电影《泰囧》中,高博为了几个亿的合同授权书,煞费苦心跟踪徐朗,各种高科技跟踪手段轮番上阵。不仅博得观众一笑,怕是卖定位追踪技术的也笑了。
当然,里面用到的手段只是常用定位技术的其中一两种,实际像基站定位、wifi定位、IP定位、RFID/二维码等标签识别定位、蓝牙定位、声波定位、场景识别定位……只有你想不到,没有跟不到。
而今天要说到的就是基站定位。
你眼中的基站是怎样的?
这样的?
还是这样的?
醒醒,今天我们要说的是 FemtoCell 家用基站,酱儿的~
FemtoCell 是一种小型、低功率蜂窝基站,主要用于家庭及办公室等室内场所,用户只要将 FemtoCell 接入基于IP的网络中就可以在家中更好地使用移动电话,而且还是运营商送上门,用户不花钱!
但是,用户触手可及的 FemtoCell 也常被一票任性的黑客惦记,甚至黑客可以在搭建 FemtoCell 之后,迅速地将其改造成伪基站短信群发器和流量嗅探器。
试想,你的暧昧短信、通话、数据流量被窃听是多么恐怖。
最近雷锋网编辑听了一场 Seeker 的演讲,主题是“某宝上的电信设备与 IoT 安全”。
Seeker 的个人简介依旧个性,甚至在问到为何做这方面研究时也是言简意赅的一句好玩。
不知攻,焉知防。
当白帽子披上黑帽子的外衣,利用 FemtoCell 能做哪些暗戳戳的事情?Seeker 进行了解密。
把大象装进冰箱只需要三步,而利用 FemtoCell 监听定位需要几步?
首先要搭建一个家用基站,即买设备。
FemtoCell很容易从某宝上买到,当然你先要知道如何针对性搜索。
这里可以参考一下大神 Seeker 的购买清单:
移动:GSM:京信HMB-10
TD-SCDMA:京信HNB-33、博威HN1200
TD-LTE:中兴BS8102
联通:华为UAP2105、UAP2816、UAP2835、UAP2855
华为ePico3801、华为ePico3802
电信:华为ePico3680
这些FemtoCell价格很便宜,每种Seeker都买了不止一套,最低的20元,最贵的450元。
我们先来观察一幅图。
这是典型的3G网络结构。最左边的是手持终端,中间部分是两类基站,3G 的时候叫 Node B,与 RNC 配合对接运营商核心网,最后联接到互联网。而在 FemtoCell 中叫做 Home Node B,它会通过互联网和安全网关SeGW通信,随后联接到运营商核心网络。
几乎所有FemtoCell都会联接自动配置服务器 ACS。ACS使用TR-069协议,用来下发配置文件,包括配置 Home Node B 地址,以及更新FemtoCell的固件(Firmware)。
实际上,运营商使用的 TR-069 协议,可以完成四个方面的工作:
一是用户设备自动配置和动态的业务配置。
二是对用户设备的软件、固件的管理。TR-069的协议提供了对用户设备中的软件、固件进行管理和下载的功能。
三是对用户设备的状态和性能进行监测。
四是对通信故障的诊断。
但这并不代表它是安全的,或者说,对于神通广大的黑客,这都不是事儿~
最大的问题是ACS的地址是需要在FemtoCell上配置并保存的,所以就会可能黑客修改成自己的地址。
这里有一种安全的方法,就是在拨了安全网关之后,再联TR-069服务器。
准备就绪后,首先要 root。root才能获得设备的全部权限,才能在FemtoCell上运行自己的程序。具体做法因设备而异,运气好可以直接利用JTAG、UART等调试接口,运气不好可能要从旧设备里读出Firmware再加以修改后写回去。
root用到的设备非常简单,基本上数字万用表、CP2102、杜邦线、SEGGER J-Link就够了,要专业一些,还可以配上Bus Pirate、JTAGulator、NAND Flash读写器等。root的软件,最重要的是TR-069,推荐使用 GenieACS,还有IDA Pro、OpenOCD等。
root 之后可以破解 IPsec,侦听往来通信,甚至修改通信的内容而不被发现。因为FemtoCell 本来就是合法的运营商基站,在实施攻击的时候,发往用户手机的数据和短信都被认为是合法的,而在内容层面也不会有任何的安全验证。
在root FemtoCell以后,就可以联入到运营商的核心网,实施信令攻击。为什么要联运营商的核心网?
搞事情啊!
获得认证加密五元组(IK,CK,AUTN,RAND,XRES),四元组(Kasme,AUTN,RAND,XRES)
不用去现场,坐在家里就可以通过信令监控任意的手机,获得它的位置、通信内容,还可以远程植入木马。
当然,进入运营商核心网的具体做法也要视情况而定。通常是在FemtoCell上运行一个自己写好的代理程序。
那是否可以脱离 FemtoCell 直连核心网呢?
答案是可以。
原因就是京信、中兴的FemtoCell使用软SIM,在文件系统里的某一个文件里写了密钥,把这个密钥取出来以后,通过 strongSwan (需要修改代码 ),就可以用自己的PC拨通运营商的安全网关。
较为困难的是使用真 SIM 卡的华为等FemtoCell,需要PC/SC读卡器,还要做strongSwan代码方面的更多修改。
通过FemtoCell 联接运营商核心网的主要问题是容易被反向追踪,实际上现在更普遍的方法是用互联网去联运营商的核心网。
主要步骤是,
找到暴露在互联网上的GRX或IPX设备,通常是GGSN/MME,发送信令。
拿下某 GRX 设备的 root 权限,进行内网漫游
这里会用到另外一个开源软件 OpenGGSN。它可以把自己模拟成SGSN,帮你寻找GGSN,给它发信令,看看它有没有回应。
还有一点比较有意思,如果在运营商的内网,比如用了联通或者移动的4G网络,实际上我在它的网状结构的里面,接入网的最底层的设备。从这儿往上搜索,与国外联过来进行扫描的结果差异比较大,能扫描到更多的可用设备。
可以看到的是,整个搭建过程并非十分复杂,但若是把出于兴趣研究的 Seeker 换做是别有用心的黑客,就会让人笑不出来了。
“FemtoCell 本身的安全机制有用,但是不足以对付一个执着的黑客。”Seeker表示。
除了FemtoCell,Seeker发现神奇某宝上还可以便宜买到运营商正大量使用的基站设备。当然你要先知道运营商基站的典型配置,然后针对性搜索。比如运营商基站主要由 BBU 和 RRU 两部分组成,最好知道设备的具体型号,比如华为最新型号BBU3910,插不同的基带板和主控板就能支持不同的通信制式。下面的图片就是标准的华为LTE室内分布系统,包括电源,RHUB,BBU,RRU等。其中pRRU3902的功率大约125mW,有效覆盖半径约50米。
雷锋网编辑这里算了一笔账,典型TD-LTE 配置的华为 BBU3910 大概 500-700元,RRU也很便宜,价格大概100-1000不等,常用的包括华为 pRRU3902大约200元,再加上RHUB3908和通信电源ETP48100,GPS天线等,这一套算下来不到2000元。
这一套设备个头可是不小,加电后风扇声音很大,肯定不能随身携带,黑客不会感兴趣,但是比较适合网络安全公司搭建无线通信实验环境,从事IoT设备的安全研究。
从网上购买了运营商的基站, 为了让设备正常工作,实际上需要解决两个问题。一是基站要联 OMC,类似于 ACS,从网上可以下载华为的M2000进行破解,另外还需要联 MME,可以使用开源的OpenAirInterface里的MME。
这一套基站跟运营商所用完全一样,只是没有联运营商的核心网,不能通过双向认证,所以不被手机认为是合法基站。如果想变身运营商合法基站,就需要能联接到运营商核心网,获得AV四元组。上面介绍的两种进入运营商核心网的方法都可以。
看完了这些是不是陷入了深深的担忧之中?
Seeker建议,
对于各网络公司、APP 开发者、IoT 厂商及网络服务商来说,互联网与电信网络同样不安全,必要的是有应用层的认证和加密体系。短信验证码不可信,应尽可能启用双因子认证。
对于认证服务商、银行、运营商来说,市场需要可靠的认证基础设施,网点多的机构有优势,应尽可能可抢占先机开展服务。
对于电信设备厂商,应增加更多安全特性,增加破解难度。
对于电信运营商,网络建设应遵循 3GPP 安全标准,再辅以多层次防御体系,如安全审计、防火墙、蜜罐等。
对于淘宝等电商平台,应下架运营商设备。这些设备只应该卖给运营商,不应该出现在2C的电商平台上。
而面对国内通信行业飞速发展,运营商建设十分粗放的现状,用户所能做的除了蹙眉似乎并无他法。
不过幸好,雷锋网编辑在 Seeker 演讲结束后看到他发了一条朋友圈,内容大概是:一个正义的白帽子为了防止成果被防不胜防的黑客惦记,已经将自制的伪基站埋进了某个公园的地下……
情不自禁点个赞。
3个月,从无人问津到年薪30万的秘密究竟是什么?答案在这里——崔立明授课【推荐系统算法工程师-从入门到就业】3个月算法水平得到快速提升,让你的职业生涯更有竞争力!长按识别下方二维码(或阅读原文戳开链接)抵达课程详细介绍~