王荣 中国电信江西公司网络运行维护部 南昌市 330046
2013年4月初,江西某运营商部分分公司反映宽带用户投诉3月宽带费用异常,针对典型用户进行分析,发现WiFi上网漫游时长异常,疑似账号被非法使用。省公司分析了2013 年2 月、3 月的WiFi 省际漫游用户数及时长,2013 年3 月份日峰值漫出用户数为3118 户,WiFi 漫游用户环比增加近2 倍,且存在漫游时长异常的上网记录;同时,WiFi 省际漫游认证失败次数急剧增加,初步判断已发生WiFi 用户密码被盗用的现象。
通过认证计费平台对省际漫游认证失败报文进行抓包分析,发现认证失败包来源为省际漫游网关,判断为省外用户使用暴力猜解软件,采用某一固定密码(如123123)通过模拟拨号软件遍历WiFi 账号(即每个账号尝试认证固定密码1 次),从而搜索密码与账号匹配的用户。
PPPoE认证方式在用户拨号时对提交认证信息无相应验证机制,WiFi业务密码存在暴力猜解风险,且由于业务需求,部分WiFi业务密码仍采用WiFi静态密码,且静态密码位数和复杂度较低,如6位数字方式或初始密码为123123或将WiFi密码设置为手机后6位等。
不法分子利用上述PPPoE认证方式的脆弱性及用户密码设置习惯,通过恶意猜解工具,批量对189、133、180等号段WiFi业务密码进行遍历猜解,将获得的WiFi账号密码通过互联网平台予以出售,以获取商业利益。由于密码猜解行为产生大量认证报文,认证计费平台每天认证失败报文达200余万次,已威胁到认证计费平台的安全性和对正常用户的服务。
(1)不法分子通过利用CNTest猜解工具(猜解过程如下),每天可遍历猜解30余万个WiFi业务密码,约半个月可遍历所有WiFi业务帐号,猜解工具效率越高,密码被成功猜解的概率越大。
图1 密码猜解工具
通过CNTest猜解工具,扫描测试从10000957开始的100个宽带帐号,密码为6590245的帐号,如100个宽带帐号中,密码符合6590245,则猜解成功,具体认证信息如下:
图2 密码猜解成功报文
由上图可知,该工具所发的大部分包为PPP协议包,数据包中仅包含了账号、密码字段。当测试账号密码正确时,返回认证成功信息。若失败,PPP验证失败返回密码错误信息,具体如下图所示:
图3 密码猜解失败报文
CNTest猜解工具可将最终扫描结果导出,生成文件名如下:
图4 密码猜解后门
该猜解工具经逆向分析,发现包含后门程序,可将每次猜解成功的账号密码邮件发送至某一固定邮箱。
(2)WiFi业务Portal认证方式有客户端、WEB、WAP页面等3种,其验证机制相对简单、易绕过,具体如下:
◎ 使用无线宽带客户端拨号,客户端通信采用HTTP GET/POST的方式提交账号、密码、开户地信息,并未包含验证码,账号密码猜解可绕过验证码这个限制环节。
◎ Portal认证通过WEB页面登陆需要输入验证码,但验证较为简单,可通过图形识别技术可猜解。
◎ 部分手机WAP页面没有图形验证码环节,特别是国外运营商WiFi认证链接页面,暴力猜解可对本地Portal服务器及集团漫游转发服务器造成较大压力。
互联网上常见的按键精灵即可完成相关漏洞的利用,互联网流传普遍的Chinanet扫号器v2.1、按键精灵v7.27等即可进行扫描测试和验证。
图5 测试其它工具
作为通信服务商要尽快、全面地解决WiFi业务密码猜解的安全问题,基于业务流程的安全防护角度,从平台安全防护、用户安全防护、客户投诉等几方面提出解决办法,分析认证计费平台安全防护思路。
2.1.1 网上营业厅安全防护措施
(1)WiFi业务密码修改策略增加短信随机验证码。
(2)网上营业厅完善WiFi业务异常的监控预警功能,每日提供WiFi业务使用监控预警。
(3)在网络层面部署防火墙防护策略、用户登录网上营业厅后才可进行密码修改防护策略,杜绝通过非法修改WiFi密码。
2.1.2 认证计费平台安全防护措施
(1)弱密码控制功能。WiFi密码采用字符+数字方式,进一步提升WiFi用户密码强度,在所有改密接口(包括认证计费平台、网上营业厅、宽带预处理系统、以及客服自助系统)添加弱密码控制策略,从源头上控制WiFi客户弱密码的输入。
(2)WiFi业务上线短信提醒功能。在宽带认证计费平台实现WiFi业务上线后通过短信告知用户使用信息,短信提供策略为:省际漫游每次上线通知用户,省内漫游首次上线通知用户。
(3)监控预警功能。在认证计费平台增加密码报错及接口改密数量异常预警功能,每日改密或密码报错量比前一日增加50%即实现自动预警。
(4)链接超限自动封堵功能。
◎ 在认证计费平台对1个帐号密码报错次数累计达5次的用户进行临时冻结,24小时之后自动解冻。
◎ 单个MAC地址暴力猜解的封堵功能。单个MAC地址每出现8次认证失败,则封堵此MAC地址(即不再接收此MAC地址认证报文),为尽量降低暴力猜解效率,省际WiFi漫游业务封堵时限至2小时,省内WiFi 业务封堵时限至600秒。
◎ 省际漫游网关转发认证信息时携带MAC地址信息,实现针对单个MAC地址暴力猜解的封堵功能,从而进一步提升主动防范能力。
(1)启用动态密码。针对单产品(只有WiFi业务)疑似被盗帐号,在认证计费平台批量启用动态密码。
(2)启用业务密码。针对融合套餐(WiFi业务和有线宽带使用同一帐号及密码)疑似被盗帐号,认证计费平台完成升级,将此类用户的有线宽带密码与WiFi业务密码进行区分,有线宽带密码继续使用现静态密码,WiFi业务启动动态密码;同时,用户拨打客服语音自助修改密码时,默认修改有线宽带密码。
(3)加强WiFi 业务使用培训和辅导。加强WiFi业务使用知识培训及WiFi 密码安全意识的宣贯,组织制定WiFi 业务使用手册,组织对客户接触人员进行培训,并印刷宣传折页,供客户参阅。
(1)省公司统一减免了疑似被盗WiFi 帐号3月省际漫游上网费用,并提供了省10000号客户投诉解释脚本。
(2)建立零星被盗用户投诉处理机制。针对零星被盗用户投诉,细分用户WiFi 费用发生场景,明确WiFi 费用处理规则,原则上用户必须重置WiFi 密码,省10000号做好用户投诉解释、处理工作。
通过采取上述多管齐下的诸多措施,5月初省际漫游拨号用户数累计为22005次,省际漫游拨号用户累计数与1月21963次基本持平;同时,5月份省际漫游密码报错次数日均下降至1000次以下,WiFi业务业务猜解现象得到有效杜绝。
通过跟踪检查敏感信息的业务流转路径,分析信息数据通信、数据处理过程,识别敏感信息潜在的泄露途径、位置,采用有针对性的控制措施,认证计费平台WiFi业务密码猜解及防护亦对此做了一个生动的诠释,也正因为按照上述要求而采取相应措施才能在较短时间内取得较好成效。