أمان نظام البلوتوث

يُعتبر أمان “Bluetooth” مثل أي نظام لاسلكي آخر ذو أهمية كبيرة جداً، ومع قيام المتسللين من اختراق عدد كبير من الأنظمة تنمو أهمية أمان البلوتوث، كما زادت آخر إصدارات البلوتوث من مستويات الأمان لمكافحة تهديد المتسللين، حيث يتيح أي ارتباط لاسلكي فرصة للدخول إلى الشبكة، ولا يترتب الأمر فقط على زيادة مستوى الأمان على عناصر الأجهزة التي غالباً ما تحتوي على أمان داخلي، ولكن أيضاً مستوى الأمان المدمج في البلوتوث نفسها يتطور.

أساسيات أمان البلوتوث:

يُعتبر أمان البلوتوث ذا أهمية كبيرة، حيث أنّ الأجهزة معرضة لمجموعة متنوعة من الهجمات اللاسلكية والشبكات، بما في ذلك هجمات رفض الخدمة والتنصت وهجمات دخول طرف ثالث في الوسط وتعديل الرسائل واختلاس الموارد، حيث يجب أن يقوم أمان البلوتوث أيضاً على معالجة هجمات أكثر تحديداً متعلقة بالبلوتوث، والتي تستهدف نقاط الضعف المعروفة في تطبيقات ومواصفات “Bluetooth”، كما قد تكون هذه الهجمات ضد تطبيقات “Bluetooth” المؤمنة بشكل غير صحيح، والتي يمكن أن تتيح للمهاجمين وصولاً غير مصرح به.

قد لا يعلم العديد من المستخدمين أنّ هناك مشكلة في أمان “Bluetooth”، ولكن قد يستطيع المتسللون من الوصول إلى المعلومات من قوائم الهاتف إلى المعلومات الأكثر حساسية، والتي قد يحتفظ بها الآخرون على الهواتف والأجهزة الأخرى التي تدعم خدمة البلوتوث.

الوسائل الأساسية لتوفير أمان البلوتوث:

• المصادقة “Authentication”: هي العملية التي يتم التحقق من هوية الأجهزة المتصلة كما لا تعد مصادقة المستخدم جزءاً من عناصر أمان البلوتوث الرئيسية للمواصفات.

• السرية “Confidentiality”: هي العملية التي تمنع التنصت على المعلومات من خلال ضمان أنّ الأجهزة المصرح لها فقط هي التي يمكنها الوصول إلى البيانات وعرضها.

• التفويض “Authorization”: هي العملية التي تمنع الوصول من خلال التأكد من أنّ الجهاز مصرح له باستخدام الخدمة قبل تمكينه من القيام بذلك.

التدابير الأمنية التي توفرها مواصفات البلوتوث:

أولاً: وضع أمان “Bluetooth 1”:

هذا الوضع غير آمن، حيث يتم التخطي عن وظائف المصادقة والتشفير ويكون الجهاز عرضة للقرصنة، كما تعمل أجهزة البلوتوث في وضع أمان “Bluetooth 1″، بحيث لا تستعمل الأجهزة أساليب لمنع الأجهزة التي تدعم خدمة “Bluetooth” من إعداد الارتباط، على الرغم من سهولة إجراء الارتباط إلّا أنّ الأمان يمثل مشكلة، كما قد يكون قابلاً للتطبيق على الأجهزة قصيرة المدى التي تتفعل في منطقة قد لا توجد فيها أجهزة أخرى، حيث يتم دعم وضع الأمان 1 فقط حتى إصدار “Bluetooth 2.0 + EDR” وليس بعده.

• “EDR” هي اختصار لـ “Event Data/Detail Record”.

ثانياً: وضع أمان “Bluetooth 2”:

بالنسبة إلى وضع أمان البلوتوث هذا، يتابع مدير أمان مركزي في الوصول إلى خدمات وأجهزة محددة، كما يمتلك مدير أمان “Bluetooth” القدرة على الاحتفاظ في سياسات التحكم في الوصول والواجهات مع البروتوكولات الأخرى ومستخدمي الأجهزة، حيث من الممكن تطبيق مستويات ثقة وسياسات مختلفة لتحديد إمكانية الوصول للتطبيقات ذات متطلبات الأمان المختلفة وحتى عندما تعمل بالتوازي، كما من الممكن إعطاء إذن الوصول إلى بعض الخدمات دون توفير الوصول إلى خدمات أخرى، حيث يتم تقديم مفهوم التفويض في وضع أمان “Bluetooth 2”.

باستخدام هذا الوضع، يمكن معرفة ما إذا كان جهاز معيناً متاحاً له بالوصول إلى خدمة معينة، وعلى الرغم من أنّ أساليب المصادقة والتشفير قابلة للتطبيق على وضع أمان “Bluetooth 2″، إلّا أنّه يتم تنفيذها في طبقة “LMP” الموجودة أسفل طبقة “L2CAP”، كما يمكن لجميع أجهزة البلوتوث دعم وضع أمان “Bluetooth 2″، ومع ذلك يمكن لأجهزة “v2.1 + EDR” دعمها فقط للتوافق مع الإصدارات السابقة للأجهزة السابقة.

• “v” هي اختصار لـ “Version”.

• “LMP” هي اختصار لـ “Link Management Protocol”.

• “L2CAP” هي اختصار لـ “Logical link control and adaptation protocol”.

ثالثاً: وضع أمان “Bluetooth 3”:

في وضع أمان “Bluetooth 3″، يقوم جهاز البلوتوث في إجراءات الأمان قبل إعداد أي ارتباط مادي، وفي هذا الوضع يتم استعمال المصادقة والتشفير لجميع الاتصالات اللاسلكية من وإلى الجهاز، كما تُستعمل عمليات المصادقة والتشفير مفتاح اتصال سري منفصل تتساهم فيه الأجهزة المقترنة بمجرد إعداد الاقتران، كما أنّ وضع أمان “Bluetooth 3” مدعوم فقط في الأجهزة التي تتوافق مع “Bluetooth 2.0 + EDR” أو أقدم.

رابعاً: وضع أمان “Bluetooth 4”:

تم تقديم وضع أمان “Bluetooth 4” في “Bluetooth v2.1 + EDR”، وفي وضع أمان “Bluetooth 4″، تبدأ إجراءات الأمان بعد إعداد الارتباط، حيث يستعمل الاقتران البسيط الآمن ما يسمى بتقنيات منحنى إهليلجي ديفي هيلمان “ECDH” لتبادل المفاتيح وإعداد مفتاح الارتباط، كما إنّ خوارزميات مصادقة الجهاز وخوارزميات التشفير هي نفسها التي تم تحديدها في “Bluetooth v2.0 + EDR”.

• “ECDH” هي اختصار لـ “Elliptic Curve Diffie Hellman”.

متطلبات الأمان للخدمات المحمية بواسطة “Security Mode 4”:

• مطلوب مفتاح ارتباط مصدق.

• مطلوب مفتاح ارتباط غير مصدق.

• لا يتطلب الأمن.

تعتمد مصادقة مفتاح الارتباط على نموذج اقتران الاقتران البسيط الآمن المستخدم أم لا، كما يُعد وضع أمان “Bluetooth 4” إلزامياً للاتصال بين أجهزة الإصدار “2.1 + EDR”.

مشاكل أمان البلوتوث:

هناك عدد من الأساليب التي يمكن من خلالها اختراق أمان “Bluetooth”، وذلك غالباً بسبب قلة الأمان في المكان، حيث تُعد الأشكال الرئيسية لمشاكل أمان البلوتوث كالتالي:

أولاً: مشكلة “Bluejacking”:

غالباً ما لا يُعتبر “Bluejacking” مشكلة أمان سيئة كبيرة، على الرغم من أنّه قد تكون هناك مشكلات في ذلك خاصةً أنّه يمكّن شخصاً ما من الحصول على بياناته على هاتف شخص آخر، حيث تتضمن “Bluejacking” إرسال رسالة “vCard” عبر “Bluetooth” إلى مستخدمي البلوتوث الآخرين داخل المنطقة وعادة 10 أمتار، أمّا الهدف هو أنّ المستلم لن يدرك ماهية الرسالة ويسمح لها في سجل العناوين الخاص به، كما قد يتم فتح الرسائل بعد ذلك تلقائياً؛ لأنّها جاءت من جهة اتصال يُفترض أنّها معروفة.

ثانياً: مشكلة “Bluebugging”:

هذه مشكلة أصعب، حيث يتيح هذا النوع من مشكلة أمان البلوتوث للمتسللين بالاتصال عن بُعد إلى الهاتف واستعمال ميزاته، كما قد يشمل ذلك إجراء مكالمات وبعث رسائل نصية بينما لا يدرك المالك أنّ الهاتف قد تم الاستيلاء عليه.

ثالثاً: مشكلة “Car Whispering”:

يتضمن ذلك استخدام البرامج التي تسمح للقراصنة بإرسال واستقبال الصوت من وإلى نظام استريو للسيارة والذي يدعم خدمة البلوتوث.

رابعاً: الفيروسات والديدان:

من الشائع جداً هذه الأيام أن يقوم مستعملو الهواتف الذكية بتحميل التطبيقات التي تحتوي على برامج ضارة والفيروسات والديدان من الملفات الضارة دون علمهم، وفي بعض الأحيان ستخطئ ببساطة في كتابة عنوان “URL” وينتهي بك الأمر في موقع تصيد أو تنزيل تطبيق ويجلب معه برامج ضارة، كما يمكن لهذه الفيروسات أن تفتح البلوتوث الخاص بك وتهاجم البرامج المشتركة.

من أجل الحماية من هذه الثغرات وغيرها من أشكال الاختراق، تعمل الشركات المصنعة للأجهزة المزودة بخدمة “Bluetooth” على تحسين الأمان؛ لضمان عدم ظهور ثغرات أمان البلوتوث هذه مع منتجاتهم.

• “URL” هي اختصار لـ “Uniform Resource Locator”.