“我為了得到一個授權(quán)書，比他媽西天取經(jīng)都難！”

電影《泰囧》中，高博為了幾個億的合同授權(quán)書，煞費苦心跟蹤徐朗，各種高科技跟蹤手段輪番上陣。不僅博得觀眾一笑，怕是賣定位追蹤技術的也笑了。

當然，里面用到的手段只是常用定位技術的其中一兩種，實際像基站定位、wifi定位、IP定位、RFID/二維碼等標簽識別定位、藍牙定位、聲波定位、場景識別定位……只有你想不到，沒有跟不到。

而今天要說到的就是基站定位。

你眼中的基站是怎樣的？

這樣的？

還是這樣的？

醒醒，今天我們要說的是 FemtoCell 家用基站，醬兒的~

FemtoCell 是一種小型、低功率蜂窩基站，主要用于家庭及辦公室等室內(nèi)場所，用戶只要將 FemtoCell 接入基于IP的網(wǎng)絡中就可以在家中更好地使用移動電話，而且還是運營商送上門，用戶不花錢！

但是，用戶觸手可及的 FemtoCell 也常被一票任性的黑客惦記，甚至黑客可以在搭建 FemtoCell 之后，迅速地將其改造成偽基站短信群發(fā)器和流量嗅探器。

試想，你的曖昧短信、通話、數(shù)據(jù)流量被竊聽是多么恐怖。

最近雷鋒網(wǎng)編輯聽了一場 Seeker 的演講，主題是“某寶上的電信設備與 IoT 安全”。

Seeker 的個人簡介依舊個性，甚至在問到為何做這方面研究時也是言簡意賅的一句好玩。

不知攻，焉知防。

當白帽子披上黑帽子的外衣，利用 FemtoCell 能做哪些暗戳戳的事情？Seeker 進行了解密。

第一步，“招兵買馬”

把大象裝進冰箱只需要三步，而利用 FemtoCell 監(jiān)聽定位需要幾步？

首先要搭建一個家用基站，即買設備。

FemtoCell很容易從某寶上買到，當然你先要知道如何針對性搜索。

這里可以參考一下大神 Seeker 的購買清單：

移動：GSM：京信HMB-10

TD-SCDMA：京信HNB-33、博威HN1200

TD-LTE：中興BS8102

聯(lián)通：華為UAP2105、UAP2816、UAP2835、UAP2855

華為ePico3801、華為ePico3802

電信：華為ePico3680

這些FemtoCell價格很便宜，每種Seeker都買了不止一套，最低的20元，最貴的450元。

第二步，“拿鑰匙”

我們先來觀察一幅圖。

這是典型的3G網(wǎng)絡結(jié)構(gòu)。最左邊的是手持終端，中間部分是兩類基站，3G 的時候叫 Node B，與 RNC 配合對接運營商核心網(wǎng)，最后聯(lián)接到互聯(lián)網(wǎng)。而在 FemtoCell 中叫做 Home Node B，它會通過互聯(lián)網(wǎng)和安全網(wǎng)關SeGW通信，隨后聯(lián)接到運營商核心網(wǎng)絡。

幾乎所有FemtoCell都會聯(lián)接自動配置服務器 ACS。ACS使用TR-069協(xié)議，用來下發(fā)配置文件，包括配置 Home Node B 地址，以及更新FemtoCell的固件（Firmware）。

實際上，運營商使用的 TR-069 協(xié)議，可以完成四個方面的工作：

一是用戶設備自動配置和動態(tài)的業(yè)務配置。

二是對用戶設備的軟件、固件的管理。TR-069的協(xié)議提供了對用戶設備中的軟件、固件進行管理和下載的功能。

三是對用戶設備的狀態(tài)和性能進行監(jiān)測。

四是對通信故障的診斷。

但這并不代表它是安全的，或者說，對于神通廣大的黑客，這都不是事兒~

最大的問題是ACS的地址是需要在FemtoCell上配置并保存的，所以就會可能黑客修改成自己的地址。

這里有一種安全的方法，就是在撥了安全網(wǎng)關之后，再聯(lián)TR-069服務器。

準備就緒后，首先要 root。root才能獲得設備的全部權(quán)限，才能在FemtoCell上運行自己的程序。具體做法因設備而異，運氣好可以直接利用JTAG、UART等調(diào)試接口，運氣不好可能要從舊設備里讀出Firmware再加以修改后寫回去。

root用到的設備非常簡單，基本上數(shù)字萬用表、CP2102、杜邦線、SEGGER J-Link就夠了，要專業(yè)一些，還可以配上Bus Pirate、JTAGulator、NAND Flash讀寫器等。root的軟件，最重要的是TR-069，推薦使用 GenieACS，還有IDA Pro、OpenOCD等。

root 之后可以破解 IPsec，偵聽往來通信，甚至修改通信的內(nèi)容而不被發(fā)現(xiàn)。因為FemtoCell 本來就是合法的運營商基站，在實施攻擊的時候，發(fā)往用戶手機的數(shù)據(jù)和短信都被認為是合法的，而在內(nèi)容層面也不會有任何的安全驗證。

第三步，“開門”

在root FemtoCell以后，就可以聯(lián)入到運營商的核心網(wǎng)，實施信令攻擊。為什么要聯(lián)運營商的核心網(wǎng)？

搞事情啊！

獲得認證加密五元組（IK，CK，AUTN，RAND，XRES），四元組（Kasme，AUTN，RAND，XRES）

不用去現(xiàn)場，坐在家里就可以通過信令監(jiān)控任意的手機，獲得它的位置、通信內(nèi)容，還可以遠程植入木馬。

當然，進入運營商核心網(wǎng)的具體做法也要視情況而定。通常是在FemtoCell上運行一個自己寫好的代理程序。

那是否可以脫離 FemtoCell 直連核心網(wǎng)呢？

答案是可以。

原因就是京信、中興的FemtoCell使用軟SIM，在文件系統(tǒng)里的某一個文件里寫了密鑰，把這個密鑰取出來以后，通過 strongSwan （需要修改代碼 ），就可以用自己的PC撥通運營商的安全網(wǎng)關。

較為困難的是使用真 SIM 卡的華為等FemtoCell，需要PC/SC讀卡器，還要做strongSwan代碼方面的更多修改。

通過FemtoCell 聯(lián)接運營商核心網(wǎng)的主要問題是容易被反向追蹤，實際上現(xiàn)在更普遍的方法是用互聯(lián)網(wǎng)去聯(lián)運營商的核心網(wǎng)。

主要步驟是，

找到暴露在互聯(lián)網(wǎng)上的GRX或IPX設備，通常是GGSN/MME，發(fā)送信令。

拿下某 GRX 設備的 root 權(quán)限，進行內(nèi)網(wǎng)漫游

這里會用到另外一個開源軟件 OpenGGSN。它可以把自己模擬成SGSN，幫你尋找GGSN，給它發(fā)信令，看看它有沒有回應。

還有一點比較有意思，如果在運營商的內(nèi)網(wǎng)，比如用了聯(lián)通或者移動的4G網(wǎng)絡，實際上我在它的網(wǎng)狀結(jié)構(gòu)的里面，接入網(wǎng)的最底層的設備。從這兒往上搜索，與國外聯(lián)過來進行掃描的結(jié)果差異比較大，能掃描到更多的可用設備。

那有什么防御手段嗎？

可以看到的是，整個搭建過程并非十分復雜，但若是把出于興趣研究的 Seeker 換做是別有用心的黑客，就會讓人笑不出來了。

“FemtoCell 本身的安全機制有用，但是不足以對付一個執(zhí)著的黑客?！盨eeker表示。

除了FemtoCell，Seeker發(fā)現(xiàn)神奇某寶上還可以便宜買到運營商正大量使用的基站設備。當然你要先知道運營商基站的典型配置，然后針對性搜索。比如運營商基站主要由 BBU 和 RRU 兩部分組成，最好知道設備的具體型號，比如華為最新型號BBU3910，插不同的基帶板和主控板就能支持不同的通信制式。下面的圖片就是標準的華為LTE室內(nèi)分布系統(tǒng)，包括電源，RHUB，BBU，RRU等。其中pRRU3902的功率大約125mW，有效覆蓋半徑約50米。

雷鋒網(wǎng)編輯這里算了一筆賬，典型TD-LTE 配置的華為 BBU3910 大概 500-700元，RRU也很便宜，價格大概100-1000不等，常用的包括華為 pRRU3902大約200元，再加上RHUB3908和通信電源ETP48100，GPS天線等，這一套算下來不到2000元。

這一套設備個頭可是不小，加電后風扇聲音很大，肯定不能隨身攜帶，黑客不會感興趣，但是比較適合網(wǎng)絡安全公司搭建無線通信實驗環(huán)境，從事IoT設備的安全研究。

從網(wǎng)上購買了運營商的基站， 為了讓設備正常工作，實際上需要解決兩個問題。一是基站要聯(lián) OMC，類似于 ACS，從網(wǎng)上可以下載華為的M2000進行破解，另外還需要聯(lián) MME，可以使用開源的OpenAirInterface里的MME。

這一套基站跟運營商所用完全一樣，只是沒有聯(lián)運營商的核心網(wǎng)，不能通過雙向認證，所以不被手機認為是合法基站。如果想變身運營商合法基站，就需要能聯(lián)接到運營商核心網(wǎng)，獲得AV四元組。上面介紹的兩種進入運營商核心網(wǎng)的方法都可以。

看完了這些是不是陷入了深深的擔憂之中？

那是否有什么防御手段呢？

Seeker建議，

對于各網(wǎng)絡公司、APP 開發(fā)者、IoT 廠商及網(wǎng)絡服務商來說，互聯(lián)網(wǎng)與電信網(wǎng)絡同樣不安全，必要的是有應用層的認證和加密體系。短信驗證碼不可信，應盡可能啟用雙因子認證。

對于認證服務商、銀行、運營商來說，市場需要可靠的認證基礎設施，網(wǎng)點多的機構(gòu)有優(yōu)勢，應盡可能可搶占先機開展服務。

對于電信設備廠商，應增加更多安全特性，增加破解難度。

對于電信運營商，網(wǎng)絡建設應遵循 3GPP 安全標準，再輔以多層次防御體系，如安全審計、防火墻、蜜罐等。

對于淘寶等電商平臺，應下架運營商設備。這些設備只應該賣給運營商，不應該出現(xiàn)在2C的電商平臺上。

而面對國內(nèi)通信行業(yè)飛速發(fā)展，運營商建設十分粗放的現(xiàn)狀，用戶所能做的除了蹙眉似乎并無他法。

不過幸好，雷鋒網(wǎng)編輯在 Seeker 演講結(jié)束后看到他發(fā)了一條朋友圈，內(nèi)容大概是：一個正義的白帽子為了防止成果被防不勝防的黑客惦記，已經(jīng)將自制的偽基站埋進了某個公園的地下……

情不自禁點個贊。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。