直擊烏雲峯會:無線通訊成黑色產業新戰場 | Initium Lab | Exploratory Arm of Initium Media

直擊烏雲峯會:無線通訊成黑色產業新戰場

在「烏雲」社區舉辦的第二屆互聯網安全峯會現場,發生了這樣的一幕——有人截獲了參會者的手機短信、電郵和網頁瀏覽信息,並把它們投影在大屏幕上,電影票、酒店預訂甚至銀行轉帳信息,通通「暴露」在眾人面前,不過具體的電話號碼、銀行賬戶等關鍵信息皆被隱去。這是會議組織方「烏雲」特別策劃的環節——在一場討論網絡安全的峯會上,讓參會者親身體驗互聯網究竟多不安全。

「烏雲」,是目前中國內地最大的信息安全社區與漏洞報告平台,成立短短5年內,已匯聚了超過7000名「白帽子」黑客。這群志願檢測和公布各類網站安全漏洞的「善良黑客」,平均每日提交數百個漏洞,其中不乏「CSDN 600萬用戶數據泄漏」、「騰訊 7000萬QQ群數據泄漏」等重量級安全問題。

隨著移動設備和即時通信的普及,無線通信漸漸變成必需品。但它也暴露出很多安全漏洞,例如開頭提到的例子。用戶群體龐大加上漏洞百出,黑色產業早就瞄準無線通信領域。不過全社會對無線通信安全卻缺乏基本認知。

千瘡百孔的 2G

在烏雲現場截獲的手機短信主要是依靠第二代移動通信技術發出的,也就是俗稱的 2G。從1991年首次提出至今,2G 已有二十多年的歷史。「2G 已經是千瘡百孔」,來自上海交通大學 LoCCS(Lab of Cryptology and Computer Security)實驗室的葛毅傑這樣評價,「雖然過去那麼多年,運營商不斷地更新換代 GSM (移動通信系統),但是有些問題還是沒有清理乾淨。」

身份驗證是所有通訊協議要解決的第一大問題,也是 2G 技術的硬傷所在。簡單來說,手機裝上 SIM 卡後,便可以與「基站」通信。基站由移動通信運營商管理,負責接入傳統電話網絡,並與其他運營商之間達成互聯。2G 的身份驗證是單向的:即基站能驗證SIM卡的身份,但 SIM 卡無法驗證基站的身份。正因如此,「偽基站」得以存在十多年,並且形成了一個生產、分銷、捕獲、銷贓的完整產業鏈。一套「偽基站」設備只需數萬元,成本低,還可以車載,流動性強,深受「黑色產業」喜愛。大家平日收到的廣告或釣魚短信,很多就是由偽基站發出的。此外,2G 卡片在物理保護上做的措施比較少,很容易受到「旁路攻擊」。一旦攻擊者竊取卡片中的密鑰,即可偽造出一張相同的卡。在市場上,只需大約10美元,即可買到一個竊取2G卡密鑰的設備。其造型酷似一個U盤,將 SIM 卡插入即可迅速讀取其中的身份信息。

有一部 3G/4G 手機就足夠嗎?

大家一定都經歷過,人群聚集的地方(例如集會)手機信號非常不穩定的情況。使用者越多,信道壓力就越大,信號質量越差。壓力大到一定程度後,手機就會自動切換至低等級的通信制式,以追求更高的信號質量。有人藉此攻擊 3G/4G 手機,「先人為干擾信號,迫使手機在 3G/4G 信道上無法通信,自動退回 2G,接下來攻破相對脆弱的2G即可」,葛毅傑如此解釋。

如果手機能設置為僅使用 3G/4G,即便在信號較差的情況下也不回退,是否可以有效避免這種「降級」攻擊呢?理論上來說是的,但市面上的主流手機並非都支持這樣的設定。此外,根據研究機構 GSMA Intelligence 的數據,截至當前,全球尚有12%的手機用戶仍在使用 2G,數量不可忽視。

況且,現在還有許多人存有「短信比即時通訊軟件更安全」的誤解。「現在大部分網絡通訊軟件都採用端到端的加密,被半途截獲和破解的可能性很小」,一位安全研究者解釋,「即使有問題,也是存在於服務器端或者客戶端,比如手機中病毒,比如服務商被入侵。」

那麼,以當前狀態,最佳的通信方式是什麼呢?我們目前所知最好的解決方案包括:
1、儘量使用最新的蜂窩通信技術,如 4G;
2、少依賴短信;
3、儘量選擇有端到端加密的網絡通訊軟件,如Telegram;
4、選擇可靠的通訊軟件。

「沒有絕對的安全」,這是業界的共識,但不妨礙我們在所知範圍內尋求最好的方案。

成功複製 USIM卡,3G/4G 告破

葛毅傑在參會的大約1200人面前播放了一段錄像。視頻中,研究人員首先複製 USIM卡,接著用原卡和複製卡撥打電話,都能打通,這說明複製成功。隨後,研究者嘗試修改原卡綁定的支付寶登錄密碼。不一會兒,支付寶驗證短信就發到複製卡上了。複製卡能成功使用電話和短信,冒充原卡的身份。「雖然短信裏面說打死也不能告訴別人,但這是它自己乖乖過來的。我們可以重新輸出密碼,隨便設置一個密碼就可以了」,葛毅傑調侃到。

據悉,這是世界上首次嘗試 USIM 卡的破解。研究者使用的是一種叫作「差分能量分析」的信號處理方法。除了中國標準的卡片外,葛毅傑所在的 LoCCS 實驗室也通過這種方法破解了歐洲和非洲的 3G/4G 卡片。雖然其中部分卡片的參數經過特別調整,但仍難逃被攻破的厄運。可見,「差分能量分析」法具有一定的通用性。除了烏雲峰會外,這項研究成果也將在世界最大的信息安全會議 BlackHat 上展示(作者註:2015年8月)。

不過,「差分能量分析」法並非沒有侷限。它有兩個主要問題。第一,若要複製 USIM 卡的身份,需要有一張可寫入數據的卡片,即「白卡」。而這種卡片載有特殊電路,並不像「U盤」這樣可輕易買到。第二,本次演示的攻擊方法是「接觸式」複製,即需要將受害者的卡片插入到特製的攻擊設備中,以便能監測到非常微弱的通訊信號。這種攻擊場景是很侷限的,因為通常 USIM 卡插在手機內部,需要趁受害人不注意,取出卡後,才能完成攻擊。

白卡怎麼來?早前,上淘寶搜索,即可找得大量的 SIM 卡,但現在沒這麼容易了。運營商當然也知道 SIM 卡被複製的風險,所以後來就限制了寫卡的次數。目前,安全研究人員主要靠從運營商取得的工程卡,就是「白卡」來解決這個問題。至於 LoCCS 的白卡從哪裏來,葛毅傑表示不方便透露。

「非接觸式」複製 USIM 卡是否可能呢?看過 LoCCS「接觸式」複製 USIM 卡的演示之後,我們不由得想起電影中的橋段:黑客手持一個神秘設備,與目標擦肩而過,拿出來看時,信用卡的數據已經到手。我們生活中有許多搭載身份信息的卡片,信用卡、SIM卡、身份證、交通卡、……以目前的技術,不是所有卡片都這麼容易被竊取,但安全問題離我們並不遙遠。比如,批量蒐集RFID(射頻身份標籤,即香港「八達通」所使用的技術)的信息,已經有快速、低廉的解決方案。至於 USIM 卡,葛毅傑表示要達到非接觸式複製還有很長的路要走。目前,在 LoCCS 實驗室裏,研究人員需使用造價幾十萬元人民幣的設備,並從運營商取得工程卡,才能完成「接觸式」複製的原型驗證。達到攻破「非接觸式」的距離有多遠,便可想而知。

網絡電話开启身份伪造新时代

互聯網的普及,給通訊帶來了新的可能性。即時通訊軟件的語音通信功能,已被廣泛使用,這種通信最初侷限在互聯網內部,互聯網上的設備(如電腦)和傳統蜂窩通信網上的設備(如手機)如何通話呢?網絡電話協議 (SIP) 的出現正好解決了這個問題。蘋果的 iMessage,微軟的 Skype 都集成了 SIP 協議。甚至,從 Android 4.0 版本開始,Android 系統原生支持 SIP 協議。大量 SIP 服務商的涌現,給傳統通訊網開了一道新的缺口——通過互聯網進行身份僞造。

烏雲白帽子畢月烏現場給大家做了一個僞造手機號碼的演示。兩位觀眾受邀上臺,展示了他們的手機號碼。畢月烏拿着一個iPad,簡單做了幾步操作。只見觀衆 A 的手機被撥通了,來電顯示號碼正是觀衆 B 的。觀眾 B 拿著手機,一臉愕然——他並未撥出電話。「僞造一個號碼撥打電話,總共也就兩分鐘的時間,而大部分時間是花在我的操作上,其實軟件破解服務只需要一瞬間」,畢月烏解釋。不難想像,如果這套技術被用來釣魚,成功率會大大提高。至於其開銷,「我的iPad是借的,軟件不用錢,撥打成本幾乎為零」,畢月烏打趣到,「不過如果想長期使用,充點錢就可以,費用和平時打電話是一樣的。但對受害者來說,損失可能就上萬了。」

與前面提到的 2G 或者 3G/4G 身份僞造不同,畢月烏所展示的攻擊,無關乎受害者所使用的技術。這裏的弱點主要在於傳統移動運營商和 SIP 服務商之間的盲目信任。在 SIP 被廣泛應用之前,能提供移動網絡服務的運營商有限,如大家熟知的香港運營商 CSL、3、CMHK 等等。運營商之間有信任關係,同時運營商的基站對用戶設備有嚴格的認證,這樣保證了呼叫者與被叫者的身份驗證。當 SIP 服務商出現後,呼叫者通過互聯網接入,移動運營商盲目信任 SIP 服務商。所以,攻擊者只需要騙過 SIP 服務器,即可僞造任意號碼。一旦戰場到了互聯網上,黑客們就可以各顯神通了。一個安全討論組中的匿名參與者透露:「最早的時候,大家都是通過自己假設 SIP 服務器的方式,來僞造號碼。後來監管嚴了,就只有黑入審核通過的 SIP 服務商,利用它們來僞造號碼。」

騙術升級,用戶防不勝防

偽造身份的技術逐步升級,與之同步升級的,還有利用假身份行騙和獲利的手段。

最常見的方法,便是大家熟知的「釣魚」,即利用偽造的身份,騙取人們信任,隨後引導受騙者提交銀行賬戶、密碼、信用卡號等信息。例如,很多人都曾收到過類似的短息:「您好,恭喜獲得XXX節目贈送的16萬現金,請點擊鏈接領取」。白帽子畢月烏發現,不同機構的官方主頁是行騙者爭相山寨的對象,例如「中國移動積分兑換」、「交通銀行官網信用卡」等等。由於手機屏幕小,瀏覽器一般不會顯示地址欄。這樣,一個高仿頁面很難被識別。現在有一些高級一點的釣魚網站,當用電腦訪問的時候,會跳轉至官網;用手機訪問的時候,才進到釣魚頁面,更加隱蔽。到達高仿的「官網主頁」之後,受害者一般會被引導到填寫個人信息和支付信息的頁面。

畢月烏曾經攻破過一些釣魚網站,也能看到這些網站的後台數據。他告訴觀眾:「據不完全統計,每天新增的釣魚網站數量有50到150個,有時也會上千。」通常,這些釣魚網站平均存活3天時間,儘管如此,還是有釣魚網站收到近兩千條記錄。看來,即便是在信息高度發達的今天,上當受騙的人也不少。

那什麼人最容易上當呢?根據畢月烏拿到的釣魚站後臺數據,最容易上當受騙的竟然是17歲~25歲的青年。在性別分布上,男女各半。

移動號碼資源黑產流通,「羊毛黨」趁勢而起

偽基站釣魚,能騙到一些貪小便宜的用戶,「羊毛黨」則主要對商家下手。「羊毛黨」是指一群靠「薅羊毛」獲利的攻擊者。所謂「薅羊毛」,簡單來說,就是藉助新用戶註冊、商家促銷等等,獲取小額利益。比如,一些創業公司為了吸引用戶,給新註冊的用戶贈送10元人民幣。這類小恩小惠,謂之「羊毛」。註冊一個站10元、兩個站20元……長此以往,堅持下來,羊毛就能變成毛衣。初級「羊毛黨」集結成群,分享最新的有效「羊毛」信息,共同前往。甚至還有專門的「薅羊毛」信息平臺,專門服務於這類需要。

與這些初級的「散戶」羊毛黨不同,專業「羊毛黨」利用自動化工具,批量攫取「羊毛」,給發放福利的網站造成巨大的經濟損失。在一次推廣活動中,蘇寧誤將促銷方式配置成「買滿0.01元送50元」,一天後,蘇寧發現操作有誤,並將其修正為「買滿2000元送50元」,此時蘇寧已遭受上千萬元的損失。有用戶一次性下了1.7萬個訂單,成功薅去無數羊毛。然而,下這麼多單需要有不同的手機號,是誰能拿到大量有效的號碼?又是通過什麼手段拿到的呢?在網上搜索一下,不難找到提供號碼服務的網站,它們除了擁有多至數十萬的號碼資源,還提供API,讓開發者可以自動化地調用。

雖說「羊毛黨」的存在某種意義上破壞了商業秩序,但現場多位白帽子表示尚無相關法律限制這種行為——商家自己設定了促銷活動規則,「薅羊毛」者不過是對規則進利用。那如何有效控制「羊毛黨」呢?P2P金融安全專家林鵬建議道,「可以從遏制『薅羊毛』的成本入手。首先可以增加他們的投資難度,其次是增加返現難度。」不過根據畢月烏的調研,即使提高了返現門檻,「薅羊毛」還是大有空間。以「五金所」為例,新註冊的用戶可以得到2000元人民幣作為體驗金,體驗金不可提現,但可用於投資。投資之後,獲得的回報能提現。「假設2000元的體驗金投資可以獲得50元的回報,我半分鐘註冊一個帳號,程序可以24小時不間斷地跑……」——如果利用得當,就可以回家睡覺,只管數錢了。

結語

如此多的安全漏洞,有理論問題,也有系統問題。非對稱加密的創始人之一 Adleman,在2004年的 RSA 大會 (一個頂級密碼學會議)上,做過這樣的預測:儘管密碼學理論會不斷發展,但系統設計疏忽還是會帶來安全問題。而除此之外,還有一個短板,就是人——這已經是安全行業的共識。如何培養人們的信息安全意識,如何保證重大漏洞的公眾知情權,是我們需要思考的。

同時,我們也看到,信息安全的攻與防已經遠遠超越了技術範疇。黑產的興起,即是一個信號。巨大的利益驅動下,如何確保安全從業者能守住價值呢?「其實光鮮的白帽子就那麼幾個,大多數人默默無聞」,一位烏雲的工作人員這樣評價。「大部分白帽子一個月也就是幾千的收入,但要是去做黑產就不一樣了,一個月買法拉利不是問題」,一位前金山員工談到,「這兩年最火的就是P2P金融,有朋友建了個站,最後帶着幾億人民幣跑路,……」說罷,眼前的這位年輕人眼神黯淡了。從金山辭職後,他轉做開發,現在北漂創業。不想走邪路,又不得不為生計考慮,這是絕大多數白帽子的兩難。一種模式這樣誕生——白天在一個小公司,做一個不起眼的「碼農」;晚上回家鑽研安全技術,將漏洞報告給廠商,將知識貢獻給社區。

經濟因素之外,社會對信息安全的淡薄和無意識,也是黑產的興起的一大原因。安全意識薄弱,黑帽子才會處處有可乘之機,獲得巨大的非法利益。

知识共享许可协议
本作品采用知识共享署名 4.0 国际许可协议进行许可。