Повышение безопасности технологии Bluetooth

Какие меры могут быть приняты менеджерами IT-отделов и пользователями мобильных устройств

Применение технологии беспроводной связи Bluetooth становится повсеместным. Согласно данным специальной рабочей группы по Bluetooth (SIG), объем еженедельных поставок устройств с функцией Bluetooth перешел 5-миллионную отметку во втором квартале 2005 года, намного превысив показатель в три миллиона единиц за третий квартал 2004 года. По большей части этот рост характерен для рынков мобильных телефонов и карманных компьютеров; фактически, 20% мобильных телефонов в настоящее время выпускаются с поддержкой Bluetooth. В высококлассных моделях для бизнеса уровень внедрения этой технологии еще выше, и в 2006 году большая часть трубок бизнес класса будет оснащена технологией Bluetooth.

Но эта технология предназначена не только для мобильных телефонов, карманных компьютеров и ноутбуков. По данным SIG, системы Bluetooth инсталлируются на коммерческие транспортные средства для обеспечения связи с водителями, поддержки устройств «громкой» связи и для сбора данных. В медицинских учреждениях применяются беспроводные оксиметры, что снижает вероятность случайного снятия пациентом устройства приема импульсов. Bluetooth стремительно вытесняет традиционные и громоздкие виды соединений между устройствами.

Некоторые компании применяют технологию Bluetooth в своей IT-среде, тем самым повышая эффективность корпоративных прикладных систем и улучшая практические результаты. Компания по производству безалкогольных напитков в Австралии снабдила своих торговых представителей и специалистов по маркетингу ноутбуками и мобильными телефонами с поддержкой Bluetooth, предоставив им возможность доступа в интернет, сеть компании, к электронной почте и клиентской информации в любом месте и в любое время. Ноутбуки, соединяющиеся при помощи беспроводной технологии Bluetooth с сетью передачи данных мобильных телефонов стандарта GPRS, обеспечивают полную функциональность ноутбука наряду с мобильностью сетевого соединения GPRS. По сравнению с другими беспроводными решениями, такими как 802.11, эти ноутбуки не подвержены ограничениям местной инфраструктуры, они позволяют охватить роумингом гораздо большую территорию.

Теперь, когда технология Bluetooth получила широкое распространение и используется для повышения эффективности практических бизнес-решений, пользователи сталкиваются с проблемой, общей для всех быстроразвивающихся технологий связи: обеспечением безопасности.

Появление большого числа угроз для мобильных устройств усилило обеспокоенность как отдельных пользователей, так и предприятий относительно степени совершенства данной технологии, главным образом, абсолютного отсутствия комплексной защиты. Хотя причиной некоторых рисков может стать текущая реализация или схемы, лежащие в основе протоколов, тем не менее, существует ряд мер, которые могут быть предприняты для снижения риска. Организациям следует активнее решать вопросы обеспечения безопасности устройств с поддержкой Bluetooth, используемых в рабочей среде компании. Во-первых, работникам отделов информационной безопасности необходимо пройти обучение относительно возможных рисков. Во-вторых, они должны определиться с методами управления рисками и выработать политику. В-третьих, они должны обучить пользователей. В-четвертых, они должны принять действенные меры, гарантирующие управление всеми устройствами Bluetooth в пределах подконтрольной им среды. И наконец, они должны осуществлять постоянный аудит, обеспечивающий соответствие состояния рабочей среды выработанной ими политике.

Атаки на устройства с поддержкой Bluetooth и их уязвимости
Хакеры используют Bluetooth для атак на такие портативные устройства, как мобильные телефоны, карманные компьютеры, ноутбуки и мобильные терминалы. Атаки подразделяются на несколько типов. Наиболее распространенными являются попытки кражи данных. Другие сосредоточиваются на нарушении нормального хода обслуживания, распространении вредоносных кодов и на другой, ставшей уже традиционной, тактике.

Одним из примеров является Bluejacking, когда используется способность устройств Bluetooth «видеть» другие, расположенные поблизости устройства и посылать на них непрошеные сообщения. Такое незваное сообщение затем отображается на устройстве жертвы, потенциально вызывая замешательство или, по крайней мере, раздражение. Хотя чаще всего этим занимаются ради забавы, этот прием может использоваться и для рассылка спама.

Другим примером служит Bluesnarfing — используя этот прием, атакующий может соединиться с устройством, не сообщив об этом его владельцу, и получить доступ к сохраненным на аппарате данным. Потенциально ценные данные могут содержаться в адресных книгах и календарях. Практика показала, что с такими устройствами можно соединиться, несмотря на использование так называемого «невидимого» режима.

Третьим примером является атака, называемая Bluebug. В данном случае атакующие способны установить последовательное соединение с устройством жертвы и использовать его для контроля за службами обмена данными этого аппарата. Они имеют возможность подсоединиться к службам данных, посылать и получать сообщения, а также производить телефонные звонки.

Существует множество других способов осуществления атак типа «отказ в обслуживании», есть даже такие, которые позволяют злоумышленникам подслушивать частные разговоры. За прошедший год было зарегистрировано много случаев распространения вирусов, червей и троянов для мобильных устройств. Хотя ни один из них не нанес ущерба, подобного тому, который причиняют вредоносные коды для ПК, их быстрая эволюция представляет очевидную причину для беспокойства. Вредоносные коды становятся все более изощренными и многочисленными. Подтверждение этому можно четко проследить, рассмотрев тенденции развития вредоносных программ для портативной техники за прошедший год или около того. До появления в июне 2004 года вируса Cabir, который являлся концептуальной разработкой, практически не отмечалось случаев заражения смартфонов вредоносными кодами. В промежуток с ноября 2004 года и по февраль 2005 года в небольших количествах стали появляться новые вредоносные программы. Затем, весной 2005 года наблюдалось появление различных вариантов Cabir. Некоторые из этих «вариантов» имели достаточно отличий, чтобы быть отнесенными к новым типам. Особенно важны именно различия между ними. У таких червей, как Commwarror и Mabir, были значительно усовершенствованы алгоритмы распространения. Они распространялись более эффективно и применяли больше уловок в целях обмана своих жертв и уклонения от обнаружения.

Уже не вызывает сомнений, что по мере повсеместного распространения мобильных устройств и их использования для доступа ко все более ценной информации они будут представлять привлекательную мишень для взломщиков.

Минимизация рисков для безопасности: примите меры!
Компаниям и пользователям мобильных устройств следует отдавать себе отчет в том, что технологией Bluetooth может быть оснащено оборудование самых разных форм и размеров, поэтому риски для безопасности распространяются не только на карманные компьютеры и смартфоны. К примеру, некоторые ноутбуки выпускаются со встроенным адаптером Bluetooth, потенциально создающим лазейки для доступа в корпоративные системы в тех случаях, когда ноутбук соединен с локальной сетью посредством Ethernet или WiFi.

Директора и менеджеры по информационным технологиям не должны упускать из виду то, что их работники могут легко и недорого приобрести модули, позволяющие добавлять функции Bluetooth к широкому спектру разрешенного компанией оборудования, включая мобильные терминалы, ноутбуки и карманные компьютеры. Такие расширительные устройства аналогичны фальшивым точкам доступа в системах WiFi в том смысле, что они незаметно создают дополнительные точки входа — беспроводные точки входа — в защищенную во всех других отношениях сеть. Некоторые администраторы считают, что стандартный радиус действия Bluetooth, составляющий 9 м, создает ограничение, снижающее число причин для беспокойства по поводу безопасности; однако практика уже показала, что, затратив менее пятисот долларов, злоумышленник может легко сконструировать передатчик с радиусом действия до мили (1,61 км). В силу этих фактов устройства с поддержкой Bluetooth потенциально представляют гораздо больший риск еще и потому, что для них нет такого количество защиты, как для аппаратов с поддержкой WiFi, хотя потенциальное число угроз не меньше.

Директора и менеджеры по информационным технологиям должны предпринять следующие минимальные меры предосторожности на случай атак, нацеленных на устройства с поддержкой Bluetooth:

Незамедлительно идентифицируйте все выданные компанией устройства с функцией Bluetooth и предупредите пользователей об известных уязвимостях.
Предприятия должны вести инвентарные списки выданных ими аппаратов; в идеале такие списки должны включать любые личные устройства, такие как карманные компьютеры или смартфоны, используемые по месту работы. Впоследствии такой список затем можно будет использовать для распространения информации среди сотрудников для предупреждения их о новых уязвимостях и предложения рекомендаций или методов по использованию и заданию конфигурации таких устройств. И наконец, осведомляйтесь у поставщиков ваших устройств о недавно обнаруженных уязвимостях Bluetooth, сведения о которых еще не были опубликованы. К тому времени, когда вы прочтете о них в специализированном IT-издании или в интернете, может быть уже слишком поздно. Многие информационные ресурсы по безопасности и технологиям доступны в интернете и могут дополнить сведения, полученные от поставщиков оборудования. Интернет-порталы по безопасности, такие как Security Focus* (http://www.securityfocus.com), предлагают широкий выбор самых свежих данных по вопросам безопасности, включая информацию о беспроводных технологиях и значительных уязвимостях. Там же публикуется множество подробных статей, посвященных вопросам безопасности Bluetooth (http://www.securityfocus.com/infocus/1830 ). Специальная рабочая группа по Bluetooth (http://www.bluetooth.com и http://www.bluetooth.org) также имеет веб-сайты, на которых можно найти разнообразную информацию о Bluetooth, включая темы по безопасности (http://www.bluetooth.com/help/security.asp).

Обучайте сотрудников.
Bluesnarfing и Bluejacking в такой же мере используют наивность пользователей, насколько и изъяны в защите Bluetooth. Предприятиям рекомендуется разработать комплексные руководящие указания, написанные понятным языком и определяющие как риски, так и наказание за неправильное использование устройств Bluetooth. Например, сотрудники должны понимать, что устройства остаются уязвимыми, даже если они не находятся в «поддающемся обнаружению» или «видимом» режиме. Наряду с тем, что обучение тесно связано с процессом определения локальной политики и выявлением тех, кто нуждается в обучении, оно часто требует особых совместных усилий.

Соблюдайте осторожность при «спаривании» устройств.
Зависимость от личных идентификационных номеров (PIN) для установления шифрованной связи между устройствами является единственной известной существенной уязвимостью в спецификации Bluetooth. Не составляет особого труда узнать короткие PIN-коды, если атакующий имеет возможность перехватывать и записывать процесс спаривания устройств (такие атаки удаются, только если злоумышленники прослушивают канал связи во время паринга). Для защиты PIN-кодов предусмотрен ряд мер. Прежде всего пользователи должны стараться применять при спаривании более длинные PIN-коды– четырехзначный код слишком короток. PIN-код пользователя должен состоять по крайней мере из восьми символов. Не следует производить спаривание устройств в общественных местах, так как там они наиболее подвержены прослушиванию. Серьезное подозрение должны вызывать случаи, когда ранее спаренные устройства неожиданно требуют нового паринга. Это может быть атака с попыткой вызвать повторный паринг в целях наблюдения за обменом. В таких случаях атакующий посылает на устройство жертвы подложное сообщение, выдавая себя за известное устройство и утверждая, что PIN-код забыт. Это приводит к тому, что устройство жертвы пытается повторить спаривание, теперь уже под наблюдением атакующего. И если атакующий имеет возможность наблюдать за процессом спаривания, он может вклиниться в обмен PIN-кодами и узнать PIN-код, который затем будет использовать. В этом случае пользователи должны воздержаться от повторного паринга до тех пор, пока не окажутся в более надежном месте.

Ужесточайте ИТ-политику компании в отношении Bluetooth.
Карманные компьютеры с поддержкой Bluetooth уже можно купить всего за $100, что повышает вероятность их приобретения самими работниками и последующего использования на работе. Компании должны рассматривать неразрешенные карманные компьютеры, мобильные терминалы и вспомогательные устройства с поддержкой Bluetooth как потенциальные точки доступа мошенников; если сотрудники осознают риски и уязвимости, связанные с использованием Bluetooth, они должны также брать на себя ответственность за открытие лазеек для проникновения в системы предприятия вследствие использования несанкционированных устройств. Для повышения уровня подотчетности и обеспечения соответствующего отслеживания аппаратов, связанных с системами предприятия, необходимо требовать от работников регистрации в отделах информационных технологий любых личных аппаратов, используемых в работе, включая смартфоны, которые могут синхронизироваться с принадлежащими компании настольными ПК. Хотя такая мера может показаться крайностью и представлять сложности для реализации на практике, она является важным шагом в организации защиты рабочей среды.

Выбирайте продукты, имеющие функцию контроля Bluetooth. Многие модели карманных компьютеров оснащены переключателем, позволяющим пользователям включать и отключать беспроводную связь (как Bluetooth, так и WiFi), а не рыться в меню или на панели задач в поисках нужной функции. В том случае, если беспроводная связь может быть отключена простым щелчком переключателя, работники с большей вероятностью будут соблюдать правила безопасности, принятые в компании. Одним из пунктов политики безопасности компании должно стать требование отключения адаптера Bluetooth, когда беспроводная связь не используется.

Продумайте средства для выявления и предотвращения распространения угроз безопасности.
Менеджеры по информационным технологиям могут применять средства как для сканирования рабочей среды на предмет использования устройств Bluetooth, так и для контроля управляемых конечных точек на предмет соединения таких устройств. Некоторые конфигурации позволяют дистанционно отключать функцию Bluetooth в устройствах компании. Это может быть необходимым по той причине, что хотя угроза безопасности может быть снижена за счет отключения режима видимости устройств Bluetooth, некоторые злоумышленники способны обойти такую защиту. Как и в случае с большинством других правил в области ИТ, ключевой мерой здесь является контроль и ужесточение мер безопасности.

В некоторых условиях полный запрет или даже серьезные ограничения использования Bluetooth могут показаться чрезмерной мерой. Безусловно, бывают случаи, когда предприятия нуждаются в Bluetooth или в значительной степени выигрывают от применения данной технологии, и там она будет использоваться несмотря на риски для безопасности. В таких организациях необходимо приложить все усилия для минимизации угрозы и иметь четкое представление об остающихся рисках. Это, опять же, в некоторых отношениях аналогично использованию других технологий беспроводной связи, таких как WiFi. В качестве вспомогательных средств снижения степени риска часто можно использовать дополнительные средства обеспечения безопасности, такие как брандмауэры, VPN, антивирусы и системы контроля доступа.

Автор: Брайан Хернаки (Brian Hernacki), Symantec Corp.

*Владельцем Security Focus является Symantec Corp.