深度剖析目前电信宽带的种种安全隐患

深度剖析目前电信宽带的种种安全隐患深度剖析目前电信宽带的种种安全隐患 记得张楚有句歌词:“隐藏的危险，变得很阴险”，最近怎么觉着这首名为“小人”的摇滚 是写给网络犯罪的。随着网络化步伐的加快，网络已经成为我们生活中的一部分，宽带对 应的安全问题日益突出，大家在谈论宽带问题，往往爱谈论个人用户应该怎样注意保护自 己的账号安全，但是安全问题只是个人用户造成的吗，这篇文章从另一个角度，以宽带问 题为切入点，通过对某省的电信网上计费网站安全测试及获取电信的管理帐号过程这一案 例，深度剖析目前源于电信宽带的种种隐患。 宽带安全问题抛开个人用户的种种问题，从电信角度来说:现有网络硬件设备不能满足 现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定，真正做到一个 账号只能在一条线路上使用，似乎目前很多安全问题都可以解决了。但目前的情况不是这 样子的:在各种账号安全问题中，非法共享和盗用以及非法用户追踪困难的原因，主要是因 为电信运营商没有对宽带用户账号安全提供限制和可靠的保护，无法形成对宽带用户的唯 一的标志。市场经济下，投资成本和利润回报影响各个行业的决策，电信也不例外，目前 国内整个宽带网络的认证和计费系统主要由 BRAS 设备和 RadiusServer 设备来共同完成， 基于当前的城域网，而 VLAN 资源不足致使多个用户共用一个 VLAN 的网络现状。根据 目前网络现状开发的 PITP 协议、PPPoE+协议、DHCPOption82 等技术就是为了解决这一 问题。 当然，这些方式虽然可以解决用户唯一标志问题，但无法在国内统一，原因其一就是 成本问题:成本包含两部分:现有设备投资还没有收回，新技术投资收益还不能确定;其二就 是由于中国的各地发展不平衡，改造起来很困难。对此我们应多给些时间，相信不久就会 解决这个问题。从电信角度说，对于盗用账户的解决方法目前主要有两个方法: 解决方法一，MAC 地址绑定解决方案,电信运营商可以在 RadiusServer 上将用户上网 计算机的 MAC 地址同用户上网账号进行唯一性绑定，利用 MAC 的唯一性，从而限制上 网账号的唯一使用性。 用户在进行 PPPoE 拨号连接的时候，BRAS 设备获取用户的上网账号以及上网计算机 的 MAC 地址，然后通过标准 Radius 协议将用户账号和 MAC 上报给 RadiusServer，由 Radiusserver 完成账号和 MAC 地址一一对应的判别工作。由于 MAC 地址的唯一性，用户 无法进行账号的非法共享或漫游，同时盗用的上网账号也无法使用。简单方便，无须改造 现有网络结构和 DSLAM 设备，只要 BRAS 设备能根据标准 Radius 协议上报用户账号和用 户计算机 MAC 地址给 RadiusServer，这一点目前的 BRAS 设备都能够做到。不过 Radiusserver 端的维护工作量很大，需要经常维护庞大的用户 MAC 地址表;而且一旦用户更 换电脑或者更换网卡都必须在 Radiusserver 上进行重新绑定，带来额外的工作量和用户投 诉;同时对多个用户共用一个 VLAN 上行的组网模式，二层接入网络的用户安全隔离和广 播报文控制也需要额外的解决方案。 方法二：LAN 或 PVC 绑定解决方案,VLAN 或 PVC 绑定解决方案是在 RadiusServer 上 对用户的宽带上网账号同接入用户的 VLAN 或 PVC 进行绑定。在宽带拨号用户进行拨号 时，BRAS 设备将接入用户的 VLAN 或 PVC 信息通过标准 Radius 协议上报给 RadiusServer，由 RadiusServer 完成用户上网账号同 VLAN 或 PVC 的唯一性鉴别工作。显 然，VLAN 或 PVC 绑定解决方案在技术要求和宽带网络建网过程中，将每个用户划分为一 个单独的 VLAN 或者 PVC。目前，在实际的组网中，ATM-DSLAM 都采用一个用户一条 PVC 方式接入，非常容易实现用户账号同 PVC 的唯一性绑定;为每个接入的宽带用户分配 不同的 VLAN 标志，实现了用户上网账号同 VLAN 唯一性绑定，避免账号公用和盗用问 题。用户间通过 VLAN 或 PVC 隔离也可有效地解决二层接入网络广播风暴问题。硬件上 的问题不是最令人心的，从发展的角度，可以很快解决，可有些软问题却比较令人担忧。 电信部门的管理的软问题：记得 2000 年初接触到宽带，接宽带时那个电信人员说“宽 带密码不存在安全问题，只有你的电话能用”，中国的宽带账户安全观念也在这种观念中成 长，这样无形中养成宽带用户的安全意识匮乏，造就了中国的宽带成长中的先天不良。我 就以这几天测试的某省的电信网上宽带收费网站为例子，谈谈这个问题:进入该网站后，找 到计费业务版块。 这里就暴露了一个历史遗留问题:宽带用户的用户名密码容易被猜解问题: 一直以来电 信出于管理方便角度，对用户名很多都以电话号码为基数，加上其他一些简易字母，后边 加上诸如163 等的后缀，密码几乎都是电话号码,用通式来表达: 帐户名:城市名称缩写(如 bj)+电话号码(如 12345678)+后缀(如 163) ,密码: 电话号码(注意:此处就是账户里的电话 号码)也就是说只要知道某城市一个宽带账号，只需要略微更改下电话号码就可以猜到其他 人的账号，帐户名及其他部分都无需改动，密码和电话号码一致。无论手动枚举还是软件 实现都异常简单。这个网上营业厅另一个大问题也伴随而生：不是每个电话号码都办理了 宽带，当你猜解账号错误时，它并不会采取什么安全策略，限制你输入次数，也就是说， 可以无限枚举，而不会封掉你的 ip。这个问题可以说威胁一个城市的所有宽带用户。猜解 成功后，进入账号管理界面用户的上网拨号日志及其他资料会暴露隐私。 善于利用的破解者甚至可以利用分析日志避开账号所有者的使用时间而不会被发现:账 号被猜解后，破解者可以在“修改密码”处修改密码，令账号的真正主人不能拨号。轻则别 人用你的账号拨号，造成你短期不能拨号上网，重则造成你经济损失:为别人的网上消费支 付金钱:如目前流行的在线影院，在线信息查询，在线充值，在线购物功能都可以通过宽带 付费，种种在线业务都有个特点，那就是和电信挂钩:究其原因，最终被消费钱是需要电信 中转的，往往最终体现在上网费上，目前国内宽带上网费和电话费是一起交的。当他人盗 用你的账号消费不是很多情况下，你看到账单多出来的几块或者几十块钱时，你是很无奈 的。想起一种现象:犯罪的“成本低“，成本低到受害者没法去告罪犯。而且即使你想告他， 找到盗用你账号的人，并拿到证据，其中你的付出的时间和金钱也会令你望而却步，这既 是法律的悲哀，更是人性的悲哀，奉劝那些走在犯罪边缘的人:勿以小恶而为之，抛开法律 来说，你在盗得点滴利益的同时，你失去的不是单纯金钱可以衡量的。 问题到这似乎可以结束了，可更大的问题还在后边。像电信级的网站，管理后台入口 应该十分隐蔽，对于一个动态网站来说，后台管理部分必不可少，由于后台涉及整个站点 的安全，因此后台管理部分的入口要十分隐蔽，要采用一套独立前台的模块，采用专用的 登陆界面。大型的网站或重要的程序要有很多不同分工的后台管理员来管理，因此每个管 理员的管理权限范围和权限之间决不能互相影响。这也是非常重要的特性。这个网站设计 就违反这个规则，猜了几次路径后，管理入口就被找到。(由于涉及敏感信息，路径不再给 出),然后再根据这个路径，利用离线浏览软件 WebSeizer，在 WebSeizer 的网页首选项设置 为这个地址，再把和这个页面相关的所有网页下载下来，在下载层次设置为-1,这样和这个 页面相关的所有页面都可以下载下来。这次的收获我非产吃惊，在一个新闻组模块里的 admin.jsp.html 网页里我找到了管理员密码，ftp 密码，还有很多其他东西。 最后通过类似步骤，找到了 8 个各个模块的管理员帐号。由于计费系统及其他内容涉 及法律问题，比较敏感，不在此叙述了。如果单纯是一个民间网站，我也不会多说什么， 这毕竟是一个省级的计费系统。最后联系了相关的管理人员，得到回复是:“谢谢你的通知， 我们会修补好相关漏洞”,也没有再多解释什么。 喜欢找“肉鸡”的朋友如果细心的话会发现这么一个现象：扫描不同国家的同一个数量 级的主机，能找到的“肉鸡“