无线安全杨哲：无线安全是有线交汇点

　　2009中国计算机网络安全应急年会于2009年10月21日至24日在湖南长沙召开，本届年会主题是“网络促进发展 安全创造价值”。23日进入会议第二天，在分会之“网络安全新技术”会上，ZerOne无线安全团队负责人杨哲向与会嘉宾介绍了无线安全方面存在的一些问题和防范措施。以下是ZerOne无线安全团队负责人杨哲发言实录：

　　ZerOne无线安全团队负责人杨哲

　　主持人贾焰：下半段的报告现在开始，请各位就坐。

　　下面报告的是杨哲先生，他是绿盟科技网络安全工程师，ZerOne无线安全团队负责人。下面，有请他带来“无线安全：有线安全的交汇点”的报告。

　　杨哲：大家下午好!

　　无线技术，通常指的无线涉及非常广，今天的演讲题目不是特别广，通指光波长频谱。广义无线网络技术领域，不仅仅是wifi、802.11a，红外、GSM、GPRS、CDMA、3G等等，但运营商通常指的是狭义的无线网络技术，如WEP、802、WPA。国内目前已经成为国标的就是WPA2，这是通常意义上所指的无线范围。

　　现有的无线安全体系涉及的安全问题是最多的，Wifi常用设备有无限路由器、接入点，无线网桥、定向/全向天线、无线网卡、无线摄像设备、无线打印机、打印服务器等，深入生活的各个领域，无线在企业/办公/家庭的应用基于打印机节点接入是比较常见的方法。

　　无线黑客技术在国外已进入到高峰阶段，国外有相关无线安全/黑客类杂志及文献。他们的基本入侵方式很简单，不论内部网络有几层网络安全技术，但通常是假设内部网络已采用较为完善的安全体系，如硬件防火墙，VPN，黑客使用便捷式设备通过无线接入点信号覆盖，破解WEP/WPA加密，冲破了防火墙防线。

　　复杂的无线攻击牵涉面更广，从内部渗透绕过有线网络防护，到达内部网络获取资料，甚至用无线DNS破坏无线节点，甚至破解连接密码联入无线网络等等。作为外部探测来说，通过外部系统漏洞溢出，渗透至内网等。

　　无线网络探测的监听无线天线是通常采用的办法，但是天线再怎么强化，我们都知道无线工作原理，假设基站以50米为半径呈圆形，只有位于这个服务区的范围内才能和基站联系，基站为其提供服务。但是，基站的服务强度是很大的，如果AP只以50米为半径提供服务的话，超过50米之外的范围是没法连接的，只能通过无线设备探测到。

　　但是，天线强化可以使得远程探测能够探测到内部接入点的位置。无线还有通过车载笔记本电脑，配合多种高灵敏度无线网卡，加上天线强化，实现探测、远程破解及入侵无线接入点的黑客行为。ZerOne团队进行过民间探测方法，同时对警务系统进行临时探测，当时也抓了一些图，大家可以浏览一下。

　　(图)绘制无线热点地图。通过这个地图可以标识到当地范围内的无线接入点位置，如美国所有州的大地图已经全部绘制完毕，我们已经将国内重点城市的无线热点地图绘制完毕了。

　　无线加密破解，我们知道目前有WEP、WPA、WPA2等加密方式。由于WEP自身算法的严重缺陷，使得WEP加密方式已经失去意义，目前破解主要依靠捕获大量报文分析得出密码，WEP的风险是比较大的，高复杂度WEP密码形同虚设，我们不要使用这种加密的密码，已经没有意义了。

　　无线WPA-PSK加密破解，WPA加密是目前主流的加密方式，但由于TKIP与AES子算法自身的问题，使得WPA也将面临着被彻底破解的威胁。黑客主要采用字典破解(绝大部分工具支持)，我给大家演示一下。

　　(演示)这是一个典型的WPA密码破解过程，速度非常快。如果每一位的密码由数字加字母组成的话，僻陋起来并不是很快。但如果是单纯的数字和字母的话，破解起来就比较快了。

　　2004、2005年由一家实验室提出“内存-时间平衡”法，也可译成“时间-内存交替运算法”。hash Table的破解速率将有效地提升至原有速度的200-1000倍，单机破解速度可以达到10万/秒，在这里演示一下。当然，这也需要一些代价，是以牺牲硬盘和空间为代价的，需要建立大量的库，但这些建立这些库对于黑客组织来说并不是特别难的事情。

　　CUDA带来的梦魇，来自NVIDIA的GPU技术，理论速率将提升至原先的30-100倍，俄罗斯ELCOMSOFT商业化GPU破解产品EWSA速率可以达到8万/秒。

　　(图)国外GPU黑客技术对比。

　　这些方法的存在导致WAP也面临极大地风险，还有一种方法是ZerOne团队在做的，严格地来说是分布式运算。下面，我为大家展示分布式运算基本架构。

　　全国目前上网的数量是8千万台以上，很多计算机并没有进行高额计算，平时GPU属于浪费资源的状态，前不久对WPA进行了测试，可以看到有大量的外部数据进来获取信息，作为使用者的话可以调整CPU占用率，这样不会影响平常的工作，这里有人设置成45%，这是一个比较理想的值，当然还有设置得更高的。无线面临的威胁有很多，有VOIP面临的安全威胁，如语音监听、信息拦截、短信伪造等等。

　　有无线认证的网络环境安全很多，EAP-MD5运用得很多，EAP-AKA主要运用于电信的3G网络。以前，MD5有很多也被破解过，其他的认证也面临中间人攻击和验证数据的拦截。

　　EPN当前主要加密认证方式有PPTP、IPSEC、SSL，但是，它们同样也存在不少的隐患。PPTP采用的CHAP认证存在缺陷，可被破解;SSL中个别认证算法存在证书伪造的可能;个别SSL版本容易遭受中间人攻击;VPN不严谨设计导致安全隐患。

　　无线城市概念是国内也提出了的，全球包括已建和在建中的无线城市已经超过450个，涉及Wimax、Wifi、3G等技术。

　　无线DOS攻击和有线一样，是一个道理。当无线网络受到攻击的时候，客户端与AP建立连接，通过广播插入伪造的取消身份验证报文，客户端认为该报文来自AP，然后已连接客户端自行断开连接。

　　(图)左侧图是原本正常的网络状况，右侧的图是遭到攻击的网络状况，我们可以看到右侧图全部是攻击的网络端，出现大量的同一个IP地址，我们在机场截获到了这个图，当时有人在攻击机场网络。

　　无线网络一直有通过伪造基站使得用户通过假的网站进行访问，很多用户可能没有发现自己访问到了别的网站。工作在8、2.4G的无线网络目前没有严格的监管，当我们遭受到无线DOS或无线网络基站的话，除非在特别的环境，如奥运会、国庆等等可以进行有效地监测之外，其他环境没有进行有效地监测，这也是目前存在的问题。

　　不同场所无线网络面临不同的安全风险，有无线网络渗透、无线数据监听，蓝牙也可以做到监听。

　　(图)繁华商业区、酒店无线热点分布及探测图。

　　(图)机场无线热点分布及探测图。

　　RF阻塞及干扰攻击，内部无线接入点干扰比较多，通过攻击无线发射源进行DOS攻击，造成用户断线，产生的威胁隐患很大。

　　蓝牙键盘信号也可截获，类似的蓝牙产品有很多，在这里只是拿蓝牙键盘举例。在蓝牙协议中，键盘敲击是明文的，没有加密。

　　在非公共场所，科研单位、涉密企业、军政部门等等，我们也对某市政府、警务系统、研究机构及周边无线热点分布进行了探测，我们也向他们进行了报告，但他们警觉性还不是很高，《保密法》规定这些单位是不能搭建机构无线网络的，而且我们是在机构外围探测到众多的无线网络信号的。

　　小范围无限RF阻塞攻击，可以对定点部门、定点机构或定点的某一层楼进行攻击。除此之外，在企业内部使用无线摄像头的时候，通过无线及有线摄像监视器群组可以监视视频、语音，攻击者也可破解无线WEP加密。

　　无线跳板攻击，即通过肉鸡进行攻击。通过网桥在楼宇中达到攻击的目的，这是一种方法;还可以在目标AP信号覆盖范围内对目标进行攻击。这些方法使得我们跟踪攻击者变得越来越困难，这些是从有线网络带过来的跟踪方法，但在无线网络的跟踪上存在一定的难度。

　　广义无线安全前面几位嘉宾有过介绍，在这里不班门弄斧了。常见的有蓝牙1.0/2.0协议栈自身设计的不严谨，使得一些启用蓝牙功能的手机或者笔记本等设备存在安全隐患，常见攻击方式有BlueSnarf，这是最常见的方法。还有BlUEBUG，它就不一样了，只要打开手机的蓝牙功能，就可以窃取里面的短信、图片等内容。

　　Blue Sniff通过嗅探来截获并分析出蓝牙设备的验证PIN码，原理与无线嗅探一致。这种攻击方式和车锁解码器不一样，它是蓝牙的，在传播方式上不一样。

　　PIN Crack使得当前PIN码的设计隐患，大部分手机、PDA及蓝牙耳机等连接PIN码被设计成固定的4位数。

　　GSM/CDMA主要面临AI算法的缺陷，已经被破解，在使用渠道中可以将通信内容全部截获，截获的是手机和基站之间的通信，这种截获和网关是没有任何关系的。几个月前，我参加过国内某个大运营商开展的内部系统评测，如彩信、彩铃等等，他们的A5已经存在被攻击的可能。

　　2009年“2600”黑客集会上德国黑客自行设计搭建的GSM基站，伪造基站没有某些人想象的那么复杂，只要在这个行业工作了十年以上的工程师，就有能力搭建起伪造的基站。一旦出现伪造基站，对运营商业务的破坏是比较大的。

　　3G在国内刚开始，但在国外已经发展得比较好了，3G目前没有暴露出明显的安全风险，但仍将面临上述的无线安全风险，还有待发展完善。

　　以上是我汇报的内容，谢谢!