Bluetooth Düşük Enerji Cihazlara Yönelik Tepki Zamanı Davranışı Temelli Ortadaki Adam Saldırısı Tespiti / Muhammed Ali Yurdagül ; thesis advisor Hüsrev Taha Sencar.

Tez (Yüksek Lisans Tezi)--TOBB ETÜ Fen Bilimleri Enstitüsü Ağustos 2021

Bluetooth Düşük Enerji (BLE) günümüzde akıllı ev cihazlarından sağlık uygulamalarına, elektronik cihazlardan otomasyon sistemlerine kadar gittikçe popülerleşen ve milyarlarca cihazda kullanılmaya başlanan bir kablosuz ağ protokolüdür. İlk olarak Bluetooth 4.0 ile tanıtılan ve Bluetooth Smart olarak da bilinen bu protokol, düşük enerji gereksinimi ve dolayısıyla cihazlarda daha uzun pil ömrü sağlaması sebebiyle birçok Nesnelerin İnterneti (IoT) uygulamasında iletişim protokolü olarak tercih edilmektedir. BLE standardı eşleştirme, şifreleme, mesaj bütünlüğünü koruma, kimlik doğrulama gibi çeşitli güvenlik mekanizmaları sağlamasına rağmen, bu protokolü kullanan cihazlar birçok donanım ve yazılım kısıtı sebebiyle siber tehditlere karşı savunmasız durumda kalabilmektedirler. Verilerin güvenliğinin önem kazandığı medikal sektör gibi çeşitli uygulamalarda da kullanılmaya başlanan bu protokolü birçok saldırı hedef almaktadır. Özellikle ortadaki adam saldırısı (MITM) iletişimde gönderilen verilerin gizliliğini tehdit etmesi sebebiyle büyük bir risk oluşturmaktadır. Bu saldırı türünde saldırgan, kurban cihazların özelliklerini kopyalayıp kendisini iletişim kuran gerçek cihazlar gibi göstererek başka cihazların kendisine bağlanmasını sağlamaktadır ve bu sayede kurban cihazlar arasındaki bütün iletişimi gözlemleyebilmektedir. Bu saldırı kullanılarak, BLE protokolü ile haberleşen iki cihazın iletişimini dinlemek, bu cihazların iletişim kurmasını engellemek ve hatta bu iletişimde gönderilen veriyi değiştirmek mümkün olabilmektedir. BLE protokolünü kullanan cihazlar, iletişim esnasında yazma ve okuma gibi çeşitli operasyonlar gerçekleştirmektedirler. Bu çalışmada cihazların okuma ve yazma operasyonları esnasındaki tepki verme davranışları bilgisi ile ortadaki adam saldırısı tespiti yapmayı sağlayan BLEKeeper isminde bir araç sunulmaktadır. Bu yöntem ile bir cihazın saldırı altında olmadığı sırada bu operasyonlar gerçekleştirilirken gösterdiği zamanlama bilgisi kaydedilmektedir. Bu bilgi kullanılarak cihazların tepki verme davranışları ortaya çıkarılmaktadır. Bu sayede aynı cihaza ait görünen ancak cihazın davranış modeline uymayan bir BLE trafiği ile karşılaşıldığında saldırı tespiti yapılabilmektedir. Birçok BLE cihaz üzerinde yapılan ölçümlerde bu davranışların oldukça düzenli olduğu ve bu sayede saldırı esnasında oluşan anomalilerin saldırgan tarafından gizlenemeyeceği gözlemlenmiştir. Elde edilen test sonuçları da oldukça basit bir öğrenme sistemine sahip BLEKeeper aracının BLE ortadaki adam saldırılarını %98 gibi yüksek bir oran ile tespit edebildiğini göstermektedir.

Bluetooth Low Energy (BLE) is a wireless network protocol that has become increasingly popular and used in billions of devices, from smart home devices to health applications, electronic devices to automation systems. Bluetooth Low Energy (also known as Bluetooth Smart) was first introduced with Bluetooth 4.0 and thanks to its key features like low cost, ease of implementation, fast connection, and low energy requirement, BLE is at the core of several emerging applications. Although, BLE standard provides various security mechanisms such as pairing, encryption, message integrity protection, and authentication, devices using this protocol may remain vulnerable to cyber threats due to many hardware and software constraints. BLE protocol, which has been used in various applications such as the medical sector where the security of data is important, targets many attacks. Among threats targeting BLE protocol, especially Man in the Middle Attack (MITM) poses a great risk as it threatens the privacy of the data sent in communication. In this type of attack, the attacker copies the characteristics of the victim devices and makes them look like real devices that communicate with them, and thus allows other devices to connect to them and thus can observe all the communication between the victim devices. Using this attack, it is possible to listen to the communication of two devices communicating with the BLE protocol, preventing these devices from communicating, and even modifying the data sent in this communication. Devices using BLE protocol perform various operations such as read and write during communication. In this study BLEKeeper is presented which is a tool that detects BLE man in the middle attacks by using the information of response time behaviors of devices during executing read and write operations. With this method, the timing information of a device is recorded by performing these operations while device is not under attack. Response time behavior of devices is revealed using this timing information. In this way attacks can be detected when a sample is seen that looks like belongs to the same device but does not fit the device's response time behavior. In measurements made on many BLE devices, it has been observed that these behaviors are quite regular and thus anomalies that occur during MITM attack cannot be concealed by the attacker. The test results show that BLEKeeper which has a quite simple learning system, can detect BLE man in the middle attacks with a high percentage of 98%.