“我為了得到一個(gè)授權(quán)書(shū)，比他媽西天取經(jīng)都難！”

電影《泰囧》中，高博為了幾個(gè)億的合同授權(quán)書(shū)，煞費(fèi)苦心跟蹤徐朗，各種高科技跟蹤手段輪番上陣。不僅博得觀眾一笑，怕是賣(mài)定位追蹤技術(shù)的也笑了。

當(dāng)然，里面用到的手段只是常用定位技術(shù)的其中一兩種，實(shí)際像基站定位、wifi定位、IP定位、RFID/二維碼等標(biāo)簽識(shí)別定位、藍(lán)牙定位、聲波定位、場(chǎng)景識(shí)別定位……只有你想不到，沒(méi)有跟不到。

而今天要說(shuō)到的就是基站定位。

你眼中的基站是怎樣的？

這樣的？

還是這樣的？

醒醒，今天我們要說(shuō)的是 FemtoCell 家用基站，醬兒的~

FemtoCell 是一種小型、低功率蜂窩基站，主要用于家庭及辦公室等室內(nèi)場(chǎng)所，用戶(hù)只要將 FemtoCell 接入基于IP的網(wǎng)絡(luò)中就可以在家中更好地使用移動(dòng)電話，而且還是運(yùn)營(yíng)商送上門(mén)，用戶(hù)不花錢(qián)！

但是，用戶(hù)觸手可及的 FemtoCell 也常被一票任性的黑客惦記，甚至黑客可以在搭建 FemtoCell 之后，迅速地將其改造成偽基站短信群發(fā)器和流量嗅探器。

試想，你的曖昧短信、通話、數(shù)據(jù)流量被竊聽(tīng)是多么恐怖。

最近雷鋒網(wǎng)編輯聽(tīng)了一場(chǎng) Seeker 的演講，主題是“某寶上的電信設(shè)備與 IoT 安全”。

Seeker 的個(gè)人簡(jiǎn)介依舊個(gè)性，甚至在問(wèn)到為何做這方面研究時(shí)也是言簡(jiǎn)意賅的一句好玩。

不知攻，焉知防。

當(dāng)白帽子披上黑帽子的外衣，利用 FemtoCell 能做哪些暗戳戳的事情？Seeker 進(jìn)行了解密。

第一步，“招兵買(mǎi)馬”

把大象裝進(jìn)冰箱只需要三步，而利用 FemtoCell 監(jiān)聽(tīng)定位需要幾步？

首先要搭建一個(gè)家用基站，即買(mǎi)設(shè)備。

FemtoCell很容易從某寶上買(mǎi)到，當(dāng)然你先要知道如何針對(duì)性搜索。

這里可以參考一下大神 Seeker 的購(gòu)買(mǎi)清單：

移動(dòng)：GSM：京信HMB-10

TD-SCDMA：京信HNB-33、博威HN1200

TD-LTE：中興BS8102

聯(lián)通：華為UAP2105、UAP2816、UAP2835、UAP2855

華為ePico3801、華為ePico3802

電信：華為ePico3680

這些FemtoCell價(jià)格很便宜，每種Seeker都買(mǎi)了不止一套，最低的20元，最貴的450元。

第二步，“拿鑰匙”

我們先來(lái)觀察一幅圖。

這是典型的3G網(wǎng)絡(luò)結(jié)構(gòu)。最左邊的是手持終端，中間部分是兩類(lèi)基站，3G 的時(shí)候叫 Node B，與 RNC 配合對(duì)接運(yùn)營(yíng)商核心網(wǎng)，最后聯(lián)接到互聯(lián)網(wǎng)。而在 FemtoCell 中叫做 Home Node B，它會(huì)通過(guò)互聯(lián)網(wǎng)和安全網(wǎng)關(guān)SeGW通信，隨后聯(lián)接到運(yùn)營(yíng)商核心網(wǎng)絡(luò)。

幾乎所有FemtoCell都會(huì)聯(lián)接自動(dòng)配置服務(wù)器 ACS。ACS使用TR-069協(xié)議，用來(lái)下發(fā)配置文件，包括配置 Home Node B 地址，以及更新FemtoCell的固件（Firmware）。

實(shí)際上，運(yùn)營(yíng)商使用的 TR-069 協(xié)議，可以完成四個(gè)方面的工作：

一是用戶(hù)設(shè)備自動(dòng)配置和動(dòng)態(tài)的業(yè)務(wù)配置。

二是對(duì)用戶(hù)設(shè)備的軟件、固件的管理。TR-069的協(xié)議提供了對(duì)用戶(hù)設(shè)備中的軟件、固件進(jìn)行管理和下載的功能。

三是對(duì)用戶(hù)設(shè)備的狀態(tài)和性能進(jìn)行監(jiān)測(cè)。

四是對(duì)通信故障的診斷。

但這并不代表它是安全的，或者說(shuō)，對(duì)于神通廣大的黑客，這都不是事兒~

最大的問(wèn)題是ACS的地址是需要在FemtoCell上配置并保存的，所以就會(huì)可能黑客修改成自己的地址。

這里有一種安全的方法，就是在撥了安全網(wǎng)關(guān)之后，再聯(lián)TR-069服務(wù)器。

準(zhǔn)備就緒后，首先要 root。root才能獲得設(shè)備的全部權(quán)限，才能在FemtoCell上運(yùn)行自己的程序。具體做法因設(shè)備而異，運(yùn)氣好可以直接利用JTAG、UART等調(diào)試接口，運(yùn)氣不好可能要從舊設(shè)備里讀出Firmware再加以修改后寫(xiě)回去。

root用到的設(shè)備非常簡(jiǎn)單，基本上數(shù)字萬(wàn)用表、CP2102、杜邦線、SEGGER J-Link就夠了，要專(zhuān)業(yè)一些，還可以配上Bus Pirate、JTAGulator、NAND Flash讀寫(xiě)器等。root的軟件，最重要的是TR-069，推薦使用 GenieACS，還有IDA Pro、OpenOCD等。

root 之后可以破解 IPsec，偵聽(tīng)往來(lái)通信，甚至修改通信的內(nèi)容而不被發(fā)現(xiàn)。因?yàn)镕emtoCell 本來(lái)就是合法的運(yùn)營(yíng)商基站，在實(shí)施攻擊的時(shí)候，發(fā)往用戶(hù)手機(jī)的數(shù)據(jù)和短信都被認(rèn)為是合法的，而在內(nèi)容層面也不會(huì)有任何的安全驗(yàn)證。

第三步，“開(kāi)門(mén)”

在root FemtoCell以后，就可以聯(lián)入到運(yùn)營(yíng)商的核心網(wǎng)，實(shí)施信令攻擊。為什么要聯(lián)運(yùn)營(yíng)商的核心網(wǎng)？

搞事情??！

獲得認(rèn)證加密五元組（IK，CK，AUTN，RAND，XRES），四元組（Kasme，AUTN，RAND，XRES）

不用去現(xiàn)場(chǎng)，坐在家里就可以通過(guò)信令監(jiān)控任意的手機(jī)，獲得它的位置、通信內(nèi)容，還可以遠(yuǎn)程植入木馬。

當(dāng)然，進(jìn)入運(yùn)營(yíng)商核心網(wǎng)的具體做法也要視情況而定。通常是在FemtoCell上運(yùn)行一個(gè)自己寫(xiě)好的代理程序。

那是否可以脫離 FemtoCell 直連核心網(wǎng)呢？

答案是可以。

原因就是京信、中興的FemtoCell使用軟SIM，在文件系統(tǒng)里的某一個(gè)文件里寫(xiě)了密鑰，把這個(gè)密鑰取出來(lái)以后，通過(guò) strongSwan （需要修改代碼 ），就可以用自己的PC撥通運(yùn)營(yíng)商的安全網(wǎng)關(guān)。

較為困難的是使用真 SIM 卡的華為等FemtoCell，需要PC/SC讀卡器，還要做strongSwan代碼方面的更多修改。

通過(guò)FemtoCell 聯(lián)接運(yùn)營(yíng)商核心網(wǎng)的主要問(wèn)題是容易被反向追蹤，實(shí)際上現(xiàn)在更普遍的方法是用互聯(lián)網(wǎng)去聯(lián)運(yùn)營(yíng)商的核心網(wǎng)。

主要步驟是，

找到暴露在互聯(lián)網(wǎng)上的GRX或IPX設(shè)備，通常是GGSN/MME，發(fā)送信令。

拿下某 GRX 設(shè)備的 root 權(quán)限，進(jìn)行內(nèi)網(wǎng)漫游

這里會(huì)用到另外一個(gè)開(kāi)源軟件 OpenGGSN。它可以把自己模擬成SGSN，幫你尋找GGSN，給它發(fā)信令，看看它有沒(méi)有回應(yīng)。

還有一點(diǎn)比較有意思，如果在運(yùn)營(yíng)商的內(nèi)網(wǎng)，比如用了聯(lián)通或者移動(dòng)的4G網(wǎng)絡(luò)，實(shí)際上我在它的網(wǎng)狀結(jié)構(gòu)的里面，接入網(wǎng)的最底層的設(shè)備。從這兒往上搜索，與國(guó)外聯(lián)過(guò)來(lái)進(jìn)行掃描的結(jié)果差異比較大，能掃描到更多的可用設(shè)備。

那有什么防御手段嗎？

可以看到的是，整個(gè)搭建過(guò)程并非十分復(fù)雜，但若是把出于興趣研究的 Seeker 換做是別有用心的黑客，就會(huì)讓人笑不出來(lái)了。

“FemtoCell 本身的安全機(jī)制有用，但是不足以對(duì)付一個(gè)執(zhí)著的黑客。”Seeker表示。

除了FemtoCell，Seeker發(fā)現(xiàn)神奇某寶上還可以便宜買(mǎi)到運(yùn)營(yíng)商正大量使用的基站設(shè)備。當(dāng)然你要先知道運(yùn)營(yíng)商基站的典型配置，然后針對(duì)性搜索。比如運(yùn)營(yíng)商基站主要由 BBU 和 RRU 兩部分組成，最好知道設(shè)備的具體型號(hào)，比如華為最新型號(hào)BBU3910，插不同的基帶板和主控板就能支持不同的通信制式。下面的圖片就是標(biāo)準(zhǔn)的華為L(zhǎng)TE室內(nèi)分布系統(tǒng)，包括電源，RHUB，BBU，RRU等。其中pRRU3902的功率大約125mW，有效覆蓋半徑約50米。

雷鋒網(wǎng)編輯這里算了一筆賬，典型TD-LTE 配置的華為 BBU3910 大概 500-700元，RRU也很便宜，價(jià)格大概100-1000不等，常用的包括華為 pRRU3902大約200元，再加上RHUB3908和通信電源ETP48100，GPS天線等，這一套算下來(lái)不到2000元。

這一套設(shè)備個(gè)頭可是不小，加電后風(fēng)扇聲音很大，肯定不能隨身攜帶，黑客不會(huì)感興趣，但是比較適合網(wǎng)絡(luò)安全公司搭建無(wú)線通信實(shí)驗(yàn)環(huán)境，從事IoT設(shè)備的安全研究。

從網(wǎng)上購(gòu)買(mǎi)了運(yùn)營(yíng)商的基站， 為了讓設(shè)備正常工作，實(shí)際上需要解決兩個(gè)問(wèn)題。一是基站要聯(lián) OMC，類(lèi)似于 ACS，從網(wǎng)上可以下載華為的M2000進(jìn)行破解，另外還需要聯(lián) MME，可以使用開(kāi)源的OpenAirInterface里的MME。

這一套基站跟運(yùn)營(yíng)商所用完全一樣，只是沒(méi)有聯(lián)運(yùn)營(yíng)商的核心網(wǎng)，不能通過(guò)雙向認(rèn)證，所以不被手機(jī)認(rèn)為是合法基站。如果想變身運(yùn)營(yíng)商合法基站，就需要能聯(lián)接到運(yùn)營(yíng)商核心網(wǎng)，獲得AV四元組。上面介紹的兩種進(jìn)入運(yùn)營(yíng)商核心網(wǎng)的方法都可以。

看完了這些是不是陷入了深深的擔(dān)憂之中？

那是否有什么防御手段呢？

Seeker建議，

對(duì)于各網(wǎng)絡(luò)公司、APP 開(kāi)發(fā)者、IoT 廠商及網(wǎng)絡(luò)服務(wù)商來(lái)說(shuō)，互聯(lián)網(wǎng)與電信網(wǎng)絡(luò)同樣不安全，必要的是有應(yīng)用層的認(rèn)證和加密體系。短信驗(yàn)證碼不可信，應(yīng)盡可能啟用雙因子認(rèn)證。

對(duì)于認(rèn)證服務(wù)商、銀行、運(yùn)營(yíng)商來(lái)說(shuō)，市場(chǎng)需要可靠的認(rèn)證基礎(chǔ)設(shè)施，網(wǎng)點(diǎn)多的機(jī)構(gòu)有優(yōu)勢(shì)，應(yīng)盡可能可搶占先機(jī)開(kāi)展服務(wù)。

對(duì)于電信設(shè)備廠商，應(yīng)增加更多安全特性，增加破解難度。

對(duì)于電信運(yùn)營(yíng)商，網(wǎng)絡(luò)建設(shè)應(yīng)遵循 3GPP 安全標(biāo)準(zhǔn)，再輔以多層次防御體系，如安全審計(jì)、防火墻、蜜罐等。

對(duì)于淘寶等電商平臺(tái)，應(yīng)下架運(yùn)營(yíng)商設(shè)備。這些設(shè)備只應(yīng)該賣(mài)給運(yùn)營(yíng)商，不應(yīng)該出現(xiàn)在2C的電商平臺(tái)上。

而面對(duì)國(guó)內(nèi)通信行業(yè)飛速發(fā)展，運(yùn)營(yíng)商建設(shè)十分粗放的現(xiàn)狀，用戶(hù)所能做的除了蹙眉似乎并無(wú)他法。

不過(guò)幸好，雷鋒網(wǎng)編輯在 Seeker 演講結(jié)束后看到他發(fā)了一條朋友圈，內(nèi)容大概是：一個(gè)正義的白帽子為了防止成果被防不勝防的黑客惦記，已經(jīng)將自制的偽基站埋進(jìn)了某個(gè)公園的地下……

情不自禁點(diǎn)個(gè)贊。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。