2000元不到，他就在某寶上整出了一套偽基站裝備

「我為了得到一個授權書，比他媽西天取經都難！」

電影《泰囧》中，高博為了幾個億的合同授權書，煞費苦心跟蹤徐朗，各種高科技跟蹤手段輪番上陣。不僅博得觀眾一笑，怕是賣定位追蹤技術的也笑了。

當然，裡面用到的手段只是常用定位技術的其中一兩種，實際像基站定位、wifi定位、IP定位、RFID/二維碼等標籤識別定位、藍牙定位、聲波定位、場景識別定位……只有你想不到，沒有跟不到。

而今天要說到的就是基站定位。

你眼中的基站是怎樣的？

這樣的？

還是這樣的？

醒醒，今天我們要說的是 FemtoCell 家用基站，醬兒的~

FemtoCell 是一種小型、低功率蜂窩基站，主要用於家庭及辦公室等室內場所，用戶只要將 FemtoCell 接入基於IP的網路中就可以在家中更好地使用行動電話，而且還是運營商送上門，用戶不花錢！

但是，用戶觸手可及的 FemtoCell 也常被一票任性的黑客惦記，甚至黑客可以在搭建 FemtoCell 之後，迅速地將其改造成偽基站簡訊群發器和流量嗅探器。

試想，你的曖昧簡訊、通話、數據流量被竊聽是多麼恐怖。

最近雷鋒網編輯聽了一場 Seeker 的演講，主題是「某寶上的電信設備與 IoT 安全」。

Seeker 的個人簡介依舊個性，甚至在問到為何做這方面研究時也是言簡意賅的一句好玩。

不知攻，焉知防。

當白帽子披上黑帽子的外衣，利用 FemtoCell 能做哪些暗戳戳的事情？Seeker 進行了解密。

第一步，「招兵買馬」

把大象裝進冰箱只需要三步，而利用 FemtoCell 監聽定位需要幾步？

首先要搭建一個家用基站，即買設備。

FemtoCell很容易從某寶上買到，當然你先要知道如何針對性搜索。

這裡可以參考一下大神 Seeker 的購買清單：

移動：GSM：京信HMB-10

TD-SCDMA：京信HNB-33、博威HN1200

TD-LTE：中興BS8102

聯通：華為UAP2105、UAP2816、UAP2835、UAP2855

華為ePico3801、華為ePico3802

電信：華為ePico3680

這些FemtoCell價格很便宜，每種Seeker都買了不止一套，最低的20元，最貴的450元。

第二步，「拿鑰匙」

我們先來觀察一幅圖。

這是典型的3G網路結構。最左邊的是手持終端，中間部分是兩類基站，3G 的時候叫 Node B，與 RNC 配合對接運營商核心網，最後聯接到互聯網。而在 FemtoCell 中叫做 Home Node B，它會通過互聯網和安全網關SeGW通信，隨後聯接到運營商核心網路。

幾乎所有FemtoCell都會聯接自動配置伺服器 ACS。ACS使用TR-069協議，用來下發配置文件，包括配置 Home Node B 地址，以及更新FemtoCell的固件（Firmware）。

實際上，運營商使用的 TR-069 協議，可以完成四個方面的工作：

一是用戶設備自動配置和動態的業務配置。

二是對用戶設備的軟體、固件的管理。TR-069的協議提供了對用戶設備中的軟體、固件進行管理和下載的功能。

三是對用戶設備的狀態和性能進行監測。

四是對通信故障的診斷。

但這並不代表它是安全的，或者說，對於神通廣大的黑客，這都不是事兒~

最大的問題是ACS的地址是需要在FemtoCell上配置並保存的，所以就會可能黑客修改成自己的地址。

這裡有一種安全的方法，就是在撥了安全網關之後，再聯TR-069伺服器。

準備就緒後，首先要 root。root才能獲得設備的全部許可權，才能在FemtoCell上運行自己的程序。具體做法因設備而異，運氣好可以直接利用JTAG、UART等調試介面，運氣不好可能要從舊設備里讀出Firmware再加以修改後寫回去。

root用到的設備非常簡單，基本上數字萬用表、CP2102、杜邦線、SEGGER J-Link就夠了，要專業一些，還可以配上Bus Pirate、JTAGulator、NAND Flash讀寫器等。root的軟體，最重要的是TR-069，推薦使用 GenieACS，還有IDA Pro、OpenOCD等。

root 之後可以破解 IPsec，偵聽往來通信，甚至修改通信的內容而不被發現。因為FemtoCell 本來就是合法的運營商基站，在實施攻擊的時候，發往用戶手機的數據和簡訊都被認為是合法的，而在內容層面也不會有任何的安全驗證。

第三步，「開門」

在root FemtoCell以後，就可以聯入到運營商的核心網，實施信令攻擊。為什麼要聯運營商的核心網？

搞事情啊！

獲得認證加密五元組（IK，CK，AUTN，RAND，XRES），四元組（Kasme，AUTN，RAND，XRES）

不用去現場，坐在家裡就可以通過信令監控任意的手機，獲得它的位置、通信內容，還可以遠程植入木馬。

當然，進入運營商核心網的具體做法也要視情況而定。通常是在FemtoCell上運行一個自己寫好的代理程序。

那是否可以脫離 FemtoCell 直連核心網呢？

答案是可以。

原因就是京信、中興的FemtoCell使用軟SIM，在文件系統里的某一個文件里寫了密鑰，把這個密鑰取出來以後，通過 strongSwan （需要修改代碼 ），就可以用自己的PC撥通運營商的安全網關。

較為困難的是使用真 SIM 卡的華為等FemtoCell，需要PC/SC讀卡器，還要做strongSwan代碼方面的更多修改。

通過FemtoCell 聯接運營商核心網的主要問題是容易被反向追蹤，實際上現在更普遍的方法是用互聯網去聯運營商的核心網。

主要步驟是，

找到暴露在互聯網上的GRX或IPX設備，通常是GGSN/MME，發送信令。

拿下某 GRX 設備的 root 許可權，進行內網漫遊

這裡會用到另外一個開源軟體 OpenGGSN。它可以把自己模擬成SGSN，幫你尋找GGSN，給它發信令，看看它有沒有回應。

還有一點比較有意思，如果在運營商的內網，比如用了聯通或者移動的4G網路，實際上我在它的網狀結構的裡面，接入網的最底層的設備。從這兒往上搜索，與國外聯過來進行掃描的結果差異比較大，能掃描到更多的可用設備。

那有什麼防禦手段嗎？

可以看到的是，整個搭建過程並非十分複雜，但若是把出於興趣研究的 Seeker 換做是別有用心的黑客，就會讓人笑不出來了。

「FemtoCell 本身的安全機制有用，但是不足以對付一個執著的黑客。」Seeker表示。

除了FemtoCell，Seeker發現神奇某寶上還可以便宜買到運營商正大量使用的基站設備。當然你要先知道運營商基站的典型配置，然後針對性搜索。比如運營商基站主要由 BBU 和 RRU 兩部分組成，最好知道設備的具體型號，比如華為最新型號BBU3910，插不同的基帶板和主控板就能支持不同的通信制式。下面的圖片就是標準的華為LTE室內分布系統，包括電源，RHUB，BBU，RRU等。其中pRRU3902的功率大約125mW，有效覆蓋半徑約50米。

雷鋒網編輯這裡算了一筆賬，典型TD-LTE 配置的華為 BBU3910 大概 500-700元，RRU也很便宜，價格大概100-1000不等，常用的包括華為 pRRU3902大約200元，再加上RHUB3908和通信電源ETP48100，GPS天線等，這一套算下來不到2000元。

這一套設備個頭可是不小，加電後風扇聲音很大，肯定不能隨身攜帶，黑客不會感興趣，但是比較適合網路安全公司搭建無線通信實驗環境，從事IoT設備的安全研究。

從網上購買了運營商的基站， 為了讓設備正常工作，實際上需要解決兩個問題。一是基站要聯 OMC，類似於 ACS，從網上可以下載華為的M2000進行破解，另外還需要聯 MME，可以使用開源的OpenAirInterface里的MME。

這一套基站跟運營商所用完全一樣，只是沒有聯運營商的核心網，不能通過雙向認證，所以不被手機認為是合法基站。如果想變身運營商合法基站，就需要能聯接到運營商核心網，獲得AV四元組。上面介紹的兩種進入運營商核心網的方法都可以。

看完了這些是不是陷入了深深的擔憂之中？

那是否有什麼防禦手段呢？

Seeker建議，

對於各網路公司、APP 開發者、IoT 廠商及網路服務商來說，互聯網與電信網路同樣不安全，必要的是有應用層的認證和加密體系。簡訊驗證碼不可信，應儘可能啟用雙因子認證。

對於認證服務商、銀行、運營商來說，市場需要可靠的認證基礎設施，網點多的機構有優勢，應儘可能可搶佔先機開展服務。

對於電信設備廠商，應增加更多安全特性，增加破解難度。

對於電信運營商，網路建設應遵循 3GPP 安全標準，再輔以多層次防禦體系，如安全審計、防火牆、蜜罐等。

對於淘寶等電商平台，應下架運營商設備。這些設備只應該賣給運營商，不應該出現在2C的電商平台上。

而面對國內通信行業飛速發展，運營商建設十分粗放的現狀，用戶所能做的除了蹙眉似乎並無他法。

不過幸好，雷鋒網編輯在 Seeker 演講結束後看到他發了一條朋友圈，內容大概是：一個正義的白帽子為了防止成果被防不勝防的黑客惦記，已經將自製的偽基站埋進了某個公園的地下……

情不自禁點個贊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！