Potenciální bezpečnostní rizika, která s sebou přináší široké nasazení technologie Bluetooth, nutí některé IT manažery držet na uzdě její využívání.
Mezery v zabezpečení technologie Bluetooth vyšly najevo počátkem letošního roku, kdy výzkumní pracovníci ve Velké Británii vyvinuli nástroj, který je schopen využít chyb některých telefonů k připojení k dalším zařízením, aniž by bylo nutné podstoupit běžný proces párování. Po vytvoření spojení je tento nástroj schopen stahovat data, jako jsou například adresáře a osobní kalendáře.
Reakce z podnikové sféry na sebe nenechala dlouho čekat. Například Michael Ciarochi, který pracuje jako manažer pro síťovou bezpečnosti v americké společnosti HomeBanc, říká, že v poslední dodávce laptopů, kterou jeho společnost obdržela, byly Bluetooth adaptéry ve výchozím nastavení zapnuty. On se je rozhodl vypnout ještě dříve, než se přístroje začaly používat.
Podle vlastních slov se obává možnosti otevření zadních vrátek k datům uložených na počítačích prostřednictvím tohoto bezdrátového připojení. Bluetooth přitom srovnává s Wi-Fi -- a obě tyto technologie musejí být podle jeho slov zabezpečeny stejně kvalitně. V prvním případě již přijal příslušná opatření.
Emmetta Hawkinse, CTO společnosti Leapfrog Services, trápí podobné starosti. Má takové obavy z bezpečnostních rizik technologie Bluetooth, že plánuje využití nástroje Bluewatch od firmy AirDefense, jenž slouží ke skenování všech zařízení na síti i mobilních telefonů zaměstnanců a odhaluje přítomnost bezdrátových technologií. Po prvním průzkumu se Hawkins rozhodne, u kterých zařízení bude povoleno využívání Bluetoothu a přístup k síti.
Techniky útoku
Sdružení Bluetooth Special Interest Group (SIG) ve svém prohlášení k uvedeným problémům říká, že uživatelé Bluetoothu „musejí pochopit skutečnou situaci a vědět, jak se chránit“. „Pro zranitelné telefony jsou k dispozici bezpečnostní záplaty,“ říká mluvčí Bluetooth SIG. Dodává, že jeho sdružení také plánuje podrobně popsat kroky, které podniká k větší bezpečnosti Bluetoothu.
Nejvýznamnější metody útoků na zařízení s podporou technologie Bluetooth jsou označovány jako bluesnarfing a bluejacking. První z nich dovoluje ze zařízení s podporou Bluetoothu získat data, druhá na něj dovoluje zasílat nevyžádané zprávy.
Podle mluvčího Bluetooth SIG je vůči útokům typu bluesnarfing zranitelných jen poměrně málo mobilních telefonů firem Nokia a Sony Ericsson. A navzdory obavám je podle něj Bluetooth díky krátkému dosahu většiny zařízení a 128bitovému šifrování bezpečnější než kterákoliv jiná bezdrátová technologie.
Techniky útoku prostřednictvím Bluetoothu
„Obavy budou pravděpodobně narůstat spolu s tím, jak roste počet zařízení využívajících této technologie,“ domnívá se Chris Kozup, analytik Meta Group. Kozup říká, že mobilní telefony vybavené technologií Bluetooth mohou představovat zvláště otravný problém pro IT manažery, jelikož patří jednotlivým zaměstnancům, a proto se spravují obtížněji než firemní majetek, jako jsou laptopy.
Potřebné kroky
Karl Feilder, prezident a CEO anglické firmy Red-M, jež dodává nástroje pro zabezpečení bezdrátových technologií, nepovažuje bluejacking za závažný problém. Podle jeho slov jde o „nepříjemnost“, jíž se lze zbavit vypnutím příslušných funkcí na telefonu, které musejí být k výměně takovýchto zpráv povoleny.
Podle Feildera si ale jen málo IT manažerů uvědomuje, jak široce je dnes rozšířeno využívání Bluetoothu. Celosvětově dodávky mobilních telefonů a dalších zařízení využívajících této technologie vloni podle Bluetooth SIG přesahovaly milion kusů týdně. Feilder sám odhaduje, že příští rok by mohly být používány zhruba 2 miliardy zařízení, disponující podporou Bluetoothu.
Mnohé produkty s Bluetoothem mají krátký dosah -- jsou schopny přenášet data jen na vzdálenost cca 10 metrů. Ale Jay Chaudhary, předseda správní rady firmy AirDefense, upozorňuje, že velký počet notebooků je vybaven výkonnějšími adaptéry Bluetooth, které fungují až na vzdálenost 100 metrů. Tato zařízení by proto mohla být zranitelnější.
Autor: Bob Brewin, redaktor Computerworldu
Zveřejněno se souhlasem týdeníku Computerworld.
