Modulo3 Unidad1 Wireless 2021

Experto Universitario en
dispositivos móviles e
inalámbricos
Módulo 3 – Fundamentos de seguridad en dispositivos móviles
(segunda parte)
Unidad 1:
Bluetooth: Definiciones, Tools, Métodos de prevención y ataques
Centro de e-Learning SCEU UTN - BA.

Medrano 951 2do piso (1179) // Tel. +54 11 4867 7589 / Fax +54 11 4032 0148
www.sceu.frba.utn.edu.ar/e-learning
Presentación:
En esta primera Unidad del Módulo 3 explicaremos todo sobre el servicio de Bluetooth.
Se tomarán en cuenta, en el desarrollo de cada ejercicio, la explicación con sus palabras

de los participantes, sus puntos de vista, así como también, en la parte práctica, la
disposición para mejoras, dado que habrá ejercicios donde se tendrá que usar la
resolución de fallos y mejoras.
Las entregas se harán a través del foro1, así como también, dada la importancia de los
aportes y la experiencia, las preguntas al respecto.
1
Por favor, no hacer preguntas por mail sobre esta unidad, directamente exponerlas en el foro.

Objetivos:
Al terminar la Unidad los participantes:
 Obtendrán conocimientos suficientes sobre el funcionamiento de este servicio.

 Incorporarán un conjunto de buenas prácticas, tanto para la seguridad como para
el uso y activación de Bluetooth.

Bloques temáticos:
1. Arquitectura y Diseño.
2. Conexiones.
3. Implementación.
4. Reconocimiento de herramientas de auditorías inalámbricas.

Arquitectura y Diseño

HISTORIA DE SU NACIMIENTO
En 1998 se crea el grupo de Interés Especial Bluetooth (Bluetooth Special Interest

Group. SIG), www.bluetooth.com, formado por la propia Ericsson, IBM, Intel, Nokia
y Toshiba. Lo que le dio un gran empuje comercial.
El termino bluetooth significa "diente azul" y procede del apodo que tenía el rey
Harald Blaatlund II, un legendario danés del siglo X.
Uno de los standard más conocidos pero poco entendido internamente y menos aún
sobre temas de auditoria y seguridad. No se pensó para usar interconexión entre
muchos ordenadores sino más bien para comunicar un ordenador y sus periféricos.
Un teléfono móvil con su auricular, PC con impresora, etc.
Fue desarrollado en 1994 por la empresa sueca Ericsson con el objetivo de

conseguir un sistema de comunicación de los teléfonos móviles con sus accesorios
(auriculares, ordenadores, etc.).

Algunos dispositivos que hoy en día disponen de Bluetooth.

Es una tecnología de muy bajo costo (consume 0,1 Watts) y sus características son:
 Opera en la banda no licenciada de 2.4Ghz de frecuencia

 Cuenta con cuatro canales, en donde hay tres canales sincrónicos de voz (con
64 Kbps por cada canal) y uno de datos asincrónicos.
 Tiene una velocidad de transmisión de canales asincrónicos de 723,2 Kbps
mientras que la del canal asincrónico es de 433,9 Kbps.
 La capacidad de transmisión varía según versiones del producto
(cuenta con 5 versiones)
Versión 1.1 : hasta 723.2 Kbps
Versión 1.2 : hasta 1 Mbps
Versión 2.0 (+EDR= Enhanced Data Rate): hasta un aprox. de 2.1 –
3 Mbps
Versión 3: Tasa de 24 MBPS
Versión 4: Tasa de 25 a 32 MBPS
Versión 5: Esta es la versión de Bluetooth más reciente que se encuentra
disponible desde 2017 pero todavía no está muy extendido su uso. Esta
versión está dirigida a la IoT para la que se ha desarrollado una doble tasa de
transferencia de datos y un alcance muy superior a la versión 4.2. Y la
capacidad de admitir flujos de datos de varios dispositivos al mismo tiempo.
 Y según la clase tienen un rango aproximado de 2 a 100 metros

Clase 1 (100Mts)

Clase 2 (20 Mts)
Clase 3 (1Mts)
Clase 4 (0,5 Mts)
Chequeen entre sus dispositivos que dispongan de Bluetooth, si pertenecen a

algunas de estas clases y/o versiones.
Compartan en el foro.

CONOZCAMOS EL PROTOCOLO BLUETOOTH STACK
Radio Layer
Es la capa más baja, define las características de la transmisión, donde cada
dispositivo está clasificado en tres clases diferentes
Baseband Layer
Es la capa física, provee corrección de errores y características de seguridad, a
través de la encripción de datos, también administra los saltos de frecuencia y
los datos contenidos en el header del paquete
Link Manager Protocol (LMP)

Es el contenedor de aproximadamente 20 PDU Protocol Data Units, estas
unidades son enviadas desde un dispositivo al otro, algunas de las más
utilizadas son:
• Power Control
• Autenticación
• Calidad de Servicio (QOS)
Host Controller Interface

Envía comandos a las dos capas inferiores, permitiendo una vía para la
utilización de las bondades de Bluetooth

The Logical Link Control and Adaptation Protocol (L2CAP)
Controla el link entre dos dispositivos, y además es la encargada de proveer
los servicios a los mismos
Cable Replacement Protocol (RFCOMM)

Es el protocolo de transporte, envía la señal montada sobre L2CAP
Service Discovery Protocol (SDP)

Busca otros dispositivos Bluetooth disponibles y tiene la provee la capacidad
de establecer una conexión con los mismos, se comunica directamente con la
capa de L2CAP
A TENER EN CUENTA
Como opera en 2.4Ghz, debió enfrentarse al temor elemental de cualquier

comunicación inalámbrica, la interferencia, y con el fin de superarla se
implementaron las siguientes características:
Frequency Hoping: Patrón de saltos predefinido

 Saltos de 1Mhz sobre 79 frecuencias diferentes entre 2.402 GHz y 2.480 GHz
 Saltos entre frecuencias más rápidos que en otras tecnologías inalámbricas

(1600 Saltos por segundo)

Entre los beneficios de sus funciones podemos añadir:
 Intercambio de archivos entre dispositivos (OBEX)

 Conexión con periféricos sin necesidad de cables
 Función manos libres para conversaciones telefónicas
 Sistemas de navegación GPS
 Marketing de proximidad (PUBLICIDAD)

Conexiones

La topología de una red Bluetooth, que comparten un mismo canal se llama
PICONET, donde acepta hasta 8 dispositivos (hasta 200 en modo pasivo) de
los cuales 7 serán Slaves (esclavos) y uno será el Master, que es el que
impondrá la frecuencia de saltos, a través de la sincronización del patrón y
reloj.
Dentro de una PICONET, tiene que haber un único maestro (el que inicia la
conexión y los demás serian esclavos)
La unión de varias PICONET se denomina SCATTERNET o red dispersa.

Los dispositivos Slaves pueden a su vez estar interconectados a diferentes
PICONET, formando una Scatternet, pero esta característica no se aplica al
dispositivo Master ya que el mismo solo puede estar en una Piconet.

EJERCICIO PRACTICO
Hay 3 escenarios (A,B y C) , la idea es señalen cuáles son los funcionales y cuáles no,
exponiendo quién es cada punto.
Compartan su trabajo en el foro.

Implementación

Hablemos de la implementación de Bluetooth y la seguridad.
Los dispositivos con Bluetooth tienen básicamente dos estados o modos posibles:
 Modo Descubrimiento
 Modo No Descubrimiento
ATENCION: si algún dispositivo se encuentra en modo No Descubrimiento,

igualmente puede ser mapeado siempre y cuando el atacante conozca la Mac
Address (BD_ADDR)
Los modelos de Seguridad se clasifican en tres modos primarios:
Modo 1: Sin seguridad (Modo Default)
Los mecanismos de autenticación y cifrado están deshabilitados
Modo 2: Aplicación/ Nivel Servicio
Ocurre en la capa L2CAP, donde primero se establece un canal entre el nivel LM y el

de L2CAP y recién entonces se inicializan los parámetros de seguridad.
Como característica, el acceso a servicios y dispositivos es controlado por un Gestor

de Seguridad por lo cual variando las políticas de seguridad y los niveles de
confianza se pueden gestionar los accesos de aplicaciones con diferentes
requerimientos de seguridad que operen en paralelo.
Otra característica importante de este modo es que no hay ninguna codificación

adicional de PIN o claves.

Modo 3: Autenticación vía PIN/ Seguridad a nivel MAC/ Encripción
Ocurre a nivel de Link y todas las rutinas se corren internamente por lo que nada se
transmite en texto plano. A diferencia del Modo 2, los procedimientos de seguridad
se inician antes de establecer algún canal y el cifrado se basa en la autenticación PIN
y seguridad MAC. Básicamente, comparte una clave de enlace (clave de link) secreta
entre dos dispositivos. Para generar esta clave, se usa un procedimiento de “pairing”
cuando los dos dispositivos se comunican por primera vez
ENTONCES
 Dispone de Autenticación, Autorización y Cifrado de datos
Autenticación: mediante el PIN, asocia dispositivos, no usuarios!!(y no sería

necesario ponerlo nuevamente), una vez puesto el PIN, el dispositivo a hacer
pairing, estará autorizado.
Autorización: tres niveles de confianza
 TOTAL / PARCIAL O RESTRINGIDA / NULA

Cifrado de datos: Utiliza SAFER+ (128 bits) y 4LFSR para cifrar el enlace de
datos

¿Se animan a exponer, a partir de lo que encuentren en Internet, sobre estos
cifrados?
Compartan su exposición en el foro

Proceso de Pairing
Para comprender el proceso de Pairing o Emparejamiento, debemos aclarar que por

default, la comunicación Bluetooth no se valida, de manera tal que cualquier
dispositivo puede o podría hablar con cualquier otro.
Se autentifica con otro si requiere utilizar un determinado servicio (por ejemplo para
el servicio de marcación por modem).
Como ya mencionamos, la forma de autentificarse es mediante códigos PIN (cadena

ASCII de hasta 16 caracteres de longitud). Tanto el usuario del dispositivo cliente
como así también el proveedor del servicio, debe introducir el código PIN,
obviamente, en ambos dispositivos el código ingresado debe ser exactamente el
mismo. Al finalizar este proceso correctamente, ambos dispositivos generan una
clave de enlace la cual se puede almacenar en el propio dispositivo o en un
dispositivo de almacenamiento externo.
Dicha clave será utilizada la siguiente vez que se comuniquen ambos dispositivos sin
la necesidad de la intervención de los usuarios para que coloquen nuevamente sus
contraseñas. Si alguno de los dos dispositivos pierde la clave, se debe a realizar todo
el proceso nuevamente.
Solicitud de pairing
Envió de Petición de PIN
Envió de PIN
PAIRING OK

Las vulnerabilidades y técnicas más utilizadas son:
Errores de pila
 Buffer Overflows
 Fallos en la implementación de servicios como en el chequeo de la longitud de

datos o la integridad de paquetes en OBEX, o terminaciones NULL.
Servicios ocultos
• Servicios con los más altos privilegios se dejan abiertos pero escondidos
• Canales traseros para hacerle la vida más fácil a otros dispositivos
• Acceso completo al comando AT, y por lo tanto a todo el dispositivo
Una manera de descubrir un celular que se encuentra en modo oculto, es buscarlo

por intermedio de solicitar la BT Address, hasta que una responda, siendo normal
ese proceso, por naturaleza del protocolo
Robo de información
De acuerdo a estas estadísticas podremos ver él por qué:

85% utiliza estos dispositivos para almacenar el día a día del negocio.
85% Las utiliza para almacenar contactos y direcciones relacionadas con el negocio.
33% Las utiliza para almacenar PINs y Passwords.
32% Para recibir y enviar correo.
25% Para llevar el detalle de sus cuentas bancarias.
25% Para almacenar información corporativa-
FUENTE: Pointsec

Reconocimiento de
herramientas de auditorías
inalámbricas

Como con todos los servicios y/o protocolos, también disponemos de software que
nos puede ayudar en el monitoreo y/o auditoría sobre bluetooth.
Algunos comandos para probar en Kali o Wifislax:
 hciconfig = Para ver interfaces/dispositivo
 hciconfig hci0 up = levantamos interface
 hciconfig –a = nos muestra un detalle dispositivo
 hcitool inq = envía paquetes “inquiry” para la detección de equipos cercanos,

resolución de nombres, identificación de clases.

Con el comando HCITOOL INQ, nos muestra el “class” del dispositivo en
hexadecimal.
 Primero tendríamos que pasar el hexadecimal a binario
 Tomar los valores desde el bit 23 al bit 13
 Mediante la tabla de CLASS OF DEVICE/SERVICE de los dispositivos, podemos

ver los servicios que soporta.
Por ejemplo Class 0x320114
Bits 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0
Valor 0 0 1 1 0 0 1 0 0 0 0 0 0 0 0 1 0 0 0 1 0 1 0 0
 Tiene activado servicio 21, 20 y 17

EJERCICIO PARA EL FORO: QUE SERVICIOS SE PUEDEN DEDUCIR QUE HAY?

Con SDPTOOL, podemos buscar servicios específicos.
Si utilizamos SDPTOOL browse xx:xx:xx:xx:xx:xx , nos enumera los servicios de esa

MAC.
Con L2PING, podemos pingear la MAC, para saber si nos emparejamos
TOOLS:BLUE AUDITOR.

De regalo: donde se podrían guardar las claves de emparejamiento?


Modulo3 Unidad1 Wireless 2021

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo3 Unidad1 Wireless 2021

Cargado por

Copyright:

Formatos disponibles

Experto Universitario en

Centro de e-Learning SCEU UTN - BA.

Se tomarán en cuenta, en el desarrollo de cada ejercicio, la explicación con sus palabras

Centro de e-Learning SCEU UTN - BA.

 Obtendrán conocimientos suficientes sobre el funcionamiento de este servicio.

Centro de e-Learning SCEU UTN - BA.

4. Reconocimiento de herramientas de auditorías inalámbricas.

Centro de e-Learning SCEU UTN - BA.

Centro de e-Learning SCEU UTN - BA.

En 1998 se crea el grupo de Interés Especial Bluetooth (Bluetooth Special Interest

Fue desarrollado en 1994 por la empresa sueca Ericsson con el objetivo de

Centro de e-Learning SCEU UTN - BA.

Centro de e-Learning SCEU UTN - BA.

 Opera en la banda no licenciada de 2.4Ghz de frecuencia

 Y según la clase tienen un rango aproximado de 2 a 100 metros

Centro de e-Learning SCEU UTN - BA.

Chequeen entre sus dispositivos que dispongan de Bluetooth, si pertenecen a

Centro de e-Learning SCEU UTN - BA.

Link Manager Protocol (LMP)

Host Controller Interface

Centro de e-Learning SCEU UTN - BA.

Cable Replacement Protocol (RFCOMM)

Service Discovery Protocol (SDP)

Como opera en 2.4Ghz, debió enfrentarse al temor elemental de cualquier

Frequency Hoping: Patrón de saltos predefinido

 Saltos entre frecuencias más rápidos que en otras tecnologías inalámbricas

Centro de e-Learning SCEU UTN - BA.

 Intercambio de archivos entre dispositivos (OBEX)

Centro de e-Learning SCEU UTN - BA.

Centro de e-Learning SCEU UTN - BA.

La unión de varias PICONET se denomina SCATTERNET o red dispersa.

Centro de e-Learning SCEU UTN - BA.

Centro de e-Learning SCEU UTN - BA.

Compartan su trabajo en el foro.

Centro de e-Learning SCEU UTN - BA.

Centro de e-Learning SCEU UTN - BA.

ATENCION: si algún dispositivo se encuentra en modo No Descubrimiento,

Los modelos de Seguridad se clasifican en tres modos primarios:

Modo 1: Sin seguridad (Modo Default)

Los mecanismos de autenticación y cifrado están deshabilitados

Modo 2: Aplicación/ Nivel Servicio

Ocurre en la capa L2CAP, donde primero se establece un canal entre el nivel LM y el

Como característica, el acceso a servicios y dispositivos es controlado por un Gestor

Otra característica importante de este modo es que no hay ninguna codificación

Centro de e-Learning SCEU UTN - BA.

 Dispone de Autenticación, Autorización y Cifrado de datos

Autenticación: mediante el PIN, asocia dispositivos, no usuarios!!(y no sería

Autorización: tres niveles de confianza

 TOTAL / PARCIAL O RESTRINGIDA / NULA

Centro de e-Learning SCEU UTN - BA.

Centro de e-Learning SCEU UTN - BA.

Compartan su exposición en el foro

Centro de e-Learning SCEU UTN - BA.

Para comprender el proceso de Pairing o Emparejamiento, debemos aclarar que por

Como ya mencionamos, la forma de autentificarse es mediante códigos PIN (cadena

Envió de Petición de PIN

Centro de e-Learning SCEU UTN - BA.

 Fallos en la implementación de servicios como en el chequeo de la longitud de

Una manera de descubrir un celular que se encuentra en modo oculto, es buscarlo

De acuerdo a estas estadísticas podremos ver él por qué:

33% Las utiliza para almacenar PINs y Passwords.

32% Para recibir y enviar correo.

25% Para llevar el detalle de sus cuentas bancarias.