2000元不到,他就在某宝上整出了一套伪基站装备

1评论 2017-08-31 21:38:00 来源:雷锋网 作者:又田 如何判断星期六买点?

  “我为了得到一个授权书,比他妈西天取经都难!”

  电影《泰囧》中,高博为了几个亿的合同授权书,煞费苦心跟踪徐朗,各种高科技跟踪手段轮番上阵。不仅博得观众一笑,怕是卖定位追踪技术的也笑了。

  当然,里面用到的手段只是常用定位技术的其中一两种,实际像基站定位、wifi定位、IP定位、RFID/二维码等标签识别定位、蓝牙定位、声波定位、场景识别定位……只有你想不到,没有跟不到。

  而今天要说到的就是基站定位。

  你眼中的基站是怎样的?

  这样的?

  还是这样的?

  醒醒,今天我们要说的是FemtoCell家用基站,酱儿的~

  FemtoCell 是一种小型、低功率蜂窝基站,主要用于家庭及办公室等室内场所,用户只要将 FemtoCell 接入基于IP的网络中就可以在家中更好地使用移动电话,而且还是运营商送上门,用户不花钱!

  但是,用户触手可及的 FemtoCell 也常被一票任性的黑客惦记,甚至黑客可以在搭建 FemtoCell 之后,迅速地将其改造成伪基站短信群发器和流量嗅探器。

  试想,你的暧昧短信、通话、数据流量被窃听是多么恐怖。

  最近雷锋网编辑听了一场 Seeker 的演讲,主题是“某宝上的电信设备与IoT 安全”。

  Seeker 的个人简介依旧个性,甚至在问到为何做这方面研究时也是言简意赅的一句好玩。

  不知攻,焉知防。

  当白帽子披上黑帽子的外衣,利用FemtoCell 能做哪些暗戳戳的事情?Seeker 进行了解密。

  第一步,“招兵买马”

  把大象装进冰箱只需要三步,而利用FemtoCell 监听定位需要几步?

  首先要搭建一个家用基站,即买设备。

  FemtoCell很容易从某宝上买到,当然你先要知道如何针对性搜索。

  这里可以参考一下大神 Seeker 的购买清单:

  移动:GSM:京信HMB-10

  TD-SCDMA:京信HNB-33、博威HN1200

  TD-LTE:中兴BS8102

  联通:华为UAP2105、UAP2816、UAP2835、UAP2855

  华为ePico3801、华为ePico3802

  电信:华为ePico3680

  这些FemtoCell价格很便宜,每种Seeker都买了不止一套,最低的20元,最贵的450元。

  第二步,“拿钥匙”

  我们先来观察一幅图。

  这是典型的3G网络结构。最左边的是手持终端,中间部分是两类基站,3G 的时候叫 Node B,与 RNC 配合对接运营商核心网,最后联接到互联网。而在 FemtoCell 中叫做 Home Node B,它会通过互联网和安全网关SeGW通信,随后联接到运营商核心网络。

  几乎所有FemtoCell都会联接自动配置服务器 ACS。ACS使用TR-069协议,用来下发配置文件,包括配置 Home Node B 地址,以及更新FemtoCell的固件(Firmware)。

  实际上,运营商使用的 TR-069 协议,可以完成四个方面的工作:

  一是用户设备自动配置和动态的业务配置。

  二是对用户设备的软件、固件的管理。TR-069的协议提供了对用户设备中的软件、固件进行管理和下载的功能。

  三是对用户设备的状态和性能进行监测。

  四是对通信故障的诊断。

  但这并不代表它是安全的,或者说,对于神通广大的黑客,这都不是事儿~

  最大的问题是ACS的地址是需要在FemtoCell上配置并保存的,所以就会可能黑客修改成自己的地址。

  这里有一种安全的方法,就是在拨了安全网关之后,再联TR-069服务器。

  准备就绪后,首先要 root。root才能获得设备的全部权限,才能在FemtoCell上运行自己的程序。具体做法因设备而异,运气好可以直接利用JTAG、UART等调试接口,运气不好可能要从旧设备里读出Firmware再加以修改后写回去。

  root用到的设备非常简单,基本上数字万用表、CP2102、杜邦线、SEGGER J-Link就够了,要专业一些,还可以配上Bus Pirate、JTAGulator、NAND Flash读写器等。root的软件,最重要的是TR-069,推荐使用 GenieACS,还有IDA Pro、OpenOCD等。

  root 之后可以破解 IPsec,侦听往来通信,甚至修改通信的内容而不被发现。因为FemtoCell 本来就是合法的运营商基站,在实施攻击的时候,发往用户手机的数据和短信都被认为是合法的,而在内容层面也不会有任何的安全验证。

  第三步,“开门”

  在root FemtoCell以后,就可以联入到运营商的核心网,实施信令攻击。为什么要联运营商的核心网?

  搞事情啊!

  获得认证加密五元组(IK,CK,AUTN,RAND,XRES),四元组(Kasme,AUTN,RAND,XRES)

  不用去现场,坐在家里就可以通过信令监控任意的手机,获得它的位置、通信内容,还可以远程植入木马。

  当然,进入运营商核心网的具体做法也要视情况而定。通常是在FemtoCell上运行一个自己写好的代理程序。

  那是否可以脱离 FemtoCell 直连核心网呢?

  答案是可以。

  原因就是京信、中兴的FemtoCell使用软SIM,在文件系统里的某一个文件里写了密钥,把这个密钥取出来以后,通过 strongSwan (需要修改代码),就可以用自己的PC拨通运营商的安全网关。

  较为困难的是使用真 SIM 卡的华为等FemtoCell,需要PC/SC读卡器,还要做strongSwan代码方面的更多修改。

  通过FemtoCell 联接运营商核心网的主要问题是容易被反向追踪,实际上现在更普遍的方法是用互联网去联运营商的核心网。

  主要步骤是,

  找到暴露在互联网上的GRX或IPX设备,通常是GGSN/MME,发送信令。

  拿下某 GRX 设备的 root 权限,进行内网漫游

  这里会用到另外一个开源软件 OpenGGSN。它可以把自己模拟成SGSN,帮你寻找GGSN,给它发信令,看看它有没有回应。

  还有一点比较有意思,如果在运营商的内网,比如用了联通或者移动的4G网络,实际上我在它的网状结构的里面,接入网的最底层的设备。从这儿往上搜索,与国外联过来进行扫描的结果差异比较大,能扫描到更多的可用设备。

  那有什么防御手段吗?

  可以看到的是,整个搭建过程并非十分复杂,但若是把出于兴趣研究的Seeker 换做是别有用心的黑客,就会让人笑不出来了。

  “FemtoCell 本身的安全机制有用,但是不足以对付一个执着的黑客。”Seeker表示。

  除了FemtoCell,Seeker发现神奇某宝上还可以便宜买到运营商正大量使用的基站设备。当然你要先知道运营商基站的典型配置,然后针对性搜索。比如运营商基站主要由 BBU 和 RRU 两部分组成,最好知道设备的具体型号,比如华为最新型号BBU3910,插不同的基带板和主控板就能支持不同的通信制式。下面的图片就是标准的华为LTE室内分布系统,包括电源,RHUB,BBU,RRU等。其中pRRU3902的功率大约125mW,有效覆盖半径约50米。

  雷锋网编辑这里算了一笔账,典型TD-LTE 配置的华为 BBU3910 大概 500-700元,RRU也很便宜,价格大概100-1000不等,常用的包括华为 pRRU3902大约200元,再加上RHUB3908和通信电源ETP48100,GPS天线等,这一套算下来不到2000元。

  这一套设备个头可是不小,加电后风扇声音很大,肯定不能随身携带,黑客不会感兴趣,但是比较适合网络安全公司搭建无线通信实验环境,从事IoT设备的安全研究。

  从网上购买了运营商的基站,为了让设备正常工作,实际上需要解决两个问题。一是基站要联 OMC,类似于 ACS,从网上可以下载华为的M2000进行破解,另外还需要联 MME,可以使用开源的OpenAirInterface里的MME。

  这一套基站跟运营商所用完全一样,只是没有联运营商的核心网,不能通过双向认证,所以不被手机认为是合法基站。如果想变身运营商合法基站,就需要能联接到运营商核心网,获得AV四元组。上面介绍的两种进入运营商核心网的方法都可以。

  看完了这些是不是陷入了深深的担忧之中?

  那是否有什么防御手段呢?

  Seeker建议,

  对于各网络公司、APP 开发者、IoT 厂商及网络服务商来说,互联网与电信网络同样不安全,必要的是有应用层的认证和加密体系。短信验证码不可信,应尽可能启用双因子认证。

  对于认证服务商、银行、运营商来说,市场需要可靠的认证基础设施,网点多的机构有优势,应尽可能可抢占先机开展服务。

  对于电信设备厂商,应增加更多安全特性,增加破解难度。

  对于电信运营商,网络建设应遵循 3GPP 安全标准,再辅以多层次防御体系,如安全审计、防火墙、蜜罐等。

  对于淘宝等电商平台,应下架运营商设备。这些设备只应该卖给运营商,不应该出现在2C的电商平台上。

  而面对国内通信行业飞速发展,运营商建设十分粗放的现状,用户所能做的除了蹙眉似乎并无他法。

  不过幸好,雷锋网(公众号:雷锋网)编辑在Seeker 演讲结束后看到他发了一条朋友圈,内容大概是:一个正义的白帽子为了防止成果被防不胜防的黑客惦记,已经将自制的伪基站埋进了某个公园的地下……

  情不自禁点个赞。

  雷锋网原创文章,未经授权禁止转载。详情见转载须知。

责任编辑:Robot RF13015
快来分享:
评论 已有 0 条评论
精彩推荐
国家卫健委:确诊830例新冠肺炎病例 死亡25例

2020-01-24 08:18:05来源:国家卫健委

卫健委专家组成员王广发病情好转 称使用一种抗艾滋病病毒的药有效

2020-01-24 08:49:42来源:金融界网站

武汉全面进入战时状态!机场、火车站离汉通道暂时关闭

2020-01-23 08:48:15来源:中国证券报

关于新型冠状病毒肺炎 这十大谣言已经被辟谣!

2020-01-23 12:56:35来源:每日经济新闻

经纪人眼中的楼市:超1/3从业者去年成交2套以下

2020-01-23 08:02:54来源:北京商报

宋雪涛:最后一周的几个重要增量信息

2020-01-23 09:28:07来源:金融界网站

确诊病例473例!湖北拟请求紧急支援口罩、防护服等医用物资

2020-01-22 21:46:23来源:每日经济新闻

31省份2019年房地产投资:广东近1.6万亿居首 4地负增长

2020-01-23 09:57:50来源:中新经纬

北向资金净流出超80亿元

2020-01-23 13:26:10来源:上海证券报·中国证券网

央行23日开展2405亿元TMLF

2020-01-23 10:04:00来源:中国证券报·中证网

收费85万就可颁奖了?违规表彰鸿茅药业 民政部出手了

2020-01-23 07:57:10来源:券商中国

阿里成就于2003 线上销量又将成就谁的2020?

2020-01-23 07:43:05来源:Wind资讯

150人医疗队出发赴武汉

2020-01-24 19:31:19来源:央视

公司董事炒自家股票亏2600元 亏的不是钱而是良心

2020-01-22 12:37:10来源:金融界网站

口罩涨价3倍“一罩难求” 概念龙头仅为临时工停产多年

2020-01-21 10:27:55来源:猫财经

意大利出现新冠肺炎疑似病例 患者曾赴武汉演出

2020-01-24 16:03:58来源:人民日报

央行清算中心提高小额贷记业务单笔上限至5亿元

2020-01-24 14:42:55来源:上海证券报·中国证券网

天津动车客运段乘务车间出现聚集性发病被封控

2020-01-24 13:00:30来源:金融界网站

广东新型冠状病毒感染肺炎确诊病例

2020-01-24 11:18:51来源:时代周报

国家卫健委:累计报告新型冠状病毒感染的肺炎确诊病例830例

2020-01-24 08:15:29来源:金融界网站

加载更多

更多>> 以下为您的最近访问股
全网|财经|股票|理财 24小时点击排行