0
“我为了得到一个授权书,比他妈西天取经都难!”
电影《泰囧》中,高博为了几个亿的合同授权书,煞费苦心跟踪徐朗,各种高科技跟踪手段轮番上阵。不仅博得观众一笑,怕是卖定位追踪技术的也笑了。
当然,里面用到的手段只是常用定位技术的其中一两种,实际像基站定位、wifi定位、IP定位、RFID/二维码等标签识别定位、蓝牙定位、声波定位、场景识别定位……只有你想不到,没有跟不到。
而今天要说到的就是基站定位。
你眼中的基站是怎样的?
这样的?
还是这样的?
醒醒,今天我们要说的是 FemtoCell 家用基站,酱儿的~
FemtoCell 是一种小型、低功率蜂窝基站,主要用于家庭及办公室等室内场所,用户只要将 FemtoCell 接入基于IP的网络中就可以在家中更好地使用移动电话,而且还是运营商送上门,用户不花钱!
但是,用户触手可及的 FemtoCell 也常被一票任性的黑客惦记,甚至黑客可以在搭建 FemtoCell 之后,迅速地将其改造成伪基站短信群发器和流量嗅探器。
试想,你的暧昧短信、通话、数据流量被窃听是多么恐怖。
最近雷锋网编辑听了一场 Seeker 的演讲,主题是“某宝上的电信设备与 IoT 安全”。
Seeker 的个人简介依旧个性,甚至在问到为何做这方面研究时也是言简意赅的一句好玩。
不知攻,焉知防。
当白帽子披上黑帽子的外衣,利用 FemtoCell 能做哪些暗戳戳的事情?Seeker 进行了解密。
第一步,“招兵买马”
把大象装进冰箱只需要三步,而利用 FemtoCell 监听定位需要几步?
首先要搭建一个家用基站,即买设备。
FemtoCell很容易从某宝上买到,当然你先要知道如何针对性搜索。
这里可以参考一下大神 Seeker 的购买清单:
移动:GSM:京信HMB-10
TD-SCDMA:京信HNB-33、博威HN1200
TD-LTE:中兴BS8102
联通:华为UAP2105、UAP2816、UAP2835、UAP2855
华为ePico3801、华为ePico3802
电信:华为ePico3680
这些FemtoCell价格很便宜,每种Seeker都买了不止一套,最低的20元,最贵的450元。
第二步,“拿钥匙”
我们先来观察一幅图。
这是典型的3G网络结构。最左边的是手持终端,中间部分是两类基站,3G 的时候叫 Node B,与 RNC 配合对接运营商核心网,最后联接到互联网。而在 FemtoCell 中叫做 Home Node B,它会通过互联网和安全网关SeGW通信,随后联接到运营商核心网络。
几乎所有FemtoCell都会联接自动配置服务器 ACS。ACS使用TR-069协议,用来下发配置文件,包括配置 Home Node B 地址,以及更新FemtoCell的固件(Firmware)。
实际上,运营商使用的 TR-069 协议,可以完成四个方面的工作:
一是用户设备自动配置和动态的业务配置。
二是对用户设备的软件、固件的管理。TR-069的协议提供了对用户设备中的软件、固件进行管理和下载的功能。
三是对用户设备的状态和性能进行监测。
四是对通信故障的诊断。
但这并不代表它是安全的,或者说,对于神通广大的黑客,这都不是事儿~
最大的问题是ACS的地址是需要在FemtoCell上配置并保存的,所以就会可能黑客修改成自己的地址。
这里有一种安全的方法,就是在拨了安全网关之后,再联TR-069服务器。
准备就绪后,首先要 root。root才能获得设备的全部权限,才能在FemtoCell上运行自己的程序。具体做法因设备而异,运气好可以直接利用JTAG、UART等调试接口,运气不好可能要从旧设备里读出Firmware再加以修改后写回去。
root用到的设备非常简单,基本上数字万用表、CP2102、杜邦线、SEGGER J-Link就够了,要专业一些,还可以配上Bus Pirate、JTAGulator、NAND Flash读写器等。root的软件,最重要的是TR-069,推荐使用 GenieACS,还有IDA Pro、OpenOCD等。
root 之后可以破解 IPsec,侦听往来通信,甚至修改通信的内容而不被发现。因为FemtoCell 本来就是合法的运营商基站,在实施攻击的时候,发往用户手机的数据和短信都被认为是合法的,而在内容层面也不会有任何的安全验证。
第三步,“开门”
在root FemtoCell以后,就可以联入到运营商的核心网,实施信令攻击。为什么要联运营商的核心网?
搞事情啊!
获得认证加密五元组(IK,CK,AUTN,RAND,XRES),四元组(Kasme,AUTN,RAND,XRES)
不用去现场,坐在家里就可以通过信令监控任意的手机,获得它的位置、通信内容,还可以远程植入木马。
当然,进入运营商核心网的具体做法也要视情况而定。通常是在FemtoCell上运行一个自己写好的代理程序。
那是否可以脱离 FemtoCell 直连核心网呢?
答案是可以。
原因就是京信、中兴的FemtoCell使用软SIM,在文件系统里的某一个文件里写了密钥,把这个密钥取出来以后,通过 strongSwan (需要修改代码 ),就可以用自己的PC拨通运营商的安全网关。
较为困难的是使用真 SIM 卡的华为等FemtoCell,需要PC/SC读卡器,还要做strongSwan代码方面的更多修改。
通过FemtoCell 联接运营商核心网的主要问题是容易被反向追踪,实际上现在更普遍的方法是用互联网去联运营商的核心网。
主要步骤是,
找到暴露在互联网上的GRX或IPX设备,通常是GGSN/MME,发送信令。
拿下某 GRX 设备的 root 权限,进行内网漫游
这里会用到另外一个开源软件 OpenGGSN。它可以把自己模拟成SGSN,帮你寻找GGSN,给它发信令,看看它有没有回应。
还有一点比较有意思,如果在运营商的内网,比如用了联通或者移动的4G网络,实际上我在它的网状结构的里面,接入网的最底层的设备。从这儿往上搜索,与国外联过来进行扫描的结果差异比较大,能扫描到更多的可用设备。
那有什么防御手段吗?
可以看到的是,整个搭建过程并非十分复杂,但若是把出于兴趣研究的 Seeker 换做是别有用心的黑客,就会让人笑不出来了。
“FemtoCell 本身的安全机制有用,但是不足以对付一个执着的黑客。”Seeker表示。
除了FemtoCell,Seeker发现神奇某宝上还可以便宜买到运营商正大量使用的基站设备。当然你要先知道运营商基站的典型配置,然后针对性搜索。比如运营商基站主要由 BBU 和 RRU 两部分组成,最好知道设备的具体型号,比如华为最新型号BBU3910,插不同的基带板和主控板就能支持不同的通信制式。下面的图片就是标准的华为LTE室内分布系统,包括电源,RHUB,BBU,RRU等。其中pRRU3902的功率大约125mW,有效覆盖半径约50米。
雷锋网编辑这里算了一笔账,典型TD-LTE 配置的华为 BBU3910 大概 500-700元,RRU也很便宜,价格大概100-1000不等,常用的包括华为 pRRU3902大约200元,再加上RHUB3908和通信电源ETP48100,GPS天线等,这一套算下来不到2000元。
这一套设备个头可是不小,加电后风扇声音很大,肯定不能随身携带,黑客不会感兴趣,但是比较适合网络安全公司搭建无线通信实验环境,从事IoT设备的安全研究。
从网上购买了运营商的基站, 为了让设备正常工作,实际上需要解决两个问题。一是基站要联 OMC,类似于 ACS,从网上可以下载华为的M2000进行破解,另外还需要联 MME,可以使用开源的OpenAirInterface里的MME。
这一套基站跟运营商所用完全一样,只是没有联运营商的核心网,不能通过双向认证,所以不被手机认为是合法基站。如果想变身运营商合法基站,就需要能联接到运营商核心网,获得AV四元组。上面介绍的两种进入运营商核心网的方法都可以。
看完了这些是不是陷入了深深的担忧之中?
那是否有什么防御手段呢?
Seeker建议,
对于各网络公司、APP 开发者、IoT 厂商及网络服务商来说,互联网与电信网络同样不安全,必要的是有应用层的认证和加密体系。短信验证码不可信,应尽可能启用双因子认证。
对于认证服务商、银行、运营商来说,市场需要可靠的认证基础设施,网点多的机构有优势,应尽可能可抢占先机开展服务。
对于电信设备厂商,应增加更多安全特性,增加破解难度。
对于电信运营商,网络建设应遵循 3GPP 安全标准,再辅以多层次防御体系,如安全审计、防火墙、蜜罐等。
对于淘宝等电商平台,应下架运营商设备。这些设备只应该卖给运营商,不应该出现在2C的电商平台上。
而面对国内通信行业飞速发展,运营商建设十分粗放的现状,用户所能做的除了蹙眉似乎并无他法。
不过幸好,雷锋网编辑在 Seeker 演讲结束后看到他发了一条朋友圈,内容大概是:一个正义的白帽子为了防止成果被防不胜防的黑客惦记,已经将自制的伪基站埋进了某个公园的地下……
情不自禁点个赞。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。