1、看不見的無線安全,,,,? 成立于2006年，均為無線安全研究員/愛好者,? 成員來自安全公司、游戲公司、高校、公安及政府? 歷程與成果,– 建立中國最大的Anywlan網(wǎng)站“無線安全”討論區(qū)– 發(fā)起國內(nèi)無線WPA加密分布式破解項目,– 發(fā)布AntiMatter反物質(zhì)云無線破解平臺– 開創(chuàng)“Wi-Hack”無線安全系列課程,– CNVD 國家漏洞庫/ WooYun貢獻者– 出版無線安全系列書籍,ZerOne無線安全研

2、究組織,,,GSM-R NO BLOG 干擾,YES INTERNET INFORMATION,NFC 電,電力行業(yè) TALENT 車聯(lián)網(wǎng),SECRET TALENT LTE-FDD,能源 Wireless

3、 有源RFID DIGITAL,交通,YES 有源RFID,有源RFID 衛(wèi)星通信,醫(yī)療Infrared,YES BLOG,DIGITAL 能源,CLOCK,RESOURCE,車聯(lián)網(wǎng),NO 干擾 衛(wèi)星通信,GSM-R,干擾 車聯(lián)網(wǎng) GSM-R,INTERNET,車聯(lián)網(wǎng),LTE-FDD,教育行業(yè),YES N

4、O TIME 干擾 NO,物聯(lián)網(wǎng) 路,鐵,NFC,SPEED INTERNET NEWS Infrared GPS 物聯(lián)網(wǎng),通信 CLOCK,Infrared 干擾 YES 衛(wèi)星,Infrared 民航 衛(wèi)星通信 車聯(lián)網(wǎng) LTE-HDD

5、 交通 有源RFID TALENT INTERNET 交通 KNOWLEDGE,SDR WiFi IOT,Vo-LTE GPS,LTE-FDD 教育行業(yè) 物聯(lián)網(wǎng)

6、 LTE-FDD,Wireless LANGUAGE,AGPS,NFC HackRF,LTE-FDD,能源,ZigBee,

7、有源RFID,OpenBSC,RFID GSMSECRET,移動互聯(lián)網(wǎng) 干擾,OpenBTS,EDUCATION Infrared,IOT,Wireless,NO 衛(wèi)星通信,LTE-HDD,HackRF,NFC PHONE 醫(yī)療,無線電,BLUETOOTH Wireless TALENT,APPL

8、ICATION 無線電,IOT,INTERNET LTE-FDD,OpenBTS民航,LTE-HDD,干擾 ADVERT,IOT,BLOG,物聯(lián)網(wǎng) CLOCK,鐵路,能源 INTERNET,交通 SOCIAL PHONE,有源RFID,DEVELOPMENT,GPS GSM-R GSM-R 無線電 SPEED,LTE-H

9、DD,教育行業(yè) GPS 物聯(lián)網(wǎng),INTERNET,教育行業(yè) RESOURCE,教育行業(yè) 車聯(lián)網(wǎng) 車聯(lián)網(wǎng),SPEED 交通,能源 NO 干擾,Infrared,干擾 NO,INFORMATION,APPLICATION,軌道交通,運營商 軌道交通,INTERNET 干擾,能源,TELEVI

10、SION,衛(wèi)星通信 DIGITAL,SPEED 車聯(lián)網(wǎng),電力行業(yè) GSM-R,有源RFID,無線,INTERNET,I

11、NFORMATION,SPEEDGSM-R,醫(yī)療 BLOG,SPEED

12、 Wireless,衛(wèi)星通信衛(wèi)星通信,無線電,DIGITAL NO,電力行業(yè) BLOG INTERNET SECRET YES NFC CLOCK 物聯(lián)網(wǎng) KNOWLEDGE INTERNET,教育行業(yè),無線電,SECRET,INTERFACE,,,,,談談偽基站,?

13、 2G/3G/4G安全? 偽基站分析? 短信群發(fā)/釣魚,,,,,,,,,,針對2G/3G/4G通信的高級MITM實現(xiàn),無線攻擊者,釣魚攻擊,偽造站點/數(shù)據(jù),短信校驗碼監(jiān)聽,?????,攔截IMSI、TMSI偽造短信驗證碼信令劫持偽造基站MAS服務MITM攻擊,,,2015~2016：運營商3G/4G業(yè)務模擬攻擊,,,? OpenBTS? USRP? RAD-1,偽基站小時代,,,解剖“偽

14、基站”,,,解剖“偽基站”,,,典型手機短信釣魚示例,,,,,再見短信？,?????,短信群發(fā)短信驗證偽造短信短信監(jiān)聽GSM氣數(shù)已盡？,,,? 短信貓 SMS Modem,– SIM Card,– RS232、USB,? 企信通,– 由于限制嚴格，多數(shù)已轉(zhuǎn)向電信小靈通發(fā)送SMS,? 移動MAS,– 收發(fā)短信，WAPPush,– Java+Tomcat+Hibernate+MySQL– OA增值功能

15、? Other Ways,? 黑色產(chǎn)業(yè)鏈設備,短信群發(fā)的幾種形式,,,? 短信驗證場景,–網(wǎng)銀登錄手機校驗碼–公共場所WiFi訪問密碼,–企業(yè)內(nèi)部802.1X認證環(huán)境訪問密碼–在線交易校驗碼,–郵箱密碼丟失驗證碼–臨時驗證碼,短信驗證的悲哀,,,手機驗證碼/交易過程面臨的安全威脅,單一化手機驗證流程機制，已在國內(nèi)絕大部分銀行、銀聯(lián)、運營商、商業(yè)論壇、郵箱服務提供商等廣泛使用,現(xiàn)有安全策略：,1、重新發(fā)送時間限制：2分

16、鐘內(nèi)不能點擊“重新發(fā)送”,2、基于手機號碼自身的身份驗證3、個別方案中會使用二次短信驗證,單一化手機短信驗證存在嚴重安全隱患,1、中間過程不可控,2、用戶對短信來源無感知，即容易被偽造3、絕大多數(shù)情況下僅依賴于一次驗證碼,,,,? AT&T、T-Mobile與星巴克合作? 中移動：CMCC-Starbucks–以前依靠單純的WPA-PSK密碼–現(xiàn)在通過手機發(fā)送無線密碼SMS,? 安全威脅：,–一周內(nèi)以注冊

17、用戶身份使用WiFi–對指定對象偽造攻擊的可能–用戶對短信的盲目信賴感,咖啡廳的WiFi驗證SMS,,,? 國內(nèi)機場,– SSID：“Airport WiFi Free”– 偽造AP的天堂,? 安全威脅：,– 以他人身份使用WiFi,– 此類短信多數(shù)以1065、1069之類開頭的號碼發(fā)送– 使用特定短信工具可輕松,實現(xiàn)欺騙攻擊,機場的WiFi環(huán)境驗證SMS,,,? 業(yè)務/物流/應急服務跟蹤系統(tǒng),–自動發(fā)送內(nèi)部故障處理工

18、單SMS–物資調(diào)度及通告SMS,? 業(yè)務系統(tǒng)GSM自動告警模塊,–自動發(fā)送未加密告警短信,工業(yè)控制領域の無線安全,,多重手機驗證流程機制并不能從根本上解決安全威脅,思路1：在流程中增加額外需填寫信息,思路2：通過不同通道驗證碼加強驗證,思路3：更換驗證方式,,,? 低成本化,–68元SIM卡 + 200元GSM手機–用完即換,? 機動化,–隨身多張SIM卡,–GSM手機用完即扔–黑卡,? 多樣化,–多卡多待,–一卡多號，最多可達

19、12個號碼–SIM卡復制應用更廣,犯罪實施的低成本化、機動化與多樣化,,,––––––,GSM / CDMAGSM / WCDMAGSM / TD-SCDMAGSM / TD-LTE……必有一卡支持GSM,? 個人持有手機號碼– 雙號– 3個以上,GSM真的氣數(shù)已盡？? 從雙卡雙待到全網(wǎng)通,,,,,,–銀行卡開戶行–銀行卡后4位? 差旅信息–航班信息–酒店預訂信息–簽

20、證信息,SMS，隱私暴露的必然? 銀行交易信息–工資到賬–轉(zhuǎn)賬記錄,? 在線提示信息–證券交易–期貨交易,–網(wǎng)校注冊–郵箱注冊? 其它提示–未接來電提醒–流量提示信息–學校通知信息,Only3 Months,,,至少還需要,3~4年。,來自中移動的數(shù)據(jù)? 截至2016年3月，中國移動用戶總數(shù)為8.34億戶? 其中，2G、3G、4G用戶分別占到50.5%、26.3%、23

21、.2%。? 粗略計算，國內(nèi)至少約有3億戶仍在使用GSM。換句話說，國內(nèi)至少還有3億戶面臨威脅GSM空口數(shù)據(jù)威脅。? 參考中移動的網(wǎng)絡融合速度、新用戶增長速度、資費套餐設計及市場粗略判斷，大幅度解決此安全隱患，,,,? 針對雙卡槽智能手機的特定病毒,（Android）,– 自動識別兩個卡槽中SIM卡類型– 可根據(jù)多種方式遠程激活（微信、,短信等）,– 主要功能：,強制切換GSM的SIM卡為默認主卡,

22、或者,免激活非GSM的SIM卡,一個簡單的思路,,,,,手機定位,??????,GPS 衛(wèi)星定位CPS 基站定位WPS WiFi定位監(jiān)聽模塊定位SS7 信令定位第三方APP,,,? 可根據(jù)設備內(nèi)置的GPS模塊鎖定當前位置? 第三方APP讀取GPS數(shù)據(jù),GPS衛(wèi)星定位,,,? 可根據(jù)空口信令中包含的LAI信息來顯示基站信息,– MCC，移動設備國家代碼,– MNC，移動設備網(wǎng)絡代碼（運營商）– LAC，

23、,– CID，CELL ID,– LAT，WGS84緯度– LNG，WGS84經(jīng)度,CPS基站定位,,,? IMSI：國際移動用戶識別碼,– 15位， MCC+MNC+MSIN,IMSI的意義,,,不止是運營商,,,? 常態(tài)化個人路線建模,–工作、生活,? 重復率篩選,–手機所在位置區(qū)識別號LAI,–記下最近1個月出現(xiàn)率最高的全部IMSI，添加到黑名單,列表中,–排除熟人/同路/沿線住址,反跟蹤技巧：IMSI會告訴你~,,,?

24、 WiFi RSSI指紋庫,– 基于WarDriving采集– BSSID,– RSSI，接收的信號強度,指示,? WPS局限性,– 目標手機必須開啟WiFi– MAC與手機號碼的匹配,問題,WPS WiFi定位,,,? 基本功能,– 監(jiān)聽功能– 聲控功能,– 支持短信參數(shù)設置,? 激活監(jiān)聽模式? 目標定位,? 特點,– 支持GSM,– 待機一周以上– 外型多樣化,監(jiān)聽模塊定位,,,? SS7,– 信令

25、系統(tǒng)#7是由 ITU-T 定義的一組電信協(xié)議,，主要用于為電話公司提供局間信令。,– SS7 中采用的是公共信道信令技術(shù)，也就是帶外信令技術(shù)，即為信令服務提供獨立的分組交換網(wǎng)絡。,– SS7 起源于SS6，SS6開發(fā)于20世紀60年代后期，是第一代公共信道信令。SS7 最早是為電話呼叫控制應用而設計的。目前SS7 的功能包含了數(shù)據(jù)庫查詢、事物處理、網(wǎng)絡操作和綜合業(yè)務數(shù)據(jù)網(wǎng)絡（IntegratedSer

26、vices Digital Network,ISDN)等。,SS7,,,? 家庭住址？公司地址？很難么？? 不，這和社工沒關(guān)系? APP會告訴你,第三方APP：個人行動規(guī)律建模,,,,云存儲類APP的手機定位1：服務器端遠程備份短信聯(lián)系人等資料。2：遠程鎖定/擦除手機所有數(shù)據(jù)。3：支持通話轉(zhuǎn)移功能。4：發(fā)送地圖信息點到手機/電腦5：定位你的手機,APP主要功能,,,,,WiFi重災區(qū),? 國內(nèi)

27、WiFi Hack歷史? 無線主流Crack技術(shù)? 反物質(zhì)平臺,,,? 2010~2012– EWSA? 2012~2014? 2015~2016,GPU時期移動破解時期云破解時期+回歸,國內(nèi)WiFi Hacking 歷史? 2006~2007 覺醒時期? 2008~2009 蹭網(wǎng)卡鼎盛時期? 2009~2011 “多國殺”時期– 創(chuàng)造奇跡的RTL8187– 永

28、無止境的發(fā)射功率– 悲催的螞蟻戰(zhàn)車– SpoonWEP/SpoonWPA– 黑色產(chǎn)業(yè)鏈的形成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,WiFi Attackの趨勢,FakeAPAir InterfaceWAP JackWAPTunnelIOTHome智能攝像頭智能路由器智能插座智能電器,CrackWPA

29、CrackWEPDeauthPentestHomeSOHOSOHORouterFemto,Multi-AgentJammingEAP HijackFake Radius隱私化隨身WiFi車載4G路由,WiFiPhisherMITMWIDS/WIPSMITM

30、IOTIndustry工業(yè)物聯(lián)網(wǎng)車聯(lián)網(wǎng)民航WiFi公交WiFi,,,,,,,? Dictionary? WPA PMK Hash? WPS Online / Offline,? Distributed,? GPU? Cloud,Crack#主流,,,,,,,,,,,,,用戶,云平臺,運算節(jié)點,上傳握手包,指派任務,Cloud based のWiFi C