" 我為瞭得到一個授權書,比他媽西天取經都難!"
電影《泰囧》中,高博為瞭幾個億的合同授權書,煞費苦心跟蹤徐朗,各種高科技跟蹤手段輪番上陣。不僅博得觀眾一笑,怕是賣定位追蹤技術的也笑瞭。
當然,裡面用到的手段隻是常用定位技術的其中一兩種,實際像基站定位、wifi 定位、IP 定位、RFID/ 二維碼等標簽識別定位、藍牙定位、聲波定位、場景識別定位 …… 隻有你想不到,沒有跟不到。
而今天要說到的就是基站定位。
你眼中的基站是怎樣的?
這樣的?
還是這樣的?
醒醒,今天我們要說的是 FemtoCell 傢用基站,醬兒的 ~
FemtoCell 是一種小型、低功率蜂窩基站,主要用於傢庭及辦公室等室內場所,用戶隻要將 FemtoCell 接入基於 IP 的網絡中就可以在傢中更好地使用移動電話,而且還是運營商送上門,用戶不花錢!
但是,用戶觸手可及的 FemtoCell 也常被一票任性的黑客惦記,甚至黑客可以在搭建 FemtoCell 之後,迅速地將其改造成偽基站短信群發器和流量嗅探器。
試想,你的曖昧短信、通話、數據流量被竊聽是多麼恐怖。
最近雷鋒網編輯聽瞭一場 Seeker 的演講,主題是 " 某寶上的電信設備與 IoT 安全 "。
Seeker 的個人簡介依舊個性,甚至在問到為何做這方面研究時也是言簡意賅的一句好玩。
不知攻,焉知防。
當白帽子披上黑帽子的外衣,利用 FemtoCell 能做哪些暗戳戳的事情?Seeker 進行瞭解密。
第一步," 招兵買馬 "
把大象裝進冰箱隻需要三步,而利用 FemtoCell 監聽定位需要幾步?
首先要搭建一個傢用基站,即買設備。
FemtoCell 很容易從某寶上買到,當然你先要知道如何針對性搜索。
這裡可以參考一下大神 Seeker 的購買清單:
移動:GSM:京信 HMB-10
TD-SCDMA:京信 HNB-33、博威 HN1200
TD-LTE:中興 BS8102
聯通:華為 UAP2105、UAP2816、UAP2835、UAP2855
華為 ePico3801、華為 ePico3802
電信:華為 ePico3680
這些 FemtoCell 價格很便宜,每種 Seeker 都買瞭不止一套,最低的 20 元,最貴的 450 元。
第二步," 拿鑰匙 "
我們先來觀察一幅圖。
這是典型的 3G 網絡結構。最左邊的是手持終端,中間部分是兩類基站,3G 的時候叫 Node B,與 RNC 配合對接運營商核心網,最後聯接到互聯網。而在 FemtoCell 中叫做 Home Node B,它會通過互聯網和安全網關 SeGW 通信,隨後聯接到運營商核心網絡。
幾乎所有 FemtoCell 都會聯接自動配置服務器 ACS。ACS 使用 TR-069 協議,用來下發配置文件,包括配置 Home Node B 地址,以及更新 FemtoCell 的固件(Firmware)。
實際上,運營商使用的 TR-069 協議,可以完成四個方面的工作:
一是用戶設備自動配置和動態的業務配置。
二是對用戶設備的軟件、固件的管理。TR-069 的協議提供瞭對用戶設備中的軟件、固件進行管理和下載的功能。
三是對用戶設備的狀態和性能進行監測。
四是對通信故障的診斷。
但這並不代表它是安全的,或者說,對於神通廣大的黑客,這都不是事兒 ~
最大的問題是 ACS 的地址是需要在 FemtoCell 上配置並保存的,所以就會可能黑客修改成自己的地址。
這裡有一種安全的方法,就是在撥瞭安全網關之後,再聯 TR-069 服務器。
準備就緒後,首先要 root。root 才能獲得設備的全部權限,才能在 FemtoCell 上運行自己的程序。具體做法因設備而異,運氣好可以直接利用 JTAG、UART 等調試接口,運氣不好可能要從舊設備裡讀出 Firmware 再加以修改後寫回去。
root 用到的設備非常簡單,基本上數字萬用表、CP2102、杜邦線、SEGGER J-Link 就夠瞭,要專業一些,還可以配上 Bus Pirate、JTAGulator、NAND Flash 讀寫器等。root 的軟件,最重要的是 TR-069,推薦使用 GenieACS,還有 IDA Pro、OpenOCD 等。
root 之後可以破解 IPsec,偵聽往來通信,甚至修改通信的內容而不被發現。因為 FemtoCell 本來就是合法的運營商基站,在實施攻擊的時候,發往用戶手機的數據和短信都被認為是合法的,而在內容層面也不會有任何的安全驗證。
第三步," 開門 "
在 root FemtoCell 以後,就可以聯入到運營商的核心網,實施信令攻擊。為什麼要聯運營商的核心網?
搞事情啊!
獲得認證加密五元組(IK,CK,AUTN,RAND,XRES),四元組(Kasme,AUTN,RAND,XRES)
不用去現場,坐在傢裡就可以通過信令監控任意的手機,獲得它的位置、通信內容,還可以遠程植入木馬。
當然,進入運營商核心網的具體做法也要視情況而定。通常是在 FemtoCell 上運行一個自己寫好的代理程序。
那是否可以脫離 FemtoCell 直連核心網呢?
答案是可以。
原因就是京信、中興的 FemtoCell 使用軟 SIM,在文件系統裡的某一個文件裡寫瞭密鑰,把這個密鑰取出來以後,通過 strongSwan (需要修改代碼 ),就可以用自己的 PC 撥通運營商的安全網關。
較為困難的是使用真 SIM 卡的華為等 FemtoCell,需要 PC/SC 讀卡器,還要做 strongSwan 代碼方面的更多修改。
通過 FemtoCell 聯接運營商核心網的主要問題是容易被反向追蹤,實際上現在更普遍的方法是用互聯網去聯運營商的核心網。
主要步驟是,
找到暴露在互聯網上的 GRX 或 IPX 設備,通常是 GGSN/MME,發送信令。
拿下某 GRX 設備的 root 權限,進行內網漫遊
這裡會用到另外一個開源軟件 OpenGGSN。它可以把自己模擬成 SGSN,幫你尋找 GGSN,給它發信令,看看它有沒有回應。
還有一點比較有意思,如果在運營商的內網,比如用瞭聯通或者移動的 4G 網絡,實際上我在它的網狀結構的裡面,接入網的最底層的設備。從這兒往上搜索,與國外聯過來進行掃描的結果差異比較大,能掃描到更多的可用設備。
那有什麼防禦手段嗎?
可以看到的是,整個搭建過程並非十分復雜,但若是把出於興趣研究的 Seeker 換做是別有用心的黑客,就會讓人笑不出來瞭。
"FemtoCell 本身的安全機制有用,但是不足以對付一個執著的黑客。"Seeker 表示。
除瞭 FemtoCell,Seeker 發現神奇某寶上還可以便宜買到運營商正大量使用的基站設備。當然你要先知道運營商基站的典型配置,然後針對性搜索。比如運營商基站主要由 BBU 和 RRU 兩部分組成,最好知道設備的具體型號,比如華為最新型號 BBU3910,插不同的基帶板和主控板就能支持不同的通信制式。下面的圖片就是標準的華為 LTE 室內分佈系統,包括電源,RHUB,BBU,RRU 等。其中 pRRU3902 的功率大約 125mW,有效覆蓋半徑約 50 米。
雷鋒網編輯這裡算瞭一筆賬,典型 TD-LTE 配置的華為 BBU3910 大概 500-700 元,RRU 也很便宜,價格大概 100-1000 不等,常用的包括華為 pRRU3902 大約 200 元,再加上 RHUB3908 和通信電源 ETP48100,GPS 天線等,這一套算下來不到 2000 元。
這一套設備個頭可是不小,加電後風扇聲音很大,肯定不能隨身攜帶,黑客不會感興趣,但是比較適合網絡安全公司搭建無線通信實驗環境,從事 IoT 設備的安全研究。
從網上購買瞭運營商的基站, 為瞭讓設備正常工作,實際上需要解決兩個問題。一是基站要聯 OMC,類似於 ACS,從網上可以下載華為的 M2000 進行破解,另外還需要聯 MME,可以使用開源的 OpenAirInterface 裡的 MME。
這一套基站跟運營商所用完全一樣,隻是沒有聯運營商的核心網,不能通過雙向認證,所以不被手機認為是合法基站。如果想變身運營商合法基站,就需要能聯接到運營商核心網,獲得 AV 四元組。上面介紹的兩種進入運營商核心網的方法都可以。
看完瞭這些是不是陷入瞭深深的擔憂之中?
那是否有什麼防禦手段呢?
Seeker 建議,
對於各網絡公司、APP 開發者、IoT 廠商及網絡服務商來說,互聯網與電信網絡同樣不安全,必要的是有應用層的認證和加密體系。短信驗證碼不可信,應盡可能啟用雙因子認證。
對於認證服務商、銀行、運營商來說,市場需要可靠的認證基礎設施,網點多的機構有優勢,應盡可能可搶占先機開展服務。
對於電信設備廠商,應增加更多安全特性,增加破解難度。
對於電信運營商,網絡建設應遵循 3GPP 安全標準,再輔以多層次防禦體系,如安全審計、防火墻、蜜罐等。
對於淘寶等電商平臺,應下架運營商設備。這些設備隻應該賣給運營商,不應該出現在 2C 的電商平臺上。
而面對國內通信行業飛速發展,運營商建設十分粗放的現狀,用戶所能做的除瞭蹙眉似乎並無他法。
不過幸好,雷鋒網編輯在 Seeker 演講結束後看到他發瞭一條朋友圈,內容大概是:一個正義的白帽子為瞭防止成果被防不勝防的黑客惦記,已經將自制的偽基站埋進瞭某個公園的地下 ……
情不自禁點個贊。
