电影里黑客在大街上或马路上直接用笔记本嗒嗒嗒就把某个东西黑掉了,都是通过无线。然而与 Web 渗透等技能相比,无线网络安全的职业发展要窄得多——对 Wi-Fi 的熟知能提供什么商业价值呢?但其能产生的影响不可衡量,比如——黑掉地铁。

002wifi20170113 地铁上已出现新型钓鱼,记得关闭无线网络

从地铁和一张公交卡开始

适逢 60 周年国庆,北京拥有了第一条带有 Wi-Fi 网络的地铁线路。并非提供给乘客、而是列车通信使用的无线局域网,会不会存在安全漏洞?乘坐地铁的杨卿尝试用笔记本电脑破解,结果成功进入了地铁线路无线内网。如果在内网中进行进一步的网络扫描、渗透攻击,地铁的正常通信将被扰乱甚至连列车运行都会被恶意控制。意识到问题严重性的杨卿立刻写下漏洞报告转交相关的通报渠道,很快漏洞就被修复。

无线网络研究了好几年,公交卡成了他新兴趣。与地铁相比,公交卡实在微不足道,但同属无线通信研究范围之一的 NFC(近场通信)技术最广泛的应用方式正是这张卡片。薄薄的公交卡虽没有电源,但其自身就是一个能够处理、计算、存储并能交换数据的终端设备。

如果你将 IC 卡一层一层地剥开,会发现几条互不相交的金属细线围成的矩形线圈,它既是传送信息的天线,也是接触读卡器发射的电磁波时产生电能的装置。一块大约 10 平方毫米的矩形芯片是卡片的核心所在,封装其中的 MPU 负责将接收到的信号进行解密、分析、加密,FLASH ROM 则负责存储加密数据。

003wifi20170113 一卡通的芯片位于卡片右上角,图片来自网络

通过破解加密算法找到密钥、不断测试找到不同存储区中数据的含义、再修改其中的数据,杨卿和他的同事们最终能将过期的公交卡变成正常使用的卡片、普通卡能变为学生卡或工作人员卡,甚至金额也能被随意修改。

漏洞被找到,可已经发放的几千万张公交卡怎么办?和硬件迭代类似,新卡片不再有漏洞,旧卡片也会慢慢退出自己的舞台。

接下来是汽车、飞机和 GPS

在国内的大型安全会议上,杨卿的 Unicorn 团队成员常常会现场演示用一台电脑打开 BBA(宝马、奔驰、奥迪)及 Smart 等车的车门。

其实也没有多复杂,特别是几年前破解汽车很简单,因为大部分厂商都使用固定码——车和车钥匙都存储一串不改变的密码,两者一致时车门就会打开。只要用无线电设备抓取车钥匙的信号再重放,就像新配了一把门钥匙,车门就能反复开关。

004wifi20170113

杨卿演示如何用手机打开奥迪车门

经历了白帽子的不断挑刺和算法的演进,现在的汽车钥匙往往使用滚动码——一个周期很长的伪随机码。每开一次车门钥匙和车存储的密码都会一同向前滚动一格,两者一致时车门才会打开——即便如此仍有取巧的方式。比如离车在较远的地方按下车钥匙,同时用设备接收信号,走到尚未收到过密码的车辆前重放这段信号就能打开车门。

只能打开一次不算真正的破解?想要多次打开车门?最快的办法是分析解码控制器的功耗,结合 KeeLoq 算法推导出控制器中的密钥以及算法,只要几秒钟就能破解车门密码。但接触并拆解车钥匙、测量控制器功耗、调整算法,每一件都不是容易事。

或者在空中制造一架不存在的飞机?

ADS-B 是一个集通信与监视于一体的信息系统,飞机正是依靠这一通讯协议实现自动巡航。如果在自动巡航的飞机前方伪造出只有飞机或塔台才能发出信号,这架飞机就会误以为周围有另一架飞机(事实上不存在)从而改变自己的飞行判断,下降高度或做出其他紧急处理。

现在杨卿专注的是 GPS 信号的伪造和欺骗。

005wifi20170113 GPS 通过同时出现在空中的 4 颗卫星确定设备位置,来自网络

2011 年 12 月 4 日,美国一架 RQ-170 无人机飞行至伊朗领空,伊朗军方通过 GPS 欺骗让这架飞机降落在伊朗东北部的 Kashmar,这架完好的无人机使得伊朗军方获取了不少技术和军事机密。

可 GPS 不是天上 24 颗卫星来回运转,怎么会被欺骗?

通过测量与空中同时出现的 4 颗卫星的距离,GPS 就能确定接收设备的位置。但 GPS 卫星的广播信号从太空抵达地面时已变得非常微弱,如果接收设备旁有一个模拟器发出和 GPS 一样的信号假装自己是卫星,强度更高的信号就会被当成「真的」GPS 信号。

原本攻击者想要拥有伪造 GPS 信号的设备非常困难,信号发射器的成本往往在千万元、使用范围也仅是用于科研、生产等测试。近几年软件无线电技术的兴起加上安全联盟研究的代码和算法,使得几百美元的设备也能制造出 GPS 信号。

不仅如此,GPS 技术的广泛使用使得伪造 GPS 信号带来更广泛的威胁。让一辆在海淀区行驶的汽车以为自己正在西藏、跟踪车辆不断向其发射伪 GPS 信号引导它开向预先设置好的地点,或者在某一路段制造大量 GPS 信号,让数据中心误以为此处拥堵将车流疏导到更拥堵的路段从而制造混乱都有可能。

006wifi20170113 「要毁灭一个超级大国无需枪炮,你需要的只是想象力。百万分之一秒的改变就会造成混乱。」——《与摩根弗里曼一起穿越虫洞》第五季第四集:如何摧毁一个超级大国

扰乱空间只是伪造 GPS 信号带来的危害之一。写有时间信息的 GPS 还是一个对时系统,使用 GPS 信号作为时间源的网络对时服务器广泛应用于电力电网、通信网络、金融交易系统等基础设施。让设备接收带有错误时间的伪造 GPS 信号——比如 1900 年,没有考虑过时间异常情况的水位传感器就会作出异常反应,以精确时间完成金融交易系统同样会轻易崩溃。

在无线电频谱上穿梭

GPS 欺骗的研究结果将是杨卿 8 月登上 Defcon 大会(每年举办于拉斯维加斯的黑客盛会)的议题之一,其所能带来的危害暂时不必担心——为防止信号泄漏,杨卿和 Unicorn 团队的伪造信号实验一直在一个金属立方体中进行。

从无线网络、公交卡、到 GPS 信号、开汽车车门,这些看上去毫不相关的东西怎么成为他的研究课题?

如果你仔细观察过无线电频谱,就会发现导航、通信、广播、雷达、电视、电话、近乎人类全部的信息传输都基于无线电,100 多年前人类发现所发现的能承载信息的电磁波如今已经渗透到每个人生活的方方面面。Wi-Fi 和手机是最常见的应用,GPS、NFC 只是间接存在于种种设备之中而很少被被人们注意到,电脑上的网卡、手机上的蜂窝、车钥匙的射频等通信全部包含在这庞大的频谱中。

007wifi20170113 无线电频谱,来自网络

「Wi-Fi 是 2.4GHz,做的多了就觉得 Wi-Fi 没什么可研究的,看向其他频谱的协议是很自然的事。」飞机 ADS-B 的 1080MHz、常用的射频 433MHz、315MHz、868MHz,一个频段搞清楚了,自然会去研究其他频段。

「无线安全是一个大课题,但这个领域很多公司都不太重视。」因为大多涉及基础公共设施又很难商品化,无线安全研究一直不是安全类公司的重点。

没有动手能力的程序员不是好黑客

大部分看过爱因斯坦那张在自己杂乱办公桌前「著名」照片的人,都会得出「桌面不整洁的人一定很聪明」的结论。

在 Unicorn 团队的办公区,你很难找到一张「整洁」的办公桌。电路板、工具、放大镜……错综复杂堆在每个人的面前,成员之一正紧盯屏幕对桌上架着的最新飞行器做借口测试,一旁的瘦男生正在用电烙铁在电路板焊元器件。

008wifi20170113 图为一种新型的能伪装成皮塔饼的无线电窃听装置(Radio Bug)结构,能通过无线窃走附近的电脑中的安全密钥信息。

为什么国内很少有人研究无线领域?杨卿认为很大原因是国内教育方式及国人动手能力。以最基础的 Wi-Fi 破解为例,即便拥有软件工具仍需要特定芯片的无线网卡的配合。并不是所有的无线网卡都能支持工具,甚至有时还需要对网卡进行硬件改装,所以必要的硬件知识也必不可少——当然还要「烧钱」,信号越好的无线网卡价格也就越贵,更专业的设备价格自不必说。

001wifi20170113 360 Unicorn 团队负责人杨卿

20160630000123