mboost-dp1
unknown
hmm tja godt minn mobilos ikke har bluetooth. Men det er da rart at det er opdaget så vi kan få gjort noget ved det.
Tja... Bluetooth har en begrænset rækkevidde plus at praktisk ingen mobiltelefoner har altid bluetooth tændt, det ville da være monster upraktisk da det sluger batteri. Personligt har jeg nu heller aldrig antaget Bluetooth for at være sikker.
Som FreeBSD udvikleren Poul-Henning Kamp sagde det under et foredrag om FreeBSD 5.x "Og så har vi fået understøttelse af Bluetooth... Til dem der vil have selvkonfigurerende sikkerhedshuller." Eller noget i den stil.
Trådløst kommunikation er generelt mere praktisk end det er sikkert... ;)
Trådløst kommunikation er generelt mere praktisk end det er sikkert... ;)
#2, jeg har sq bluetooth tændt altid :) Nok mest fordi jeg styrer min computer med det (Skifter musik og hvad der ellers lige er brug for når man ikke gider at rejse sig), og om jeg så skal tanke strøm hver anden dag :) Det rør' sq ikke mig så meget.
Men det er da en træls ting at den kryptering er brudt :( Men med bluetooth's rækkevidde er vi nok ikke dødsdømt :)
Men det er da en træls ting at den kryptering er brudt :( Men med bluetooth's rækkevidde er vi nok ikke dødsdømt :)
Så finder man sind bluetootsh sniper frem, og skyder nogle bluetooth enheder fra toppen af et højhus. Telefoner, headsets, Tastature.
Altså skal vi nu være opmærksom på om der er en cracker i nærheden. I kan kende dem på at de bærer rundt på en bærbar, har høretelefoner og en antenne han pejler rundt med. Peger han i din retning med antennen så slå bluetooth fra.
De burde altså ikke være svære at få øje på, de skal vel være indenfor en radius af 20m ?
De burde altså ikke være svære at få øje på, de skal vel være indenfor en radius af 20m ?
Man må da sig at det er godt at nogle tager sig tid til at cracke sådan nogle ting, netop med det formål at påvise at der er et sikkerhedshul.
Det er da kun en hjælp til os andre, i og med at de så få udvilket en stærkere angoritme til brug i BT enheder.
#6 iflg. BluetoothSniperen så kan han godt stå længere væk en 20 meter, men som #5 siger, hvis der ligger sådan en på et højhus nær dig, så tag lige og råb noget grimt til ham, eller noget :)
Det er da kun en hjælp til os andre, i og med at de så få udvilket en stærkere angoritme til brug i BT enheder.
#6 iflg. BluetoothSniperen så kan han godt stå længere væk en 20 meter, men som #5 siger, hvis der ligger sådan en på et højhus nær dig, så tag lige og råb noget grimt til ham, eller noget :)
#5
Præcis. Jeg vil mene at der desværre er rimeligt store muligheder for misbrug, man skal bare lige bygge sådan en her så er man kørende - http://www.boingboing.net/2005/03/13/howto_build_a...
Præcis. Jeg vil mene at der desværre er rimeligt store muligheder for misbrug, man skal bare lige bygge sådan en her så er man kørende - http://www.boingboing.net/2005/03/13/howto_build_a...
hvorfor offentliggør de den slags? - det er da en åben invitation til at nogen skal lave en virus der spreder sig via bluetooth til alle i nærheden?
Det er da direkte dumt at offentliggøre den slags, når man trods alt ikke bare sådan lige kan lukke hullet på de millioner af bluetooth enheder i verden...
-Det var noget andet hvis det var et stykke software på en computer, der kunne fixes via en update, men det er jo langt fra tilfældet...
Det er da direkte dumt at offentliggøre den slags, når man trods alt ikke bare sådan lige kan lukke hullet på de millioner af bluetooth enheder i verden...
-Det var noget andet hvis det var et stykke software på en computer, der kunne fixes via en update, men det er jo langt fra tilfældet...
#10 Englen
Det er netop vigtigt at sådan noget bliver offentliggjort!.
Så folk er informeret om det, og ikke har det aktiveret uden omtanke. Fordi den brede befolkning ikke bliver informeret, så vil crackerne jo stadig have hørt om det. Og derfor har brugerne KRAV på at blive informeret om riscici!.
Det er netop vigtigt at sådan noget bliver offentliggjort!.
Så folk er informeret om det, og ikke har det aktiveret uden omtanke. Fordi den brede befolkning ikke bliver informeret, så vil crackerne jo stadig have hørt om det. Og derfor har brugerne KRAV på at blive informeret om riscici!.
Jeg har aldrig rigtig stolet på det er bluetooth. På et tidspunkt overvejede jeg at købe mig en trådløs mus. Men trådløs kommunikation uden kryptering og MAC udgør en for stor risiko, så jeg begyndte at undersøge markedet. Det lykkedes mig kun at finde en eneste producent, som havde et produkt med kryptering. Det produkt var baseret på bluetooth.
Jeg bad så om noget dokumentation af protokollen og nøgleudvekslingen, så jeg kunne vurdere om produktet var sikkert nok, til at jeg ville anvende det. Den dokumentation nægtede de at udlevere. Dermed stod jeg med valget mellem at blive ved med at bruge mus med ledning, eller at bruge et produkt helt uden dokumentation for sikkerheden.
Det kommer ikke som nogen overraskelse, at krypteringen nu er blevet brudt. At man prøver at holde protokollen hemmelig er som regel et tegn på, at man ved den ikke er sikker nok.
Jeg bad så om noget dokumentation af protokollen og nøgleudvekslingen, så jeg kunne vurdere om produktet var sikkert nok, til at jeg ville anvende det. Den dokumentation nægtede de at udlevere. Dermed stod jeg med valget mellem at blive ved med at bruge mus med ledning, eller at bruge et produkt helt uden dokumentation for sikkerheden.
Det kommer ikke som nogen overraskelse, at krypteringen nu er blevet brudt. At man prøver at holde protokollen hemmelig er som regel et tegn på, at man ved den ikke er sikker nok.
#12 Uhm - der er også en kæmpe sikkerhedsrisiko ved at bruge en bluetooth mus...puhada!! :)
Og forresten #2 - det sluger kun strøm når der er en aktiv forbindelse. Jeg havde altid bluetooth slået til på min crappy (og næsten helt nye) T630 (som jeg iøvrigt har til salg for 650,-)..og den æder slet ikke strøm når der ikke er en forbindelse..eksempelvis med FMA (Floats Mobile Agent - et fremragende fjernstyringsværktøj) sluger den strøm fordi den holder forbindelsen aktiv hele tiden.
Nogen der har set proof of concept-kode til det omtalte hul?
Og forresten #2 - det sluger kun strøm når der er en aktiv forbindelse. Jeg havde altid bluetooth slået til på min crappy (og næsten helt nye) T630 (som jeg iøvrigt har til salg for 650,-)..og den æder slet ikke strøm når der ikke er en forbindelse..eksempelvis med FMA (Floats Mobile Agent - et fremragende fjernstyringsværktøj) sluger den strøm fordi den holder forbindelsen aktiv hele tiden.
Nogen der har set proof of concept-kode til det omtalte hul?
Fejlen med BlueTooth har intet med teknologien at gøre..Fejlen ligger i at man bruger teknologien til andet end lige at binde mus og keyboard til en PC eller lign. Der skulle ALDRIG have været lavet telefoner med den bluetooth. Men altså, BlueTooth dør alligevel snart på telefonerne. ZigBee og/eller Wifi overtager (så HUSK, har man en smartphone af den ene eller anden art, har man fa¤%#¤ også bare at installere antivirus og måske firewall!).
[url=#14]#14[/url] Whoever
Man har i mange år været i stand til at producere telefoner som på ingen måde kunne inficeres med virus. Nu skal de ikke læses til med nye features, hvis det går ud over den basale funktionalitet.
også bare at installere antivirus og måske firewallDen slags hører ikke til på en telefon (og heller ikke på en computer vil nogen mene). En telefon skal være designet så den ikke er sårbar overfor den slags, og det gælder på hvert eneste niveau lige fra hardwaren til applikationerne.
Man har i mange år været i stand til at producere telefoner som på ingen måde kunne inficeres med virus. Nu skal de ikke læses til med nye features, hvis det går ud over den basale funktionalitet.
#16 kasperd
Både og. Virus nej; men kvaliteten af mobiltelefoners software er ringe og har været det i mange år, så det er ikke noget nyt.
Nokia's ry er et kapitel for sig og Siemens lavede nogle modeller man kunne 'crashe' ved at sende nogle specielle SMS'er.
Man har i mange år været i stand til at producere telefoner som på ingen måde kunne inficeres med virus.
Både og. Virus nej; men kvaliteten af mobiltelefoners software er ringe og har været det i mange år, så det er ikke noget nyt.
Nokia's ry er et kapitel for sig og Siemens lavede nogle modeller man kunne 'crashe' ved at sende nogle specielle SMS'er.
#12, du kan altid hente den seneste Bluetooth specifikation på www.bluetooth.org - så du kan ikke sige at den bliver holdt hemmelig.
#14, Tror ikke at Bluetooth dør lige med det samme. Desuden, så vil hverken Zigbee eller WiFi tager over for Bluetooth forløbig, da de har vidt forskellige anvendelsesområder, så du kan ikke sammenligne disse teknologier.
#14, Tror ikke at Bluetooth dør lige med det samme. Desuden, så vil hverken Zigbee eller WiFi tager over for Bluetooth forløbig, da de har vidt forskellige anvendelsesområder, så du kan ikke sammenligne disse teknologier.
[url=#19]#19[/url] runningman
Her følger sikkerhedsmæssige relaterede udsnit af min korespondance med virksomheden:
du kan altid hente den seneste Bluetooth specifikation på www.bluetooth.org - så du kan ikke sige at den bliver holdt hemmelig.Producenten fortalte mig intet om den side. Tilgengæld fortalte de mig ganske klart, at de anvendte bluetooth, og at oplysninger om cipher og key exchange er proprietære og ikke til rådighed for offentligheden.
Her følger sikkerhedsmæssige relaterede udsnit af min korespondance med virksomheden:
I'm looking for a mouse, that use AES for encryption and MAC (or anything else at least as secure). I prefere one that exchange keys while placed in the recharger, such that keys are never exchanged through air.
However, we do have mouse that is Bluetooth enabled. This technology has a secure transmission between the mouse and the system.
I will need more information before I can trust the security.
Private authentication key, which is a 128-bit random number used for authentication purposes. Private encryption key, 8-128 bits in length that is used for encryption. And a random number (RAND), which is a frequently changing 128-bit random or pseudo-random number that is made by the Bluetooth device itself.
Which cipher is used? And how is the key exchange performed?
Unfortunately, the cipher and key exchange information requested by you in your email is proprietary in nature and therefore not publicly available.
That means it must be considered insecure, as anybody with an education in the field should know. Do you have any wireless products with a trustworthy security?
#20, Hele Bluetooth standarden, lige fra det fysike lag op til profilerne er en åben standard, som du kan hente på den nævnte side.
Om producenten så har lagt noget ekstra beskyttelse ind ovenpå igen ved jeg af gode grunde ikke, men hvis det er tilfældet, vil denne ekstra beskyttelse kun kunne bruges i producentens produkter, da HID profilen (som sikkert bliver brugt) sikrer at forskellige produkter fra forskellige producenter kan bruges sammen.
Om producenten så har lagt noget ekstra beskyttelse ind ovenpå igen ved jeg af gode grunde ikke, men hvis det er tilfældet, vil denne ekstra beskyttelse kun kunne bruges i producentens produkter, da HID profilen (som sikkert bliver brugt) sikrer at forskellige produkter fra forskellige producenter kan bruges sammen.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund