记得张楚有句歌词:“隐藏的危险,变得很阴险“,最近怎么觉着这首名为“小人“的摇滚是写给网络犯罪的。随着网络化步伐的加快,网络已经成为我们生活中的一部分,宽带对应的安全问题日益突出,大家在谈论宽带问题,往往爱谈论个人用户应该怎样注意保护自己的账号完全,但是安全问题 只是个人用户造成的吗,这篇文章从另一个角度,以宽带问题为切入点,通过对某省的电信网上计费网站安全测试及获取电信的管理帐号过程这一案例,深度剖析目前源于电信宽带的种种隐患。
宽带安全问题抛开个人用户的种种问题,从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定,真正做到一个账号只能在一条线路上使用,似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中,非法共享和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,无法形成对宽带用户的唯一的标志。市场经济下,投资成本和利润回报影响各个行业的决策,电信也不例外,目前国内整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域网,而VLAN资源不足致使多个用户共用一个VLAN的网络现状。根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这一问题。
当然,这些方式虽然可以解决用户唯一标志问题,但无法在国内统一,原因其一就是成本问题:成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定;其二就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信角度说,对于盗用账户的 解决方法目前主要有两个方法:
解决方法一,MAC地址绑定解决方案,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,利用MAC的唯一性,从而限制上网账号的唯一使用性。
用户在进行PPPoE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。简单方便,无须改造现有网络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer,这一点目前的BRAS设备都能够做到。不过Radiusserver端的维护工作量很大,需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。
方法二LAN或PVC绑定解决方案,VLAN或PVC绑定解决方案是在RadiusServer上对用户的宽带上网账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时,BRAS设备将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成用户上网账号同VLAN或PVC的唯一性鉴别工作。显然,VLAN或PVC绑定解决方案在技术要求和宽带网络建网过程中,将每个用户划分为一个单独的VLAN或者PVC。目前,在实际的组网中,ATM-DSLAM都采用一个用户一条PVC方式接入,非常容易实现用户账号同PVC的唯一性绑定;为每个接入的宽带用户分配不同的VLAN标志,实现了用户上网账号同VLAN唯一性绑定,避免账号公用和盗用问题。用户间通过VLAN或PVC隔离也可有效地解决二层接入网络广播风暴问题。硬件上的问题不是最令人心的,从发展的角度,可以很快解决,可有些软问题却比较令人担忧。
电信部门的管理的软问题:记得2000年初接触到宽带,接宽带时那个电信人员说“宽带密码不存在安全问题,只有你的电话能用“,中国的宽带账户安全观念也在这种观念中成长,这样无形中养成宽带用户的安全意识匮乏,造就了中国的宽带成长中的先天不良。我就以这几天测试的某省的电信网上宽带收费网站为例子,谈谈这个问题:进入该网站后,找到计费业务版块。
各个模块负责如上图显示,这里就暴露了一个历史遗留问题:宽带用户的用户名密码容易被猜解问题: 一直以来电信出于管理方便角度,对用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码,
用通式来表达: 帐户名:城市名称缩写(如 bj)+电话号码(如 12345678)+@+后缀(如 163) ,密码: 电话号码(注意:此处就是账户里的电话号码)也就是说只要知道某城市一个宽带账号 ,只需要略微更改下电话号码就可以猜到其他人的账号,帐户名及其他部分都无需改动,密码和电话号码一致。无论手动枚举还是软件实现都异常简单。这个网上营业厅另一个大问题也伴随而生:不是每个电话号码都办理了宽带,当你猜解账号错误时,它并不会采取什么安全策略,限制你输入次数,也就是说,可以无限枚举,而不会封掉你的ip。这个问题可以说威胁一个城市的所有宽带用户。猜解成功后,进入账号管理界面用户的上网拨号日志及其他资料会暴露隐私。
善于利用的破解者甚至可以利用分析日至避开账号所有者的使用时间而不会被发现:账号被猜解后,破解者可以在上图“修改密码“处修改密码,令账号的真正主人不能拨号。轻则别人用你的账号拨号,造成你短期不能拨号上网,重则造成你经济损失:为别人的网上消费支付金钱:如目前流行的在线影院,在线信息查询,在线充值,在线购物功能都可以通过宽带付费,种种在线业务都有个特点,那就是和电信挂钩:究其原因,最终被消费钱是需要电信中转的,往往最终体现在上网费上,目前国内宽带上网费和电话费是一起交的。当他人盗用你的账号消费不是很多情况下,你看到账单多出来的几块或者几十块钱时,你是很无奈的。想起一种现象:犯罪的“成本低“,成本低到受害者没法去告罪犯。而且即使你想告他,找到盗用你账号的人,并拿到证据,其中你的付出的时间和金钱也会令你望而却步,这既是法律的悲哀,更是人性的悲哀,奉劝那些走在犯罪边缘的人:勿以小恶而为之,抛开法律来说,你在盗得点滴利益的同时,你失去的不是单纯金钱可以衡量的。
问题到这似乎可以结束了,可更大的问题还在后边。像电信级的网站,管理后台入口应该十分隐蔽,对于一个动态网站来说,后台管理部分必不可少,由于后台涉及整个站点的安全,因此后台管理部分的入口要十分隐蔽,要采用一套独立前台的模块,采用专用的登陆界面。大型的网站或重要的程序要有很多不同分工的后台管理员来管理,因此每个管理员的管理权限范围和权限之间决不能互相影响。这也是非常重要的特性。这个网站设计就违反这个规则,猜了几次路径后,管理入口就被找到。(由于涉及敏感信息,路径不再给出)
,然后再根据这个路径,利用离线浏览软件WebSeizer,在WebSeizer的网页首选项设置为这个地址,再把和这个页面相关的所有网页下载下来,在下载层次设置为-1,这样和这个页面相关的所有页面都可以下载下来。这次的收获我非产吃惊,在一个新闻组模块里的admin.jsp.html网页里我找到了管理员密码,ftp密码,还有很多其他东西。
最后通过类似步骤,找到了8个各个模块的管理员帐号。由于计费系统及其他内容涉及法律问题,比较敏感,不在此叙述了。如果单纯是一个民间网站,我也不会多说什么,这毕竟是一个省级的计费系统。最后联系了相关的管理人员,得到回复是:“谢谢你的通知,我们会修补好相关漏洞,也没有再多解释什么。
喜欢找“肉鸡“的朋友如果细心的话会发现这么一个现象:扫描不同国家的同一个数量级的主机,能找到的“肉鸡“数量往往和国家对网络安全的重视程度成反比,1000个主机,中国可能找到100个肉鸡,可美国可能最多找到5个。这不能不给我们带来些思考,最后引用中国工程院院士、国家863计划专项研究专家组组长 何德全的话结束本文:没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。…因此,要把我国的信息安全问题放在全球战略考虑,…”