Zi 字媒體

「我為了得到一個授權書，比他媽西天取經都難！」電影《泰囧》中，高博為了幾個億的合同授權書，煞費苦心跟蹤徐朗，各種高科技跟蹤手段輪番上陣。不僅博得觀眾一笑，怕是賣定位追蹤技術的也笑了。當然，裡面用到的手段只是常用定位技術的其中一兩種，實際像基站定位、wifi定位、IP定位、RFID/二維碼等標籤識別定位、藍牙定位、聲波定位、場景識別定位……只有你想不到，沒有跟不到。而今天要說到的就是基站定位。你眼中的基站是怎樣的？這樣的？還是這樣的？醒醒，今天我們要說的是 FemtoCell 家用基站，醬兒的~FemtoCell 是一種小型、低功率蜂窩基站，主要用於家庭及辦公室等室內場所，用戶只要將 FemtoCell 接入基於IP的網路中就可以在家中更好地使用行動電話，而且還是運營商送上門，用戶不花錢！但是，用戶觸手可及的 FemtoCell 也常被一票任性的黑客惦記，甚至黑客可以在搭建 FemtoCell 之後，迅速地將其改造成偽基站簡訊群發器和流量嗅探器。試想，你的曖昧簡訊、通話、數據流量被竊聽是多麼恐怖。最近雷鋒網編輯聽了一場 Seeker 的演講，主題是「某寶上的電信設備與 IoT 安全」。Seeker 的個人簡介依舊個性，甚至在問到為何做這方面研究時也是言簡意賅的一句好玩。不知攻，焉知防。當白帽子披上黑帽子的外衣，利用 FemtoCell 能做哪些暗戳戳的事情？Seeker 進行了解密。第一步，「招兵買馬」把大象裝進冰箱只需要三步，而利用 FemtoCell 監聽定位需要幾步？首先要搭建一個家用基站，即買設備。FemtoCell很容易從某寶上買到，當然你先要知道如何針對性搜索。這裡可以參考一下大神 Seeker 的購買清單：移動：GSM：京信HMB-10TD-SCDMA：京信HNB-33、博威HN1200TD-LTE：中興BS8102聯通：華為UAP2105、UAP2816、UAP2835、UAP2855華為ePico3801、華為ePico3802電信：華為ePico3680這些FemtoCell價格很便宜，每種Seeker都買了不止一套，最低的20元，最貴的450元。第二步，「拿鑰匙」我們先來觀察一幅圖。這是典型的3G網路結構。最左邊的是手持終端，中間部分是兩類基站，3G 的時候叫 Node B，與 RNC 配合對接運營商核心網，最後聯接到互聯網。而在 FemtoCell 中叫做 Home Node B，它會通過互聯網和安全網關SeGW通信，隨後聯接到運營商核心網路。幾乎所有FemtoCell都會聯接自動配置伺服器 ACS。ACS使用TR-069協議，用來下發配置文件，包括配置 Home Node B 地址，以及更新FemtoCell的固件（Firmware）。實際上，運營商使用的 TR-069 協議，可以完成四個方面的工作：一是用戶設備自動配置和動態的業務配置。二是對用戶設備的軟體、固件的管理。TR-069的協議提供了對用戶設備中的軟體、固件進行管理和下載的功能。三是對用戶設備的狀態和性能進行監測。四是對通信故障的診斷。但這並不代表它是安全的，或者說，對於神通廣大的黑客，這都不是事兒~最大的問題是ACS的地址是需要在FemtoCell上配置並保存的，所以就會可能黑客修改成自己的地址。這裡有一種安全的方法，就是在撥了安全網關之後，再聯TR-069伺服器。準備就緒后，首先要 root。root才能獲得設備的全部許可權，才能在FemtoCell上運行自己的程序。具體做法因設備而異，運氣好可以直接利用JTAG、UART等調試介面，運氣不好可能要從舊設備里讀出Firmware再加以修改後寫回去。root用到的設備非常簡單，基本上數字萬用表、CP2102、杜邦線、SEGGER J-Link就夠了，要專業一些，還可以配上Bus Pirate、JTAGulator、NAND Flash讀寫器等。root的軟體，最重要的是TR-069，推薦使用 GenieACS，還有IDA Pro、OpenOCD等。root 之後可以破解 IPsec，偵聽往來通信，甚至修改通信的內容而不被發現。因為FemtoCell 本來就是合法的運營商基站，在實施攻擊的時候，發往用戶手機的數據和簡訊都被認為是合法的，而在內容層面也不會有任何的安全驗證。第三步，「開門」在root FemtoCell以後，就可以聯入到運營商的核心網，實施信令攻擊。為什麼要聯運營商的核心網？搞事情啊！獲得認證加密五元組（IK，CK，AUTN，RAND，XRES），四元組（Kasme，AUTN，RAND，XRES）不用去現場，坐在家裡就可以通過信令監控任意的手機，獲得它的位置、通信內容，還可以遠程植入木馬。當然，進入運營商核心網的具體做法也要視情況而定。通常是在FemtoCell上運行一個自己寫好的代理程序。那是否可以脫離 FemtoCell 直連核心網呢？答案是可以。原因就是京信、中興的FemtoCell使用軟SIM，在文件系統里的某一個文件里寫了密鑰，把這個密鑰取出來以後，通過 strongSwan （需要修改代碼 ），就可以用自己的PC撥通運營商的安全網關。較為困難的是使用真 SIM 卡的華為等FemtoCell，需要PC/SC讀卡器，還要做strongSwan代碼方面的更多修改。通過FemtoCell 聯接運營商核心網的主要問題是容易被反向追蹤，實際上現在更普遍的方法是用互聯網去聯運營商的核心網。主要步驟是，找到暴露在互聯網上的GRX或IPX設備，通常是GGSN/MME，發送信令。拿下某 GRX 設備的 root 許可權，進行內網漫遊這裡會用到另外一個開源軟體 OpenGGSN。它可以把自己模擬成SGSN，幫你尋找GGSN，給它發信令，看看它有沒有回應。還有一點比較有意思，如果在運營商的內網，比如用了聯通或者移動的4G網路，實際上我在它的網狀結構的裡面，接入網的最底層的設備。從這兒往上搜索，與國外聯過來進行掃描的結果差異比較大，能掃描到更多的可用設備。那有什麼防禦手段嗎？可以看到的是，整個搭建過程並非十分複雜，但若是把出於興趣研究的 Seeker 換做是別有用心的黑客，就會讓人笑不出來了。「FemtoCell 本身的安全機制有用，但是不足以對付一個執著的黑客。」Seeker表示。除了FemtoCell，Seeker發現神奇某寶上還可以便宜買到運營商正大量使用的基站設備。當然你要先知道運營商基站的典型配置，然後針對性搜索。比如運營商基站主要由 BBU 和 RRU 兩部分組成，最好知道設備的具體型號，比如華為最新型號BBU3910，插不同的基帶板和主控板就能支持不同的通信制式。下面的圖片就是標準的華為LTE室內分佈系統，包括電源，RHUB，BBU，RRU等。其中pRRU3902的功率大約125mW，有效覆蓋半徑約50米。雷鋒網編輯這裡算了一筆賬，典型TD-LTE 配置的華為 BBU3910 大概 500-700元，RRU也很便宜，價格大概100-1000不等，常用的包括華為 pRRU3902大約200元，再加上RHUB3908和通信電源ETP48100，GPS天線等，這一套算下來不到2000元。這一套設備個頭可是不小，加電后風扇聲音很大，肯定不能隨身攜帶，黑客不會感興趣，但是比較適合網路安全公司搭建無線通信實驗環境，從事IoT設備的安全研究。從網上購買了運營商的基站， 為了讓設備正常工作，實際上需要解決兩個問題。一是基站要聯 OMC，類似於 ACS，從網上可以下載華為的M2000進行破解，另外還需要聯 MME，可以使用開源的OpenAirInterface里的MME。這一套基站跟運營商所用完全一樣，只是沒有聯運營商的核心網，不能通過雙向認證，所以不被手機認為是合法基站。如果想變身運營商合法基站，就需要能聯接到運營商核心網，獲得AV四元組。上面介紹的兩種進入運營商核心網的方法都可以。看完了這些是不是陷入了深深的擔憂之中？那是否有什麼防禦手段呢？Seeker建議，對於各網路公司、APP 開發者、IoT 廠商及網路服務商來說，互聯網與電信網路同樣不安全，必要的是有應用層的認證和加密體系。簡訊驗證碼不可信，應儘可能啟用雙因子認證。對於認證服務商、銀行、運營商來說，市場需要可靠的認證基礎設施，網點多的機構有優勢，應儘可能可搶佔先機開展服務。對於電信設備廠商，應增加更多安全特性，增加破解難度。對於電信運營商，網路建設應遵循 3GPP 安全標準，再輔以多層次防禦體系，如安全審計、防火牆、蜜罐等。對於淘寶等電商平台，應下架運營商設備。這些設備只應該賣給運營商，不應該出現在2C的電商平台上。而面對國內通信行業飛速發展，運營商建設十分粗放的現狀，用戶所能做的除了蹙眉似乎並無他法。不過幸好，雷鋒網編輯在 Seeker 演講結束后看到他發了一條朋友圈，內容大概是：一個正義的白帽子為了防止成果被防不勝防的黑客惦記，已經將自製的偽基站埋進了某個公園的地下……情不自禁點個贊。3個月，從無人問津到年薪30萬的秘密究竟是什麼？答案在這裡——崔立明授課【推薦系統演算法工程師-從入門到就業】3個月演算法水平得到快速提升，讓你的職業生涯更有競爭力！（或閱讀原文戳開鏈接）抵達課程詳細介紹~