這次公開課請來的嘉賓對自己的簡介是:
連續創業失敗的創業導師; 僞天使投資人; 某非知名私立大學創辦人兼校長; 業餘時間在本校通信安全實驗室打雜。
自從他在黑客大會上演講《僞基站進階利用技術——徹底攻破短信驗證碼》後,黑産就盯上了這項技術。他們給能仿制這項攻擊方法的人開價保底一個月 200 萬元,外加分成。
這個攻擊方法其實1秒鐘可以血洗很多個銀行賬号。他說,保守估計一小時能帶來 7000 萬元的黑産産值。但是,他并不是為了錢。他的原話是:“短信驗證碼這種安全機制朽而不倒,我想把它推倒!”
他就是雷鋒網宅客頻道(微信id:letshome)此前曾報道過的黑客 seeker 。上次,seeker 覺得自己和雷鋒網(公衆号:雷鋒網)聊了太多“花邊八卦”,這次公開課,他決定好好聊聊“純技術”(開玩笑!依然不會放過你的八卦) ,談談如何利用 lte/4g 僞基站+gsm 中間人攻擊攻破所有短信驗證,以及應對攻略。
seeker,中國海天集團有限公司創始人兼ceo,it老兵,網絡安全專家,1994年起創業,幾經起伏,至今仍在路上,主業是開辦私立大學,研發網際網路和網絡安全類産品,提供it技術教育訓練和咨詢服務。seeker對新技術非常敏感,13歲開始程式設計,國中開始玩無線電通信,之後一直保持在網絡安全和無線通信領域的研究興趣。
seeker:我是一個連續創業者,1994年大學畢業,當年在北京中關村創辦第一家公司,從此一直在創業路上,創業方向主要是it、網際網路和教育,業務幾經起落和調整,目前公司業務主要是開辦私立大學,研發網際網路和網絡安全類産品,提供it技術教育訓練和咨詢服務。
我一直對新技術、新管理理念、新創業方法等懷有濃厚興趣,也追蹤很多科技領域的發展,算是個意識領先、比較新潮的技術派。13歲開始程式設計,國中開始玩無線電通信,是電腦神童和少年ham,之後一直保持在網絡安全和無線通信領域的研究興趣。工作的原因,我主要活躍在教育圈、創業圈和投資圈,但是業餘時間,我大部分用于網絡安全和無線通信領域的研究。
seeker:我實作的這種攻擊方法,能夠證明短信驗證碼這種安全認證機制可被輕易突破,理應盡快放棄并使用更安全的認證機制。
先簡單說說原理:攻擊者可通過架設 lte 僞基站吸引目标 lte 手機前來附着(attach),在附着過程中通過 rrc 重定向信令将該手機重定向到攻擊者預先架設的惡意網絡,通常是 gsm 僞基站,然後攻擊者用另一部手機作為攻擊手機,以目标手機的身份在營運商現網注冊,進而在現網擁有目标手機的全部身份,能夠以目标手機的身份接打電話、收發短信,這就是所謂 gsm 中間人攻擊。這種攻擊方法能夠攔截掉發給目标手機的所有短信,是以可以攻破以短信驗證碼作為身份認證機制的任何網絡服務,包括手機銀行和手機支付系統。
需要說明的是,lte rrc 重定向,不止可以對接 gsm 僞基站,還可以對接 cdma 僞基站,以及破解過的 3g、4g femto cell,同樣可以實作中間人攻擊。即使對接 gsm,某些情況下也可以不架設僞基站,直接對接現網 gsm 基站,然後使用半主動式方式來攔截短信,不用中間人攻擊也達到同樣的短信攔截效果。
lte 重定向+ gsm 中間人攻擊的适用範圍廣,破壞性強。範圍廣,是通過lte重定向攻擊來實作的,因為lte 僞基站覆寫範圍内的 95% 以上的 lte 手機會受影響。破壞性強,是通過中間人攻擊這種形式,等于手機的電話短信的全部控制權在機主無法察覺的情況下轉到了攻擊者手裡,不止可以攔截短信驗證碼,還可以組合出花樣繁多的各種利用方法。
lte重定向攻擊的首次公開,是在今年5月出版的由 360 unicorn team 合著的新書《無線電安全攻防大揭秘》中簡短提到,而在在國際上的第一次公開展示,是在 5 月底阿姆斯特丹的 hitb 上,由 360 unicorn team 的黃琳博士完成的。黃琳示範了一部中國聯通的 iphone 手機,被 lte 僞基站重定向到 gsm 僞基站,驗證了 lte 重定向攻擊的可能性。是以,我并不是第一個發現這個 lte 可利用漏洞的人。
gsm 中間人攻擊的曆史更悠久,我既不是第一個發現的人,也不是第一個實作這種攻擊方法的人。
gsm 中間人攻擊在國内 2~3 年前就有黑産應用,最常見的就是号碼采集系統,用來采集某位置附近的 gsm 手機号碼,通過 gsm 僞基站+攻擊手機劫持附近的 gsm 手機使用者的身份去撥打一個特定電話号碼,然後彙總該号碼上的未接來電。這樣在該位置附近經過的人的手機号碼就不知不覺的洩露了。還有的黑産在劫持手機使用者身份後發短信訂閱某些sp服務,因為有明顯的費用産生,使用者容易察覺到。更隐蔽的做法是用來刷單,拿到手機号碼後短時間保持身份劫持狀态以攔截短信,然後迅速的完成網絡使用者注冊開戶或者某些敏感操作的短信确認,就可以實作批量自動注冊使用者和刷單了。還有今年發現的在國際機場附近劫持手機身份,然後在國外營運商網絡裡撥打主叫高付費電話的利用方式,就更惡性了。
我發現理論上可以把 lte 重定向攻擊和 gsm 中間人攻擊這兩者組合起來,形成一個廣泛适用的,威力強大的攻擊工具。以我對黑産的觀察,這種工具遲早被黑産研發出來并加以利用。電信協定漏洞的時效性非常長,因為需要照顧現存的幾十億部手機終端。電信協定漏洞一旦被黑産利用,危害将廣泛而持久。我個人預測,黑産将首先瞄準短信驗證碼這種已被證明不安全的認證機制,并先從手機銀行和手機支付系統入手。各金融機構和網絡服務商應充分警醒,早做準備,畢竟部署另一套身份認證系統需要不少時間。為了證明這種攻擊不隻理論上成立,而且很快會真實出現,讓業界盡早放棄短信驗證碼,我程式設計實作了這種攻擊組合,并在 8 月的 kcon 黑客大會上做了演講《僞基站進階利用技術——徹底攻破短信驗證碼》。今天這次公開課,也是基于同樣目的,就是再推一把短信驗證碼這個朽而不倒,很不容易推倒的認證機制,并提出替代解決方案。
遵循負責任披露(responsible disclosure)模式,我不會對外釋出攻擊源代碼和實作的具體細節,避免被黑産從業者利用。但是我仍會披露足夠多的資訊,使各金融機構和網絡服務商能充分重視,了解到安全威脅的嚴重性并準備替代解決方案。
以上是背景資訊,下面進入正題。以下内容假設群友已初步了解 gsm 和 lte 的基礎知識。
lte rrc重定向在現網中頻繁使用,多見于lte手機接打電話時的電路域回落(csfb),是指lte系統通過 rrcconnectionrelease 消息中的 redirectedcarrierinfo 訓示手機/使用者裝置(ue)在離開連接配接态後要嘗試駐留到指定的系統/頻點。ue會先釋放掉目前連接配接,然後重定向到訓示的頻點重建立立連接配接。
lte rrc 重定向攻擊的原理:lte 僞基站吸引 lte 手機前來附着,在收到手機發來附着請求(attach request)之後,安全流程啟動之前,直接下發nas消息拒絕附着(attach reject),緊接着下發 rrcconnectionrelease 消息,該消息攜帶 redirectedcarrierinfo 資訊,訓示手機關閉目前連接配接,然後轉到攻擊者訓示的網絡(2g/3g/4g)和頻點(arfcn),通常是預先架設好的惡意網絡,去建立連接配接,進而友善攻擊者實施下一步攻擊。
lte rrc 重定向攻擊成立的原因:lte 下手機(ue)和基站(enodeb)應該是雙向認證的,按理說不應該出現未認證基站真僞,就聽從基站指令的情況。3gpp制定協定标準時,應該是在可用性和安全性不可兼得的情況下選擇了可用性,放棄了安全性,即考慮發生緊急情況、突發事件時可能産生大量手機業務請求,網絡可用性對于保證生命、财産安全至關重要,需要能及時排程網絡請求,轉移壓力,這時候大量的鑒權、加密、完整性檢查等安全措施可能導緻網絡瓶頸,是以被全部舍棄。
lte 僞基站的搭建:硬體:高性能pc、bladerf(或usrp b2x0)、天饋系統;軟體:ubuntu linux、openairinterface。相比 openlte,oai 的代碼要成熟穩定的多,而且同時支援 tdd 和 fdd lte 。
lte rrc重定向攻擊的程式設計實作:oai(openairinterface)代碼中定義了 r8 和 r9 的 rrcconnectionrelase, 但是沒有調用邏輯; 需要修改 mme 和 enodeb 的代碼,增加相應邏輯。
下面介紹 gsm 中間人攻擊的原理:在目标 gsm 手機和營運商 gsm 基站之間插入一台gsm僞基站和一部gsm攻擊手機。在目标附近啟動僞基站,誘使目标手機來駐留(camping),同時調用攻擊手機去附着(attach)現網的營運商基站,如果現網要求鑒權,就把鑒權請求(authentication request)通過僞基站發給目标手機,目标手機傳回鑒權響應 ( authentication response ) 給僞基站後,該鑒權響應先傳給攻擊手機,攻擊手機再轉發給現網,最後鑒權完成,攻擊手機就以目标手機的身份成功注冊在現網上了。之後收發短信或接打電話時,如果現網不要求鑒權,就可以由攻擊手機直接完成,如果需要鑒權,就再次調用僞基站向目标手機發起鑒權請求,之後把收到的鑒權響應轉發給現網的營運商基站。
gsm 僞基站的搭建:硬體:普通 pc、usrp b2x0 + 天線(或motorola c118/c139 + cp2102)。軟體:ubuntu linux、openbsc。openbsc:由osmocom發起并維護的一套高性能、接口開放的開源gsm/gprs基站系統。
gsm 攻擊手機的搭建:硬體:普通pc、motorola c118/c139 + cp2102。軟體:ubuntu linux、osmocombb。osmocombb:基于一套洩露的手機基帶源代碼重寫的開源的gsm基帶項目,隻能支援ti calypso基帶處理器。被用來參考的那套洩露源代碼不完整,隻有90+%的源代碼,部分連接配接庫沒有源代碼,而且也缺少dsp的代碼。osmocombb 被設計成黑客的實驗工具,而不是供普通使用者使用的手機系統,其layer 2和3是在pc上運作的,友善黑客編寫和修改代碼,實作自己的某些功能。
gsm 中間人(mitm)攻擊的程式設計實作(openbsc):實作僞基站的基本功能;将附着手機的imsi發給mitm攻擊手機;接收來自攻擊手機的鑒權請求,并向目标手機發起網絡鑒權;将從目标手機接收到的鑒權響應發回給攻擊手機。
gsm 中間人(mitm)攻擊的程式設計實作(osmocombb):接收僞基站發來的 imsi ;以此 imsi 向對應營運商網絡發起位置更新(location update)請求;如果營運商網絡要求鑒權,則将收到的鑒權請求發給僞基站;接收僞基站發回的鑒權響應,轉發給營運商網絡,完成鑒權;開始使用仿冒身份執行攻擊向量:接收/發送短信, 撥打/接聽電話。如果某個操作需要鑒權,則重複之前的鑒權流程。
lte rrc 重定向攻擊的運作截圖:
gsm mitm 攻擊的運作截圖:
黑産可能的利用方式(輕量級):背包、小功率、小範圍。每次影響少數幾人,屬于針對性攻擊。
圖中的 usrp b200mini 用來實作lte僞基站,一部 motorola c139 用來實作 gsm 僞基站,一部 motorola c118 用來實作攻擊手機。
黑産可能的利用方式(普通):架高/車載/背包、大功率、大範圍。影響很多人,屬于無差别攻擊。lte 僞基站将能覆寫半徑 300 米内 95% 的lte手機,峰值性能每秒可重定向 15-20 部 lte 手機。每台 lte 僞基站,需要4-5台gsm僞基站和100-150部攻擊手機來對接。gsm 僞基站以合适的參數和方式架設,覆寫範圍非常大,lte手機一旦被lte僞基站吸引并重定向到 gsm 僞基站,其駐留時間将足以完成幾十次短信驗證碼的接收。攻擊手機因為是通過 udp 協定與 gsm 僞基站協同工作,理論上可以分散在網際網路覆寫的任何地方。一旦這樣的一套攻擊系統被黑産架設起來,最壞的情況,将能以每秒 20 個手機使用者的速度血洗他們的所有銀行帳戶,最好的情況,是被黑産用來刷單,每秒可完成約 100 次帳戶注冊。這樣的系統威力很強,已超越黑産過去所擁有的各種攻擊手段。
seeker:1) 影響全部4g/lte手機,快速簡單粗暴。
2) 資訊洩露。
3) 資金損失。
4) 如果被黑産利用,1秒可能血洗20部手機綁定的全部銀行賬戶,1小時就可轉款7000萬元。
seeker:普通使用者沒有直接的辦法。金融機構和網絡服務商應盡快放棄短信驗證碼這種不安全的安全認證機制。
seeker:沒有得到官方的表态。電信業的朋友個人觀點,主要是說電信是管道,是基礎設施,應用安全應由商家自己負責解決。這跟tcp/ip協定和網際網路的發展曆史一樣,從最初完全沒有安全機制,到部分協定有安全機制,協定在不斷更新完善,但是商家仍然都預設網際網路不安全,進而必須自己在應用層設有安全機制。同理,電信網絡也不能被信任,應在假設電信網絡不安全的前提下設計應用層的安全機制。
seeker:1) 危害大:各種重要操作普遍使用短信驗證碼作為安全機制;2) 短信驗證碼朽而不倒,需要推倒;3) 補充說明: 這隻是我更廣泛的滲透入侵研究的一部分,算是過程中的副産品。示範攻破手機銀行賬戶隻是為了證明危害性。
seeker:1) 解決方案:使用真正的雙因子認證系統,然後盡可能照顧使用者的易用性。2) 普通使用者:等待。3) 應用服務提供商:未雨綢缪,技術準備。4) 銀行/電信等:商機,提供雙因子認證的基礎設施服務。5) 我:提供解決方案和咨詢服務。
seeker:1) 手機是獲得個人資訊/敏感資料/權限的通道。2) 手機經常被攜帶進出辦公區域。在辦公區域外,就是突破的好時機。3) 手機可被多方式多層次滲透突破。4) 手機早已是滲透入侵大型網路時最好的突破口,隻不過之前的入侵多是以網際網路為通路,多半是利用wifi完成木馬植入,植入的效率不高。
seeker:1) sim卡:ota推送小程式;2) 基帶:蜂窩資料網絡;3) 作業系統:蜂窩資料網絡/wifi;4) 應用層:蜂窩資料網絡/wifi;5) 以上是遠端,如果能實體拿到手機,bootloader/trustzone/hlos/drm……
seeker:1) 核心網/femto cell的問題;2) 7号信令(ss7-map)/lte diameter互聯的問題;3) volte的問題。
seeker:因為我在 kcon 的那個演講的 ppt 裡留過微信号,有的黑産業者看完後就來問我能不能合作……幾乎每天都有吧。
seeker:黑産規模沒有權威數字,我也不清楚。仿制的門檻還是有一些,需要熟悉電信協定+基站射頻硬體+軟體開發的一支研發團隊。黑産現在還沒到養研發團隊的階段,研發都是單兵在做,要突破就需要一段時間了。
seeker:1) 純粹是愛好,我喜歡研究軍事/情報機關神秘技術的原理并嘗試自己實作。2) 也是創業壓力的釋放,數字世界比真實世界更容易掌控。3) 主業是創業。從挑戰的角度,創業成功更具挑戰。從更廣泛的角度,社會本身是個大系統,是施展才華的更大戰場。4) 本人笃信社會價值創造理論,不創造社會價值的事都走不遠。
seeker:1) 開源移動通信項目,基礎/平台性質;2) 4g/5g安全測試平台,測試基帶安全;3) 定位和攻擊僞基站;4) 營運商安全路測,測試基站配置隐患,衆包方式。
seeker:1) 沒什麼經驗。人的精力都是有限的,我在黑客技術上的突破,通常發生在創業失敗或主業的低谷時期。是以,根據目前我的技術表現,可以很容易的反推出我在企業發展上遇到了困難。
2) 保持技術不落伍,我有些經驗:掌握原理看透本質,堅決拿下生命周期長的基礎原理/核心技術,不在那些快速變化的浮華外表和細枝末節上浪費時間。
3) 另外補充一下,我不認為自己是商人。成功的企業家一定同時是成功的商人,但成功的商人不一定是成功的企業家。我雖然還算不上是成功的企業家,但從我決定創業的第一天,就是受企業家精神的驅動。
4) 之前我說過自己是個技術派,是以我以泛技術的視角來看待這個世界,我認為研發是技術,營銷是技術,财務是技術,管理是技術,創業也是技術,這個世界就是一個技術的世界,隻要是技術的,都應該不難掌握。如果說黑客技術是在一個比較窄的領域的一種智力遊戲,那麼在這個廣闊的世界裡創業和競争,就更是一種有挑戰有成就感的智力遊戲。我花了更多精力在研究怎麼做企業,比投在安全領域的精力多多了,從技術角度看已掌握了做企業的很多知識,按理說早該有所建樹了。後來我發現我錯了,這個世界是個複雜系統,而且很多東西比如管理即是技術同時也是藝術。複雜系統包含着不确定性,不是簡單的邏輯推演成立結果就必然成立,這個跟黑客的數字世界是不一樣的。是以,當我在現實世界受挫之後,跑回到數字世界去尋找 100% 掌控的感覺,也算是一種心理治療吧。
seeker:1) 我喜歡遍尋天下高手交流切磋技術,經常陌生拜訪認識新朋友。2) 國内研究無線安全的氛圍不濃,難得有一個專門研究無線安全的團隊,大家惺惺相惜。3) 答應擔任獨角獸團隊的榮譽顧問,未來可能會有研究合作。
seeker:1) 本次講座是為了推倒短信驗證碼這種不安全的認證機制,也許推倒很困難,但總要有人推。2) 黑客技術隻是智力遊戲,是業餘愛好。這個世界終究是機構比個人更有力量,建設比破壞更有價值。我更渴望做的是建立一個生态型經濟組織,專注某一自己擅長領域的社會價值創造,以共同願景和高效率的價值創造來吸引和凝聚社會資源為自己所用,組織應能自我學習成長變異進化,并最終能真正推動所在領域的社會進步。這個野心和願景更吸引我。3) 打擊黑産,不遺餘力。4) 如有戰事,當為國效力。5) 願各種形式支援安全領域的創業公司。
seeker:1) 黑産沒未來,回頭是岸。2) 建設永遠比破壞更有價值,安全本身和安全以外的創新研發需要建設型人才。3) 希望有更多的人來玩無線通信和通信安全。4) 如果你有興趣一起玩通信安全,有能力和精力一起做無線通信領域的開源項目研發,請跟我聯系,我的微信:70772177。
讀者提問:如果短信驗證碼的機制不安全,哪些驗證方式是相對可靠,能替換它的?
seeker:這個問題早有答案:就是雙因子或多因子認證。問題在于過份照顧使用者體驗和競争導緻使用者數增長的壓力,使得商家普遍不願意第一個部署雙因子認證系統。誰能提供一個不顯著降低使用者體驗的安全認證系統,肯定會有很大的商機。
讀者提問:手機kali怎麼攻擊?(簡單探讨下理論吧,防止警察蜀黍追捕)
seeker:安卓手機上安裝nethunter後,就是一部黑客手機,經常用做wifi攻擊,usb口插上sdr可以做gsm僞基站,但是不足以支援lte。
讀者提問:如何評價360在 def con 上展示如何黑掉 4g lte 手機?
seeker:很好,為國争光,中國人适合做安全,國際黑客大會上理應有更多中國黑客去分享。