Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 35 reacties
Bron: New Scientist, submitter: T.T.

Ollie Whitehouse, onderzoeker van beveiligingsspecialist @Stake, heeft een tool ontwikkeld waarmee andere devices met Bluetooth in de directe omgeving geļdentificeerd kunnen worden. Als deze slecht beveiligd zijn kunnen er makkelijk gegevens gestolen worden. De software is juist ontwikkeld om de potentiele gevaren van het gebruik van Bluetooth aan te tonen. Veel mensen hebben niet in de gaten dat er Bluetooth geļnstalleerd is en hebben de beveiliging uitgeschakeld. Bluetooth heeft een bereik van 15 meter, een reikwijdte waar bijvooorbeeld je mede-treinpassagiers zich binnen bevinden. De beveiliging van Bluetooth zal de komende twee jaar steeds belangrijker worden zegt beveilingsexpert Bruce Potter:

Bluetooth"Bluetooth security will become a real issue in the next year or two," predicts Potter. "There are currently more Bluetooth radios in existence than 802.11 radios, but most corporate security departments don't know the first thing about Bluetooth security."

US research company Gartner estimates that around 161 million Bluetooth-enabled devices will be sold in 2003 alone.
Moderatie-faq Wijzig weergave

Reacties (35)

Ik weet eigenlijk niet of Bluetooth een soort beveiliging heeft, maar destijds in het begin had ik op de HCC met mijn t68i bij de ms stand allemaal berichtjes gestuurd naar die printers daar, en dat ging gewoon.
Die printers vroegen geen paswoord of iets.
Ik was niet de enige en ik heb een aantal best gefrustreerde ms medewerkers gezien daar.
Dus dat het kwetsbaar is leek mij al wel bewezen?
Nee absoluut niet bewezen.
Je heb bewezen dat de medewerkers van de MS stand op de HHC niets weten van de techniek die BlueTooth heet. Je kan je printers zelfs enkelt secure lijntjes (kinda SSH tunneling...) laten accepteren. Dit betekent dat je wachtwoord niet als plain-text door de lucht 'vliegt' wat erg nasty is. Dat wachtwoord moet overeen komen met de instellingen op de printer :Y)
Heel fijn maar dan heb je altijd nog een private key nodig en die krijg je dan niet zo 1-2-3 op je mobiel, dat wordt dus overtypen en dat lijkt me klotewerk.

En daarna kan zo'n key ook niet 1-2-3 worden gewijzigd omdat alle printers dan weer moeten worden aangepast....
Kinda SSH != Public Key Infrastructure

Je heb een secure verbinding (encrypted) dit zou wel eens gewoon een DES achtig iets zijn dat geverifieerd wordt met een code (voor die sessie).

offtopic:
Je kan ook een DES encryptie doen met de public key die je heb geverifieerd.
PS: type jij altijd public en private key's over :?
nofi: wat je zegt slaat nergens op. De codes zijn meestal cijfer combinaties (afaik is de standaard max. 32 bytes, dus 32 alfanumerice karakters te gebruiken als password en dat kan je gewoon in je printertje instellen. Als ze dat niet gedaan hebben op die MS stand op de HCC dan vind ik het jammer dat ik mijn phone nog niet had. Ik had wel even mijn telefoonboekje willen printen.
Je maakt mij niet wijs dat je een verbinding kan maken die iemand anders niet kan afluisteren zonder private key of hoe het dan ook in de software is genoemd. Als beide systemen random een key verzinnen 'verstaan' ze elkaar niet en als ze die van tevoren 'afspreken' dan kan iemand hem afluisteren.
Hmmm heb zo mijn ethische twijfels over je post met de link ;)

AnyWay ... een collega die nu terug is naar de States intrigeerde de BlueTooth standaarden ook enorm. Hij had al een idee hoe je de 'vliegende' kon vangen/tracen om zo iig een aanknopingspunt te ontlokken aan de BlueTooth chip. Er waren al wat ideeen om aan de Mac adressen te komen ookal staat je chip niet opengesteld voor buitenstanders (een t68i staat alleen met BlueTooth aan vindbaar gesteld voor apparaten waar het mee ge'paired' is). Dus je moet het helemaal van zijn power afhalen wil je echt 'safe' zijn. Nokia's zijn erg gevoelig, want die staat altijd vindbaar of geheel uit (en anders ben ik een zooi wazige en openminded mensen tegen gekomen).
Met een linux laptopje en de BlueZ software kan je gemakkelijk je eigen C progseltje brouwen om in de trein te connecten met de phones van business people. Of van die leuke iPaq-jes :Y)

(Disclaiming: ik weet hoe het kan, nog nooit gedaan en heb de BlueZ drivers niet geinstalleerd op mijn laptop die op windows werkt en niet linux).
Nokia's zijn erg gevoelig, want die staat altijd vindbaar of geheel uit (en anders ben ik een zooi wazige en openminded mensen tegen gekomen
Mijn Nokia 7650 biedt de mogelijkheid om Bluetooth op invisible te zetten. Je bent blijkbaar inderdaad wat wazige mensen tegengekomen :) Daarentegen stond de Sony/Ericsson P800 van een collega van me gewoon open, kon hem zo wat foto's sturen. Maar ik weet niet of dat default is op die telefoon.
De t68i is standaard afgeschermd (standaard uit) en je bent alleen maar altijd (bij BlueTooth actief zijn) vindbaar voor de gepairde devices. Pas als je jezelf vindbaar steld ben je door anderen te vinden (voor max. 3 minuten).
Ik denk dat de P800 ook zoiets heeft. 'Lijkt' me vrij veilig. Maar hier zijn dus de BlueTooth exploits op te bedenken. Zoals mijn andere post lichtjes verteld.
Ik zat voor mijn werk in London vorige week en ik moest met de metro mee. Even een scan gedaan en ik vond 4 (!) bluetooth apparaten bij me in de buurt. Mensen hebben geen idee dat ze het aan hebben staan, ze willen alleen maar "een klein telefoontje" maar doen er verder niets mee. Totdat ze ergens een optie vinden om hun telefoon ook nog een naam te geven :) Eentje heette suzy en de andere charles :o
Wat een redenering:
Omdat jij 4 gebruikers vind, hebben ze geen idee dat ze het aan hebben staan.. :Z

Jezelf vindbaar maken via bluetooth, is gewoon een optie op je telefoon, en daar kun je verder niks mee.
Dat is erg kort door de bocht :P
Je 'even vindbaar maken' betekent dat je je 'device' opensteld voor verbindingen. Meestal moet je je alsnog als gebruiker je verifieren, maar het feit dat iemand je kan vinden stelt een kwaadwillende instaat iets te doen met het gevonden 'device'.
Nog even kort voor het idee, het artikel heeft het over mogelijke exploits met BlueTooth en dit is de eenvoudigste om te 'hacken' :D
Je moet je voorstellen dat een 'device' zich op een presenteerblaadje aanbied. ;)
Check eens op Schiphol plaza ... I rest My Case ... :Z

Bij de Burger K. heb ik er eens 5 gevonden. Dit was de eerste keer dat ik moest scrollen op mijn phone om alle devices op beeld te kunnen zien :D
Ik verwacht aan de andere kant van de douane meer devices te vinden. Volgende keer een laptopje meenemen, die USB dongle heeft beter bereik denk ik. :Y)
Al die zever over beveiliging, ik krijg steeds meer de indruk dat het opgeklopte paniekzaaierij is om ons weer eens te laten investeren in beveiliging. Ik kan bergrijpen dat sommige bedrijven liever niet hebben dat hun geheimen open en bloot liggen maar als de doorsnee thuisgebruiker (die geen vijanden heeft) hiervan wakker ligt is hij toch echt paranoļa.
Ben ik het helemaal mee eens. Zolang jij gewoon een online spelletje speelt, een beetje surft, een beetje MP3's download zoals bijna ieder ander, is een firewall ook compleet overbodig.
Een collega van mij heeft het virus ook te pakken. En dan werken sommige spelletjes niet omdat hij een firewall heeft geinstalleerd... Doe dat dan niet, denk ik dan. Je bent gewoon Jan Lul met de Pentium, geen Rabobank server, geen defensiecomputer, geen site die mensen willen defacen, je bent niets. Niets interessants, in elk geval.
Qua beveiliging is een virusscanner nuttig, de rest is nonsens.
Ik vind het toch wel fijn dat mijn computer niet gebruikt kan worden voor een DDS aanval, omdat ik een behoorlijk dichtgetimmerde firewall heb.
Sta je toch te kijken als blijkt dat er via jouw telefoon voor meer dan 2 uur naar een sexlijn is gebeld zonder dat jij het weet.

Fijn he, beveiliging |:(
Als je artikel een beetje leest dan zie je staan dat de Gebruiker Verantwoordelijk dient te zijn...

Je geeft een bankovervaller met een mes voor je niet ook je pistool.

Opvoeden dat is wat er moet gebeuren.

In vergelijking met een WIFI is bluetooth genoeg beveiligd. Zelfs met WEP aan is wifi binnen enkele uren kinderspel (mits traffic)

Terwijl menig bluetooth gebruiker de eerste keer de ballen snapt van wat hij moet doen om zijn pda middels bluetooth zijn gprs abonnement op zijn telefoon te gebruiken.

Voor Bluetooth vindt ik het kraken van traffic net zo'n frequentie Hopping Mysterie als GSM verkeer zelf...

Oke dat de zwakke schakel de gebruiker is ben ik met iedereen eens.

Groetjes Tom
Ik heb eens even gesearched en ik vond deze site:
http://www.swedetrack.com/images/bluet11.htm

HEt gaat over Frequentie Hopping. Ik dacht altijd dat de BlueTooth chips een soort random hopping schema onderhandelde en die dus live tijdens een connectie konden veranderen.
iaw ik denk dat het wel lastiger is om BlueTooth af te tappen dan GSM (1 (sub)frequentie of een aantal (sub)frequenties kiezen en verbinden) Maar zeker niet onmogelijk.
Misschien naar alle 'hop' frequenties luisteren met je apparatuur en uitvinden hoe de hopping plaats vind. Volgens mij komt er aan het einde van een random sequence namelijk een herhaling van dezelfde :D
Nah ... zal wel niet ... das te makkelijk
Iemand nog bright ideas?
Tja, dat heb je als je open media, zoals de ether gebruikt. Daarom heb ik het ook nooit zo op draadloze netwerken e.d.
ik heb met me se t610 voor de gein wat leuke nummers in me ooms nokia 7650 gezet zonder dat het ding vroeg van mot ie het accepten
Stel ik zit in de trein met mijn telefoon, dan moet er maar net iemand zijn met een BT laptop, die moet dan maar net kennis van zaken hebben, die moet dan maar net MIJ, of all people, willen naaien, klieren of wat dan ook. Wat een flauwekul.

Ik kan me voorstellen dat dit speelt in bedrijven, met spionage, agenda's etcetera, maar dan nog heeft het een hoog James Bond-gehalte. Oftewel, de particulier - net als de computerbeveiliging annex firewall-hype - hoeft zich nergens zorgen om te maken. Wie ben ik?
gussie.. was dit twee jaar geleden ook al niet op het tweakers?

ik bedoel, als mensen zo nodig bluetooth speeltjes willen hebben en niet even een paar dingen instellen dan is het toch hun eigen zorg dat het niet goed is.

de meeste fabrikanten hebben standaard al het veiligheids niveau aardig hoog staan.
ik heb twee jaar geleden wat gespeeld met bluetooth tijdens mijn stage, en ja bluetooth valt te hacken.. maar over het algemeen is het protocol best aardig.

zeker als je er nog eens een extra aplicatie laag overheen gooit waar extra encryptie in zit.
Dit heeft al een term gekregen: bluejacking.(zie http://esato.com/board/viewtopic.php?topic=15976&forum=16 ) Veel Nokia telefoons zoals de 7650 en de 6310 hebben bluetooth permanent op Aan staan. Daardoor kun je bv ongevraagd visitekaartjes naar hen sturen maar dan met een 'leuke' boodschap. Maar om echt gegevens te stelen moet je volgens mij wel een koppeling hebben en daarvoor heb je nog steeds een pincode nodig.
De 7650 heeft Bluetooth standaard *uit* staan. En biedt je ook nog eens de mogelijkheid om niet detecteerbaar te zijn voor andere devices.
(zie ook BamSlam_ hierboven)
...en voor de 6310 geldt hetzelfde. Standaard staat 'ie uit en je kunt 'm altijd 'niet laten vinden'. Laatste zelf pas geconstateerd met m'n BT PDA.
Ik heb bluetooth standaard uitgeschakeld staan, zowel op m'n telefoontje als op m'n laptop & desktop. Alleen als ik het nodig is enable ik het even tijdelijk.
Tot je een carkit in je auto in gaat bouwen. Dan laat je het wel de hele tijd aanstaan, werkt uitstekend.

Overigens heb ik gespeeld met (twee BT carkits) en een Siemens S55, en heb ik zelf een laptop met BT. Je kunt de meeste services niet gebruiken zonder het apparaat te "pairen", wat IMHO afdoende beveiliging biedt. Je kunt de telefoon ook onzichtbaar maken voor andere apparaten, zolang je ze niet gepaired hebt. Dan zit je redelijk safe.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True