新聞中心

EEPW首頁(yè) > 手機(jī)與無(wú)線(xiàn)通信 > 設(shè)計(jì)應(yīng)用 > 小心為上 藍(lán)牙無(wú)線(xiàn)通訊技術(shù)安全防范措施

小心為上 藍(lán)牙無(wú)線(xiàn)通訊技術(shù)安全防范措施

作者: 時(shí)間:2011-04-13 來(lái)源:網(wǎng)絡(luò) 收藏

遺憾的是,同許多其它無(wú)線(xiàn)技術(shù)一樣,技術(shù)一直遭受各種安全威脅的困擾。這些安全威脅包括固有的局限性和實(shí)施的安全漏洞、軟弱的設(shè)置和最終用戶(hù)的危險(xiǎn)行為等。評(píng)估產(chǎn)品安全和采用適當(dāng)?shù)脑O(shè)置以及使用政策等措施有助于保護(hù)企業(yè)資產(chǎn)和數(shù)據(jù)避免遭受這些危險(xiǎn)。

最大限度保證安全

  藍(lán)牙技術(shù)規(guī)范包括基本的連接安全措施。在默認(rèn)狀態(tài)下,大多數(shù)藍(lán)牙設(shè)備都以沒(méi)有保護(hù)的“非安全”模式工作。藍(lán)牙技術(shù)規(guī)范還定義了兩種其它的模式:第三種模式保證整個(gè)無(wú)線(xiàn)連接的安全,第二種模式是保證每個(gè)授權(quán)的應(yīng)用程序的安全。要取得最佳的結(jié)果,使用第3模式強(qiáng)制實(shí)施連接身份識(shí)別和對(duì)所有的藍(lán)牙通訊進(jìn)行加密,不鼓勵(lì)或者禁止企業(yè)使用僅支持第一種模式的設(shè)備。

當(dāng)啟用連接安全時(shí),藍(lán)牙設(shè)備必須完成一個(gè)初步的“接合”交換,產(chǎn)生成對(duì)的連接身份識(shí)別和密鑰。用戶(hù)必須向這兩臺(tái)設(shè)備提供相同的PIN代碼,然后與廠(chǎng)商定義的單元密鑰混合在一起。但是,使用軟弱的或者可以預(yù)料的PIN編碼能夠破壞這個(gè)配對(duì)的過(guò)程。要減少風(fēng)險(xiǎn),設(shè)備應(yīng)該在隱秘的地方進(jìn)行配對(duì),使用長(zhǎng)的和隨機(jī)的PIN編碼。避免默認(rèn)的PIN編碼、很容易猜到的PIN編碼(如“0000”)以及避免使用不支持可設(shè)置的PIN編碼的設(shè)備。

  經(jīng)過(guò)“接合”之后,成對(duì)的藍(lán)牙設(shè)備無(wú)論什么時(shí)候要交換數(shù)據(jù)都可以相互關(guān)聯(lián)。在每一個(gè)連接建立起來(lái)之后,設(shè)備交換口令應(yīng)答信息以展示擁有在接合期間創(chuàng)建的連接密鑰。然而,這種身份識(shí)別交換對(duì)于猜密鑰是有價(jià)值的。在猜密鑰的過(guò)程中,一個(gè)設(shè)備反復(fù)進(jìn)行身份識(shí)別的嘗試。通過(guò)增加每一次嘗試的間隔時(shí)間能夠挫敗主動(dòng)的攻擊。但是,藍(lán)牙技術(shù)規(guī)范沒(méi)有強(qiáng)制規(guī)定嘗試的最大次數(shù)。單向身份識(shí)別也容易受到中間人攻擊。要減少這種風(fēng)險(xiǎn),你要一直要求相互連接的兩臺(tái)設(shè)備都要進(jìn)行身份識(shí)別。可能的話(huà),你要設(shè)置藍(lán)牙產(chǎn)品,讓用戶(hù)必須接受入網(wǎng)的連接請(qǐng)求。

  根據(jù)協(xié)商的加密模式,可以使用8位至128位密鑰加密在鏈路上傳輸?shù)臄?shù)據(jù)。要取得最佳效果,避免使用第一種加密模式(不加密),可以任意選擇第二種(加密單向廣播而不是廣播通訊)或者第三種加密模式(加密所有的通訊)。由于使用太短的密鑰加密的數(shù)據(jù)能夠經(jīng)過(guò)分析后破解捕獲的通訊,通訊的兩臺(tái)設(shè)備都應(yīng)該設(shè)置為使用128位密鑰。

最充分利用這些內(nèi)置的藍(lán)牙措施的進(jìn)一步的步驟包括:

  ·關(guān)閉不使用的藍(lán)牙接口和關(guān)閉藍(lán)牙的發(fā)現(xiàn)功能。這個(gè)功能讓每一臺(tái)設(shè)備宣布自己對(duì)附近所有的設(shè)備開(kāi)放。這些常見(jiàn)的做法減少了藍(lán)牙遭受攻擊的機(jī)會(huì)。

  ·設(shè)置藍(lán)牙設(shè)備使用最低功率滿(mǎn)足業(yè)務(wù)需求。三類(lèi)設(shè)備傳輸功率為1 mW,傳輸距離不超過(guò)10米。一類(lèi)設(shè)備傳輸功率為100 mW,傳輸距離為100米。調(diào)整功率不能消除外部人員的攻擊。但是,可以減少攻擊的可能性。

  ·因?yàn)檫B接密鑰被存儲(chǔ)在成對(duì)的藍(lán)牙設(shè)備中,口令保護(hù)這兩臺(tái)設(shè)備防止使用丟失/偷竊的設(shè)備。如果可能的話(huà),不要把配對(duì)PIN編碼永久存儲(chǔ)在藍(lán)牙設(shè)備中。

關(guān)注藍(lán)牙

  黑客創(chuàng)造了數(shù)不清的破解方式把藍(lán)牙當(dāng)作攻擊的目標(biāo),特別是對(duì)使用藍(lán)牙耳機(jī)的手機(jī)和掌上電腦實(shí)施攻擊。許多人利用編程漏洞和與OBEX協(xié)議相關(guān)的不良實(shí)施選擇進(jìn)行攻擊。例如:

  ·BlueBug讓攻擊者在另一部藍(lán)牙手機(jī)上打電話(huà)。

  ·BlueDump通過(guò)觀察藍(lán)牙設(shè)備配對(duì)破解PIN編碼。

  ·BlueJack讓攻擊者向藍(lán)牙設(shè)備的電話(huà)號(hào)碼簿增加聯(lián)系人。

  ·BlueSmack通過(guò)發(fā)送“ping-of-death”信息使藍(lán)牙設(shè)備崩潰。

  ·BlueSnarf讓攻擊者從藍(lán)牙設(shè)備中獲取聯(lián)系人和日歷數(shù)據(jù)。

  ·BlueStab使用格式化不好的名字在發(fā)現(xiàn)藍(lán)牙設(shè)備的時(shí)候使設(shè)備崩潰。

  要防御這種攻擊,你把良好的設(shè)置選擇與上面介紹的藍(lán)牙產(chǎn)品評(píng)估、補(bǔ)丁和安全審計(jì)等好的做法結(jié)合起來(lái)。

  審計(jì)你的設(shè)施內(nèi)部的空中電波,找到全部具有藍(lán)牙功能的設(shè)備。例如,拿一臺(tái)便攜式藍(lán)牙掃描器在大廳里走,這些掃描器包括AirDefense公司的BlueWatch、AirMagnet公司的BlueSweep、Berkeley Varitronics Systems公司的Mantis Bluetooth或者Network Chemistry公司的RFprotect BlueScanner。要記住,你需要在10米之內(nèi)檢測(cè)三類(lèi)設(shè)備。那些關(guān)閉了尋找功能的設(shè)備是很難發(fā)現(xiàn)的。替代的方法是,配置專(zhuān)職Wi-Fi入侵檢測(cè)或者入侵防御系統(tǒng)可能把藍(lán)牙解釋為一種沒(méi)有描述的Wi-Fi干擾源或者通過(guò)跟人藍(lán)牙設(shè)備的指紋檢測(cè)設(shè)備。

  使用包括硬件、模型、操作系統(tǒng)和版本在內(nèi)的藍(lán)牙接口對(duì)發(fā)現(xiàn)的全部設(shè)備制作一個(gè)清單。然后搜索藍(lán)牙安全漏洞和暴露數(shù)據(jù)庫(kù)(如Trifinite、WVE)以便確定這些設(shè)備是否存在已知的問(wèn)題。例如,諾基亞和索尼愛(ài)立信移動(dòng)通訊公司為容易受到Bluesnarfing和BlueBugging攻擊的藍(lán)牙手機(jī)發(fā)布了升級(jí)程序。使用可用的補(bǔ)丁修復(fù)這些漏洞并且淘汰沒(méi)有安全補(bǔ)丁的比較老的設(shè)備。

  最后,對(duì)影響你的業(yè)務(wù)的全部藍(lán)牙設(shè)備制定安全政策。這些政策通常包括雇員擁有的掌上設(shè)備。在這里,還需要進(jìn)行長(zhǎng)期的用戶(hù)教育以推動(dòng)用戶(hù)安全使用藍(lán)牙技術(shù)。一旦雇員知道了對(duì)個(gè)人和企業(yè)數(shù)據(jù)的潛在影響,他們就會(huì)更愿意自愿地遵守這些確定的政策。他們甚至?xí)g迎提供設(shè)置幫助,只要藍(lán)牙安全不阻止授權(quán)的使用。然而,在安全是非常重要的地方,應(yīng)該通過(guò)集中管理的設(shè)備管理系統(tǒng)強(qiáng)制實(shí)施遵守藍(lán)牙和其它安全措施的規(guī)定??傊?,連接安全是更大的環(huán)境的一部分。多層次的防御必須相互配合以保護(hù)藍(lán)牙設(shè)備及其數(shù)據(jù)。



評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉