Max Knyazev is typing…
Max Knyazev is typing…
Читать в Telegram

Как BLE выжил: эволюция безопасности Bluetooth

Max Knyazev is typing…

Меня зовут Максим Князев. На канале я пишу об Интернете вещей, информационной безопасности и технологиях так, чтобы было понятно и полезно. Разбираю Edge AI, стандарты, уязвимости и инструменты безопасной разработки, делюсь практическим опытом и вдохновляющими кейсами.

Открыть в TelegramДругие публикации
blebluetoothiot

Иногда мне кажется, что BLE – это как старый друг, который сначала всегда делает все криво, но потом резко исправляется и удивляет тем, как он вообще еще жив. Потому что, если почитать хронику всех уязвимостей Bluetooth за последние 10 лет, возникает закономерный вопрос: а как он вообще дожил до наших дней? Но давайте обо всем по порядку 🧐

Недавно я наткнулся на отличную статью «От BlueBorne до LE Secure: как Bluetooth выжил после самых громких дыр». Там собрали всю боль разработчиков и исследователей. Прикол то в том, что в какой-то момент BT/BLE напоминал не протокол, а сплошной CTF 😉

Но все же BLE – это не «голый» Bluetooth, а огромная экосистема в PIoT, умных замках и прочих штуках, которые делают нашу жизнь чуть удобнее… и иногда чуть менее безопасной 😏

Если коротко, то BLE долгое время был безнадежно дырявым. Классический PIN? Привет снифферу. "Just Works"? Отлично подходит для MITM. Устройства доверяют слишком многому, производители слишком редко обновляют прошивки, а пользователи вообще не подозревают, что их фитнес-браслет может быть троянским конем в корпоративной сети (теневые IoT, все дела) 🤌

Но есть и хорошие новости. Новый BLE 5.4 действительно умеет многое. Шифрует пакеты, не дает понизить уровень безопасности и добавляет контроль над минимальной длиной ключей. Появляются аппаратные реализации защиты на чипах вроде nRF52, и это все реально двигает индустрию вперед 👍

Хотя, конечно, если твой термометр из 2016-го не умеет обновляться по воздуху, никакие новые стандарты его не спасут. Тут снова упираемся в главную аксиому безопасности IoT - без регулярных обновлений даже самый красивый стандарт не спасет от беды 💀

Bluetooth, как бы мы над ним ни посмеивались, остается основной связью для большинства умных устройств. Но его безопасность — это не только про криптографию, а про все сразу: от железа до прошивки, от UX до политик обновлений. И пока что, как бы странно это не звучало, он держится. Иногда даже увереннее, чем Wi-Fi 🙂

А как вы думаете, можно ли сегодня доверять BLE в серьезных проектах? (представим, что выбор у вас есть) 🧐

#информационная_безопасность
#интернет_вещей

Стилизованный логотип Bluetooth на фоне цифрового узора с иконками замка, черепа, жука и троянского коня — символы угроз и аспектов безопасности в контексте BLE и IoT.
Иллюстрация: символы уязвимостей и защиты Bluetooth.

Дискуссия

Katheryn Sokolova
кмк, настало время, что безоговорочно доверять ничему нельзя. надо все изучить, взвесить все за и против и попробовать представить - а кому-то мы вообще нужны, чтобы прилагать такие усилия по взлому этой уязвимости?
M
Katheryn Sokolova
кмк, настало время, что безоговорочно доверять ничему нельзя. надо все изучить, взвесить все за и против и попробовать представить - а кому-то мы вообще нужны, чтобы прилагать такие усилия по взлому этой уязвимости?
На самом деле достаточно опрометчиво думать, что ты никому не нужен, и поэтому взламывать тебя никто не будет. Зачастую люди не понимают, какая конкретно информация о них может быть компрометирующей. Выгода от взлома может быть разной. Это не всегда финансовые потери со стороны жертвы. К примеру, одного человека могут использовать как часть цепочки для того, чтобы подобраться к кому-то более важному через его окружение. Или вас просто могут использовать в своих интересах любым другим способом. Вспомните моменты, когда пенсионеров или подростков подталкивали на преступления (молотов кинуть в военкомат, петарды положить в банкомат и тд). Они же не за деньги это делали, а потому что их чем-то шантажировали и по сути принудили пойти на преступление. Взлом может не являться самоцелью. Чаще он служит инструментом
Katheryn Sokolova
согласна. но, в конечном счете, сломать можно практически все - вопрос трудозатрат. не использовать ничего - тоже не вариант. поэтому баланс и здравый смысл - наше все.
M
Katheryn Sokolova
согласна. но, в конечном счете, сломать можно практически все - вопрос трудозатрат. не использовать ничего - тоже не вариант. поэтому баланс и здравый смысл - наше все.
Абсолютно согласен с вами. Не существует невзламываемых систем. Нужно просто постараться сделать так, чтобы силы, затраченные на атаку, не соответствовали получаемой выгоде от взлома. Как раз то, о чем вы сказали
Присоединиться к обсуждению →

Читайте так же