Așa cum am menționat de multe ori și vom continua să facem acest lucru, confidențialitatea și securitatea informațiilor sunt doi dintre pilonii de care trebuie să avem grijă zilnic în orice sistem de operare pe care îl gestionăm.
Nu este un secret pentru nimeni că suntem într-o lume online în care se desfășoară mii de acțiuni în fiecare minut și unde sunt implicate date cu caracter personal precum conturi bancare, numere de card, numere de identificare, adresă și multe altele, și cu boom-ul în creștere De la atacuri precum ransomware sau malware, aceste date pot fi compromise și utilizate în scopuri rău intenționate.
Cu puțin mai mult de o lună în urmă am văzut cum WannaCry a afectat mii de utilizatori și corporații din întreaga lume, „deturnându-le” datele și solicitând celor afectați sume de bani pentru răscumpărarea lor. În această săptămână, compania Armis Labs a publicat o carte albă de avertizare cu privire la o nouă vulnerabilitate severă care poate lăsa potențial miliarde de dispozitive compatibile Bluetooth susceptibile de execuție de cod la distanță și atacuri MiTM (Man-in-The-Middle).
Acest lucru este delicat, deoarece permite atacatorilor să preia controlul asupra computerului și, astfel, să își îndeplinească planurile rău intenționate. Solvetic dorește să avertizeze despre acest nou atac și, prin urmare, va efectua o analiză completă a acestui nou tip de amenințare, împiedicându-ne astfel să fim încă o victimă.
Prezentare generală BlueBorneDupă cum am menționat anterior, Armis Labs a dezvăluit un nou vector de atac care pune în pericol principalele sisteme de operare mobile, desktop și IoT, printre care se numără Android, iOS, Windows și Linux și dispozitivele care le folosesc.
Acest nou vector se numește BlueBorne și ia acest nume deoarece se răspândește prin aer (în aer) și atacă dispozitivele prin intermediul serviciului Bluetooth. Totuși nu a fost activat. În mod similar, Armis a dezvăluit și opt vulnerabilități legate de atacul Zero Days, ziua zero, dintre care patru sunt clasificate drept critice.
Amenințarea BlueBorne permite atacatorilor să preia controlul dispozitivelor, să acceseze datele și rețelele corporative, să pătrundă în rețelele securizate de „acces la Internet” și să răspândească malware pe dispozitivele adiacente, afectând astfel complet confidențialitatea și securitatea întregului conținut de pe dispozitiv. Armis a raportat aceste vulnerabilități și lucrează în prezent cu dezvoltatorii pentru a le identifica și a elibera patch-uri pentru a contracara această amenințare.
Ce este BlueBorneDupă cum sa menționat, BlueBorne este un vector de atac în care hackerii pot profita de conexiunile Bluetooth ale dispozitivelor pentru a pătrunde și a prelua controlul deplin asupra dispozitivelor țintă, afectând computerele obișnuite, telefoanele mobile și domeniul expansiunii dispozitivelor IoT (Internet of Things). .
Acest atac nu necesită ca dispozitivul țintă să fie asociat cu dispozitivul atacatorului, care este modul clasic de funcționare a Bluetooth-ului și nu necesită ca acesta să fie setat în modul detectabil, care poate trece neobservat de noi ca utilizatori.
Acest vector de atac BlueBorne poate fi folosit pentru a efectua o gamă largă de infracțiuni, inclusiv executarea codului de la distanță, precum și atacuri Man-in-The-Middle. Cel mai rău lucru despre acest atac este că au fost găsite până la opt vulnerabilități separate de zi zero (inclusiv patru critice) care pot fi folosite pentru a pirata majoritatea dispozitivelor. Bluetooth disponibil în prezent, indiferent de sistemul de operare utilizat, aceasta înseamnă că peste 5 miliarde de dispozitive Bluetooth din întreaga lume sunt potențial vulnerabile la acest defect masiv de securitate care a fost descoperit în urmă cu mai puțin de o săptămână.
Care este riscul BlueBorneDeși pentru mulți aceasta este pur și simplu o amenințare și credem că nu vom fi niciodată victime, este important să rețineți că vectorul de atac BlueBorne are mai multe calități care pot avea un efect devastator atunci când sunt combinate între ele, astfel încât atunci când se răspândesc prin air, BlueBorne se concentrează pe cel mai slab punct în apărarea rețelei și singurul care nu protejează nicio măsură de securitate.
Difuzarea de la un dispozitiv la altul prin aer face, de asemenea, BlueBorne extrem de contagios între dispozitive, crescându-și nivelul de atac și, în plus, din moment ce procesul Bluetooth are privilegii ridicate în toate sistemele de operare, exploatarea acestuia oferă un control aproape total asupra dispozitivului afectat fără ca noi să observăm acest lucru. imediat.
BlueBorne are capacitatea de a servi ca orice țintă rău intenționată, cum ar fi:
- Spionajul cibernetic
- Furt de date
- Ransomware
- Crearea de rețele bot în afara dispozitivelor IoT precum Mirai Botnet sau dispozitive mobile precum recent WireX Botnet.
Cât de amplă este amenințarea din partea BlueBorne?
În acest moment unii utilizatori se vor gândi, ei bine, sunt în Lima, Madrid, Bogotá și am antivirus pe computerele mele, de ce îmi fac griji? Solvetic recomandă luarea măsurilor adecvate și conștientizarea faptului că această amenințare poate fi prezentă oriunde în lume.
Vectorul de atac BlueBorne poate afecta potențial toate dispozitivele compatibile Bluetooth, estimate la peste 8,2 miliarde de dispozitive astăzi în întreaga lume. Amintiți-vă că Bluetooth este protocolul principal și cel mai răspândit pentru comunicațiile cu rază scurtă de acțiune și este utilizat de dispozitive de toate tipurile, de la computere obișnuite și dispozitive mobile până la dispozitive IOT precum televizoare, ceasuri, mașini și chiar dispozitive medicale. Deși avem astăzi mult mai multe protocoale de rețea, toate dispozitivele noastre mobile au Bluetooth, ceea ce ne face o țintă de atac:
Pentru a face o idee globală a numărului de dispozitive care pot fi afectate, ultimele rapoarte publicate indică faptul că există mai mult de 2 miliarde de dispozitive Android, 2 miliarde de Windows și 1 milion de dispozitive Apple în uz. Gartner raportează că există 8 miliarde de dispozitive conectate sau IoT în lume astăzi, dintre care multe au Bluetooth, astfel încât să putem vedea nivelurile de impact pe care BlueBorne le poate provoca.
Noutăți la BlueBorne
Deși BlueBorne era abia cunoscut acum o săptămână, știm foarte bine că atacatorii folosesc în mod constant noi tehnici pentru a răspândi atacul și, prin urmare, trebuie să știm ce caracteristici noi au fost descoperite cu acest subiect.
Aici sunt câțiva dintre ei:
Un nou vector de atac aerianSpre deosebire de majoritatea atacurilor care se întâmplă astăzi, care se bazează pe internet, un atac BlueBorne se răspândește prin aer, făcându-l o amenințare mult mai gravă. Acest lucru funcționează într-un mod similar cu cele două vulnerabilități mai puțin extinse descoperite recent pe un cip Wi-Fi Broadcom de Project Zero și Exodus, deoarece vulnerabilitățile găsite pe cipurile Wi-Fi au afectat doar perifericele dispozitivului și necesită un alt pas pentru a controla dispozitivul.
În schimb, cu BlueBorne, atacatorii pot obține controlul deplin chiar de la început. În plus, Bluetooth oferă o suprafață mult mai largă pentru atacator decât WiFi, aproape total neexplorat de cercetători și, prin urmare, conține mult mai multe vulnerabilități.
Fiind un atac aerian, atacatorul are șanse mult mai mari de a-și îndeplini planul din motive precum:
- Răspândirea prin aer face atacul mult mai contagios, permițându-i să se răspândească cu un efort minim din partea atacatorului
- Permite atacului să ocolească măsurile de securitate actuale și să rămână nedetectate, deoarece metodele tradiționale nu protejează împotriva amenințărilor aeriene, ci sunt concentrate pe amenințări de alt tip
- Acestea permit hackerilor să pătrundă în rețelele interne sigure care sunt „filtrate”, ceea ce înseamnă că sunt deconectate de la orice altă rețea pentru protecție.
- Spre deosebire de malware sau atacuri tradiționale, utilizatorul nu trebuie să facă clic pe un link sau să descarce un fișier îndoielnic. Nu este necesară nicio acțiune a utilizatorului pentru a permite atacul care poate fi imperceptibil pentru oricare dintre noi.
O amenințare largă și drasticăVectorul de atac BlueBorne nu necesită nicio interacțiune cu utilizatorul, este compatibil cu toate versiunile software actuale și nu necesită nicio condiție prealabilă sau altă configurație decât Bluetooth, care are toate ingredientele pentru a deveni una dintre cele mai grave amenințări cunoscute.
Deși s-ar putea să nu pară adevărat, dispozitivele compatibile Bluetooth de pe computerele noastre caută în permanență conexiunile primite de pe orice dispozitiv și nu doar pe cele cu care au fost asociate, ceea ce înseamnă că se poate stabili o conexiune Bluetooth fără a asocia deloc dispozitivele. și acesta este un defect major de securitate, deoarece permite BlueBorne să fie unul dintre atacurile potențiale din ultimii ani și permite unui atacator să atace complet nedetectat de utilizator sau cercetători.
Vulnerabilități Bluetooth de generația următoareCu ceva timp în urmă, majoritatea vulnerabilităților Bluetooth și a erorilor de securitate provin din probleme cu protocolul în sine, care au fost remediate în versiunea 2.1 în 2007.
Bluetooth este un protocol dificil de implementat, care îi permite să fie predispus la două tipuri de vulnerabilități:
În primul rând, furnizorii pot urma liniile directoare de implementare a protocolului cuvânt cu cuvânt, care indică faptul că, atunci când o vulnerabilitate este găsită pe o platformă, aceasta ar putea afecta altele. Aceste vulnerabilități reflectate au apărut cu CVE-2017-8628 și CVE-2017-0783 (Windows și Android MiTM) care erau „gemeni identici”.
În al doilea rând, în unele domenii, specificațiile Bluetooth lasă mult spațiu pentru interpretare, ceea ce determină fragmentarea metodelor de implementare pe diferite platforme, ceea ce face ca fiecare dintre ele să conțină propria vulnerabilitate.
Din acest motiv, vulnerabilitățile care alcătuiesc atacul BlueBorne se bazează pe diferitele implementări ale protocolului Bluetooth și sunt mai frecvente și severe decât se știa anterior.
Pe baza acestui tip de amenințare și a modului în care se poate răspândi simplu și pe scară largă, Armis a contactat dezvoltatorii pentru a coordona măsuri de securitate drastice și eficiente care caută protecția utilizatorului final.
Armis a fost contactat după cum urmează:
- Google a contactat pe 19 aprilie 2021-2022
- Microsoft a fost contactat pe 19 aprilie 2021-2022, iar actualizările au fost făcute pe 11 iulie 2021-2022
- Apple a fost contactat pe 9 august 2021-2022 deoarece Apple nu avea nicio vulnerabilitate în versiunile sale actuale de sisteme de operare.
- Samsung a fost contactat în lunile Samsung aprilie, mai și iunie fără a primi un răspuns
- Linux a fost contactat în 15 și 17 august 2021-2022. Și pe 5 septembrie 2021-2022, informațiile necesare au fost furnizate echipei de securitate a nucleului.
Dispozitive afectate
Am ajuns la unul dintre punctele critice pentru majoritatea dintre noi și anume să știm ce procent de vulnerabilitate suntem cu dispozitivele noastre.
Amintiți-vă că BlueBorne afectează toate dispozitivele care rulează pe sistemele de operare Android, Linux, Windows și iOS înainte de versiunea 10, indiferent de versiunea Bluetooth utilizată, care este o gamă largă de dispozitive afectate, inclusiv echipamente PC., Dispozitive mobile, televizoare inteligente și dispozitive IoT.
Android
La nivel de Android avem următoarele efecte:
Toate telefoanele, tabletele și laptopurile Android (cu excepția celor care utilizează doar Bluetooth Low Energy) din toate versiunile sunt afectate de patru vulnerabilități găsite în sistemul de operare Android care sunt:
- (CVE-2017-0781 și CVE-2017-082) care permit executarea codului la distanță
- (CVE-2017-0785) în care apare o scurgere de informații
- (CVE-2017-0783) care permite unui atacator să efectueze un atac Man-in-The-Middle.
- Google Pixel
- Samsung Galaxy
- Samsung Galaxy Tab
- LG Watch Sport
- Sistem audio auto Pumpkin
Armis a dezvoltat o aplicație gratuită numită BlueBorne Vulnerability Scanner pe care o putem descărca din Magazinul Play de la următorul link:
La executarea acestuia vom putea vedea analiza respectivă. În cele din urmă vom vedea ce nivel de vulnerabilitate avem:
Cum atacă Android:
Windows
La nivel Windows, din păcate, toate computerele de la Windows Vista sunt afectate de vulnerabilitatea „Bluetooth Pineapple” care permite unui atacator să efectueze un atac Man-in-The-Middle (CVE-2017-8628). Microsoft a emis patch-uri de securitate pentru toate versiunile de Windows acceptate pe 11 iulie 2021-2022.
În acest caz, putem accesa următorul link oficial Microsoft pentru a descărca cele mai recente patch-uri de securitate:
MARI
Cum atacă în Windows:
Linux
În cazul Linux, toate dispozitivele Linux care rulează BlueZ sunt afectate de vulnerabilitatea scurgerilor de informații (CVE-2017-1000250). Toate dispozitivele Linux de la versiunea 3.3-rc1 (lansată în octombrie 2011) sunt afectate de vulnerabilitatea la executarea codului la distanță (CVE-2017-1000251).
Câteva exemple de dispozitive afectate sunt.
- Samsung Gear S3 (Smartwatch)
- Televizoare inteligente Samsung
- Samsung Family Hub (frigider inteligent)
Lista neagră a modulelor Bluetooth de bază:
printf "instalează% s / bin / true \ n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conDezactivați și opriți serviciul Bluetooth
systemctl dezactivați bluetooth.service mask systemctl bluetooth.service systemctl opriți bluetooth.serviceEliminați modulele Bluetooth:
rodo bnep rodo bluetooth rodo btusb
ios
Toate dispozitivele iPhone, iPad și iPod touch cu iOS 9.3.5 sau versiuni anterioare și dispozitivele AppleTV cu versiunea 7.2.2 sau versiuni ulterioare vor fi afectate de vulnerabilitatea de execuție a codului la distanță. Această vulnerabilitate a fost deja atenuată de Apple în iOS 10, deci nu este nevoie de un nou patch pentru a-l atenua și, în cazul în care nu se poate aplica patch-ul, va fi necesar să dezactivați Bluetooth și să minimizați utilizarea acestuia până când va putea confirma că un nou patch-ul a fost emis și instalat. patch pe dispozitivul dvs.
În următorul videoclip vă explicăm cum funcționează BlueBorne:
Vectorul de atac BlueBorne are mai multe etape care sunt:
- În primul rând, atacatorul localizează conexiuni Bluetooth active în jurul mediului său. Dispozitivele pot fi identificate chiar dacă nu sunt setate în modul „descoperibil”
- În al doilea rând, atacatorul obține adresa MAC a dispozitivului, care este un identificator unic pentru acel dispozitiv specific. Prin testarea dispozitivului, atacatorul poate determina ce sistem de operare utilizează utilizatorul și își poate ajusta exploatarea în consecință.
- În al treilea rând, atacatorul poate exploata o vulnerabilitate în implementarea protocolului Bluetooth pe platforma relevantă și poate obține accesul de care are nevoie pentru a acționa asupra țintei sale dăunătoare.
- În cele din urmă, atacatorul poate alege ce tip de atac să aplice, fie el Man-in-the-Middle și poate controla comunicarea dispozitivului, sau poate prelua controlul deplin asupra dispozitivului și îl poate folosi pentru o gamă largă de scopuri cibercriminale.
Putem vedea cum apar noi amenințări care ne pun în pericol confidențialitatea și, prin urmare, importanța luării măsurilor necesare pentru protejarea și actualizarea dispozitivelor noastre.