das Bluetooth-Konsortium rät von der Benutzung des Unit-Keys ab, da ein solcher Gruppenschlüssel schnell eine unkontrollierte Verbreitung finden kann und dann nicht mehr sicher ist.
Bei der Einrichtung einer festen Verbindung zwischen zwei Geräten ist Vorsicht geboten, denn die genannte Zufallszahl wird bei jeder Ersatzverbindung unverschlüsselt übertragen. Ein Angreifer, der sie abhört, kann anschließend durch Ausprobieren der möglichen PIN-Kombinationen den gesamten Schlüssel ermitteln. Da die PIN meist nur 4–6 Zeichen lang ist, kann ein PC dies in kurzer Zeit leisten. Eine lange PIN kann hier schützen, aber nicht jede Implementation beherrscht PINs mit mehr als sechs Zeichen. Das Verbinden zweier Geräte sollte daher ausschließlich in einer vertrauenswürdigen, gut abgeschirmten Umgebung und nicht an einem öffentlichen Platz stattfinden. Dicke Wände sollten dazu bereits genügen, auch ein metallener Aufzug kann als leicht verfügbarer "funktoter" Raum dienen; der dort (nicht) verfügbare Handy-Empfang kann weitere Anhaltspunkte für die Schirmungsqualität liefern.
Ausschlaggebend für den Abhörschutz und den Ausschluss von Nachrichten mit gefälschter Herkunft ist die Sicherheit der verwendeten Algorithmen. Die spezifizierende Bluetooth Special Interest Group (SIG) hat mit SAFER+ einen Algorithmus gewählt, der frei verfügbar und schon ausreichend lange bekannt ist – allerdings gab es bis vor kurzem auch keine nennenswerte Motivation, ihn zu brechen. Immerhin war SAFER+ als AES-Kandidat eingereicht worden. Dass er in der ersten Runde ausschied, hatte mehr mit Geschwindigkeit zu tun als mit Sicherheitsbedenken (Einschätzung der AES-Konferenz siehe ![[externer Link]](../../../../images/link.gif)
http://csrc.nist.gov/CryptoToolkit/aes/round1/r1report.htm#sec2.6.13). SAFER+ ist wohl keine schlechte Wahl, auch wenn Angriffe bekannt sind, die bis jetzt aber noch nicht ausreichend einfach sind, um ein Mithören zu ermöglichen (vgl. www.schneier.com/paper-safer.html).
Zum Schutz der Datenübertragung dient der sehr einfache Algorithmus "E0". Um vor Angriffen geschützt zu sein, die Daten von zwei Verbindungen miteinander vergleichen, um auf den verwendeten Schlüssel zu schließen, wird vor jeder neuen Datenverbindung der Startwert dieses Schlüssels errechnet. Der Algorithmus selbst erzeugt einen Key-Stream nach der als sicher anerkannten Methode von Massey und Rüppel; Dieser Key-Stream wird dann mit XOR auf den Datenstrom angewendet.
In der Presse wurde verschiedentlich von Man-in-the-Middle-Angriffen gegen die Authentifizierung berichtet. Dies setzt allerdings voraus, dass der Angreifer den Unit-Key des Access Points erlangt hat, was bedingt, dass er bereits so viele Rechte im Zielnetz besitzt, dass der Man-in-the-Middle-Angriff als Begleiterscheinung nicht die höchste Aufmerksamkeit erhalten sollte. Andere Ansätze für Man-in-the-Middle-Angriffe, wie das Ausnutzen der Zeitabhängigkeit des E0 sind nur theoretisch. Dennoch sollte man für sensitive Daten eine sichere Authentifizierung nutzen.
Solange man die erstmalige Verbindung zwischen zwei Geräten in einer sicheren Umgebung aufbaut und die verwendete PIN länger als nur ein paar Zeichen ist, kann man der Verschlüsselung und Authentifizierung von Bluetooth insoweit vertrauen, als es derzeit keinen bekannten Angriff gibt. Dies gilt immer unter der Voraussetzung, dass das Gerät keine Implementierungsfehler enthält und keine schwachen Schlüssel generiert. Werden jedoch Schlüssel von vormals verbundenen Geräten nicht "richtig" entfernt, kann es zu Problemen kommen, wie sie im Januar 2004 bei diversen Nokia-Telefonen berichtet wurden.
Generell sollte man der Bluetooth-Verschlüsselung keine wirklichen Geheimnisse anvertrauen. Standardmäßig sollte das Protokoll auf allen Geräten deaktiviert sein und nur bei Bedarf eingeschaltet werden. Bei fest installierten Systemen, die 24/7 erreichbar sein müssen, sollte man zusätzliche Zugangskontrollen einrichten, um die vom Bluetooth abgedeckte Zone zu kontrollieren.
Christoph Puppe ist Security Consultant bei der Berliner HiSolutions AG.
www.bluetooth.com www.thebunker.net/release-bluestumbler.htm www.pentest.co.uk/documents/ptl-2004-03.html www.niksula.cs.hut.fi/~jiitv/bluesec.html
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004#5, Seite 40
| 