TD-SCDMA:京信HNB-33、博威HN1200
TD-LTE:中兴BS8102
联通:华为UAP2105、UAP2816、UAP2835、UAP2855
华为ePico3801、华为ePico3802
电信:华为ePico3680
这些FemtoCell价格很便宜,每种Seeker都买了不止一套,最低的20元,最贵的450元。
第二步,“拿钥匙”
我们先来观察一幅图。
这是典型的3G网络结构。最左边的是手持终端,中间部分是两类基站,3G 的时候叫 Node B,与 RNC 配合对接运营商核心网,最后联接到互联网。而在 FemtoCell 中叫做 Home Node B,它会通过互联网和安全网关SeGW通信,随后联接到运营商核心网络。
几乎所有FemtoCell都会联接自动配置服务器 ACS。ACS使用TR-069协议,用来下发配置文件,包括配置 Home Node B 地址,以及更新FemtoCell的固件(Firmware)。
实际上,运营商使用的 TR-069 协议,可以完成四个方面的工作:
一是用户设备自动配置和动态的业务配置。
二是对用户设备的软件、固件的管理。TR-069的协议提供了对用户设备中的软件、固件进行管理和下载的功能。
三是对用户设备的状态和性能进行监测。
四是对通信故障的诊断。
但这并不代表它是安全的,或者说,对于神通广大的黑客,这都不是事儿~
最大的问题是ACS的地址是需要在FemtoCell上配置并保存的,所以就会可能黑客修改成自己的地址。
这里有一种安全的方法,就是在拨了安全网关之后,再联TR-069服务器。
准备就绪后,首先要 root。root才能获得设备的全部权限,才能在FemtoCell上运行自己的程序。具体做法因设备而异,运气好可以直接利用JTAG、UART等调试接口,运气不好可能要从旧设备里读出Firmware再加以修改后写回去。
root用到的设备非常简单,基本上数字万用表、CP2102、杜邦线、SEGGER J-Link就够了,要专业一些,还可以配上Bus Pirate、JTAGulator、NAND Flash读写器等。root的软件,最重要的是TR-069,推荐使用 GenieACS,还有IDA Pro、OpenOCD等。
root 之后可以破解 IPsec,侦听往来通信,甚至修改通信的内容而不被发现。因为FemtoCell 本来就是合法的运营商基站,在实施攻击的时候,发往用户手机的数据和短信都被认为是合法的,而在内容层面也不会有任何的安全验证。
第三步,“开门”
在root FemtoCell以后,就可以联入到运营商的核心网,实施信令攻击。为什么要联运营商的核心网?
搞事情啊!
获得认证加密五元组(IK,CK,AUTN,RAND,XRES),四元组(Kasme,AUTN,RAND,XRES)
不用去现场,坐在家里就可以通过信令监控任意的手机,获得它的位置、通信内容,还可以远程植入木马。
当然,进入运营商核心网的具体做法也要视情况而定。通常是在FemtoCell上运行一个自己写好的代理程序。
那是否可以脱离 FemtoCell 直连核心网呢?
答案是可以。
原因就是京信、中兴的FemtoCell使用软SIM,在文件系统里的某一个文件里写了密钥,把这个密钥取出来以后,通过 strongSwan (需要修改代码 ),就可以用自己的PC拨通运营商的安全网关。
较为困难的是使用真 SIM 卡的华为等FemtoCell,需要PC/SC读卡器,还要做strongSwan代码方面的更多修改。
通过FemtoCell 联接运营商核心网的主要问题是容易被反向追踪,实际上现在更普遍的方法是用互联网去联运营商的核心网。
主要步骤是,
找到暴露在互联网上的GRX或IPX设备,通常是GGSN/MME,发送信令。
拿下某 GRX 设备的 root 权限,进行内网漫游
这里会用到另外一个开源软件 OpenGGSN。它可以把自己模拟成SGSN,帮你寻找GGSN,给它发信令,看看它有没有回应。
还有一点比较有意思,如果在运营商的内网,比如用了联通或者移动的4G网络,实际上我在它的网状结构的里面,接入网的最底层的设备。从这儿往上搜索,与国外联过来进行扫描的结果差异比较大,能扫描到更多的可用设备。
那有什么防御手段吗?
可以看到的是,整个搭建过程并非十分复杂,但若是把出于兴趣研究的 Seeker 换做是别有用心的黑客,就会让人笑不出来了。
“FemtoCell 本身的安全机制有用,但是不足以对付一个执着的黑客。”Seeker表示。
除了FemtoCell,Seeker发现神奇某宝上还可以便宜买到运营商正大量使用的基站设备。当然你要先知道运营商基站的典型配置,然后针对性搜索。比如运营商基站主要由 BBU 和 RRU 两部分组成,最好知道设备的具体型号,比如华为最新型号BBU3910,插不同的基带板和主控板就能支持不同的通信制式。下面的图片就是标准的华为LTE室内分布系统,包括电源,RHUB,BBU,RRU等。其中pRRU3902的功率大约125mW,有效覆盖半径约50米。
雷锋网编辑这里算了一笔账,典型TD-LTE 配置的华为 BBU3910 大概 500-700元,RRU也很便宜,价格大概100-1000不等,常用的包括华为 pRRU3902大约200元,再加上RHUB3908和通信电源ETP48100,GPS天线等,这一套算下来不到2000元。
这一套设备个头可是不小,加电后风扇声音很大,肯定不能随身携带,黑客不会感兴趣,但是比较适合网络安全公司搭建无线通信实验环境,从事IoT设备的安全研究。
从网上购买了运营商的基站, 为了让设备正常工作,实际上需要解决两个问题。一是基站要联 OMC,类似于 ACS,从网上可以下载华为的M2000进行破解,另外还需要联 MME,可以使用开源的OpenAirInterface里的MME。
这一套基站跟运营商所用完全一样,只是没有联运营商的核心网,不能通过双向认证,所以不被手机认为是合法基站。如果想变身运营商合法基站,就需要能联接到运营商核心网,获得AV四元组。上面介绍的两种进入运营商核心网的方法都可以。
看完了这些是不是陷入了深深的担忧之中?
那是否有什么防御手段呢?
Seeker建议,
对于各网络公司、APP 开发者、IoT 厂商及网络服务商来说,互联网与电信网络同样不安全,必要的是有应用层的认证和加密体系。短信验证码不可信,应尽可能启用双因子认证。
对于认证服务商、银行、运营商来说,市场需要可靠的认证基础设施,网点多的机构有优势,应尽可能可抢占先机开展服务。
对于电信设备厂商,应增加更多安全特性,增加破解难度。
对于电信运营商,网络建设应遵循 3GPP 安全标准,再辅以多层次防御体系,如安全审计、防火墙、蜜罐等。
对于淘宝等电商平台,应下架运营商设备。这些设备只应该卖给运营商,不应该出现在2C的电商平台上。
而面对国内通信行业飞速发展,运营商建设十分粗放的现状,用户所能做的除了蹙眉似乎并无他法。
不过幸好,雷锋网编辑在 Seeker 演讲结束后看到他发了一条朋友圈,内容大概是:一个正义的白帽子为了防止成果被防不胜防的黑客惦记,已经将自制的伪基站埋进了某个公园的地下……
情不自禁点个赞。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。
作者:又田返回搜狐,查看更多