深度剖析目前電信寬帶的種種安全隱患

寬帶安全問題拋開個人用戶的種種問題，從電信角度來說:現(xiàn)有網絡硬件設備不能滿足現(xiàn)有需求,造成用戶認證困難:假如目前每個寬帶賬號和電話線路都可以綁定，真正做到一個賬號只能在一條線路上使用，似乎目前很多安全問題都可以解決了。但目前的情況不是這樣子的:在各種賬號安全問題中，非法共享和盜用以及非法用戶追蹤困難的原因，主要是因為電信運營商沒有對寬帶用戶賬號安全提供限制和可靠的保護，無法形成對寬帶用戶的的標志。市場經濟下，投資成本和利潤回報影響各個行業(yè)的決策，電信也不例外，目前國內整個寬帶網絡的認證和計費系統(tǒng)主要由BRAS設備和RadiusServer設備來共同完成，基于當前的城域網，而VLAN資源不足致使多個用戶共用一個VLAN的網絡現(xiàn)狀。根據(jù)目前網絡現(xiàn)狀開發(fā)的PITP協(xié)議、PPPoE+協(xié)議、DHCPOption82等技術就是為了解決這一問題。
    當然，這些方式雖然可以解決用戶標志問題，但無法在國內統(tǒng)一，原因其一就是成本問題:成本包含兩部分:現(xiàn)有設備投資還沒有收回，新技術投資收益還不能確定;其二就是由于中國的各地發(fā)展不平衡，改造起來很困難。對此我們應多給些時間，相信不久就會解決這個問題。從電信角度說，對于盜用賬戶的解決方法目前主要有兩個方法:
    解決方法一，MAC地址綁定解決方案,電信運營商可以在RadiusServer上將用戶上網計算機的MAC地址同用戶上網賬號進行性綁定，利用MAC的性，從而限制上網賬號的使用性。
    用戶在進行PPPoE撥號連接的時候，BRAS設備獲取用戶的上網賬號以及上網計算機的MAC地址，然后通過標準Radius協(xié)議將用戶賬號和MAC上報給RadiusServer，由Radiusserver完成賬號和MAC地址一一對應的判別工作。由于MAC地址的性，用戶無法進行賬號的非法共享或漫游，同時盜用的上網賬號也無法使用。簡單方便，無須改造現(xiàn)有網絡結構和DSLAM設備，只要BRAS設備能根據(jù)標準Radius協(xié)議上報用戶賬號和用戶計算機MAC地址給RadiusServer，這一點目前的BRAS設備都能夠做到。不過Radiusserver端的維護工作量很大，需要經常維護龐大的用戶MAC地址表;而且一旦用戶更換電腦或者更換網卡都必須在Radiusserver上進行重新綁定，帶來額外的工作量和用戶投訴;同時對多個用戶共用一個VLAN上行的組網模式，二層接入網絡的用戶安全隔離和廣播報文控制也需要額外的解決方案。
    方法二：LAN或PVC綁定解決方案,VLAN或PVC綁定解決方案是在RadiusServer上對用戶的寬帶上網賬號同接入用戶的VLAN或PVC進行綁定。在寬帶撥號用戶進行撥號時，BRAS設備將接入用戶的VLAN或PVC信息通過標準Radius協(xié)議上報給RadiusServer，由RadiusServer完成用戶上網賬號同VLAN或PVC的性鑒別工作。顯然，VLAN或PVC綁定解決方案在技術要求和寬帶網絡建網過程中，將每個用戶劃分為一個單獨的VLAN或者PVC。目前，在實際的組網中，ATM-DSLAM都采用一個用戶一條PVC方式接入，非常容易實現(xiàn)用戶賬號同PVC的性綁定;為每個接入的寬帶用戶分配不同的VLAN標志，實現(xiàn)了用戶上網賬號同VLAN性綁定，避免賬號公用和盜用問題。用戶間通過VLAN或PVC隔離也可有效地解決二層接入網絡廣播風暴問題。硬件上的問題不是最令人心的，從發(fā)展的角度，可以很快解決，可有些軟問題卻比較令人擔憂。
    電信部門的管理的軟問題：記得2000年初接觸到寬帶，接寬帶時那個電信人員說“寬帶密碼不存在安全問題，只有你的電話能用”，中國的寬帶賬戶安全觀念也在這種觀念中成長，這樣無形中養(yǎng)成寬帶用戶的安全意識匱乏，造就了中國的寬帶成長中的先天不良。我就以這幾天測試的某省的電信網上寬帶收費網站為例子，談談這個問題:進入該網站后，找到計費業(yè)務版塊。
    這里就暴露了一個歷史遺留問題:寬帶用戶的用戶名密碼容易被猜解問題: 一直以來電信出于管理方便角度，對用戶名很多都以電話號碼為基數(shù)，加上其他一些簡易字母，后邊加上諸如@163等的后綴，密碼幾乎都是電話號碼,用通式來表達: 帳戶名:城市名稱縮寫(如 bj)+電話號碼(如 12345678)+@+后綴(如 163) ,密碼: 電話號碼(注意:此處就是賬戶里的電話號碼)也就是說只要知道某城市一個寬帶賬號，只需要略微更改下電話號碼就可以猜到其他人的賬號，帳戶名及其他部分都無需改動，密碼和電話號碼一致。無論手動枚舉還是軟件實現(xiàn)都異常簡單。這個網上營業(yè)廳另一個大問題也伴隨而生：不是每個電話號碼都辦理了寬帶，當你猜解賬號錯誤時，它并不會采取什么安全策略，限制你輸入次數(shù)，也就是說，可以無限枚舉，而不會封掉你的ip。這個問題可以說威脅一個城市的所有寬帶用戶。猜解成功后，進入賬號管理界面用戶的上網撥號日志及其他資料會暴露隱私。
    善于利用的*者甚至可以利用分析日志避開賬號所有者的使用時間而不會被發(fā)現(xiàn):賬號被猜解后，*者可以在“修改密碼”處修改密碼，令賬號的真正主人不能撥號。輕則別人用你的賬號撥號，造成你短期不能撥號上網，重則造成你經濟損失:為別人的網上消費支付金錢:如目前流行的在線*，在線信息查詢，在線充值，在線購物功能都可以通過寬帶付費，種種在線業(yè)務都有個特點，那就是和電信掛鉤:究其原因，最終被消費錢是需要電信中轉的，往往最終體現(xiàn)在上網費上，目前國內寬帶上網費和電話費是一起交的。當他人盜用你的賬號消費不是很多情況下，你看到賬單多出來的幾塊或者幾十塊錢時，你是很無奈的。想起一種現(xiàn)象:犯罪的“成本低“，成本低到受害者沒法去告罪犯。而且即使你想告他，找到盜用你賬號的人，并拿到證據(jù)，其中你的付出的時間和金錢也會令你望而卻步，這既是法律的悲哀，更是人性的悲哀，奉勸那些走在犯罪邊緣的人:勿以小惡而為之，拋開法律來說，你在盜得點滴利益的同時，你失去的不是單純金錢可以衡量的。
    問題到這似乎可以結束了，可更大的問題還在后邊。像電信級的網站，管理后臺入口應該十分隱蔽，對于一個動態(tài)網站來說，后臺管理部分必不可少，由于后臺涉及整個站點的安全，因此后臺管理部分的入口要十分隱蔽，要采用一套獨立前臺的模塊，采用專用的登陸界面。大型的網站或重要的程序要有很多不同分工的后臺管理員來管理，因此每個管理員的管理權限范圍和權限之間決不能互相影響。這也是非常重要的特性。這個網站設計就違反這個規(guī)則，猜了幾次路徑后，管理入口就被找到。(由于涉及敏感信息，路徑不再給出),然后再根據(jù)這個路徑，利用離線瀏覽軟件WebSeizer，在WebSeizer的網頁首選項設置為這個地址，再把和這個頁面相關的所有網頁下載下來，在下載層次設置為-1,這樣和這個頁面相關的所有頁面都可以下載下來。這次的收獲我非產吃驚，在一個新聞組模塊里的admin.jsp.html網頁里我找到了管理員密碼，ftp密碼，還有很多其他東西。
    最后通過類似步驟，找到了8個各個模塊的管理員帳號。由于計費系統(tǒng)及其他內容涉及法律問題，比較敏感，不在此敘述了。如果單純是一個民間網站，我也不會多說什么，這畢竟是一個省級的計費系統(tǒng)。最后聯(lián)系了相關的管理人員，得到回復是:“謝謝你的通知，我們會修補好相關漏洞”,也沒有再多解釋什么。
    喜歡找“肉雞”的朋友如果細心的話會發(fā)現(xiàn)這么一個現(xiàn)象：掃描不同國家的同一個數(shù)量級的主機，能找到的“肉雞“數(shù)量往往和國家對網絡安全的重視程度成反比，1000個主機，中國可能找到100個肉雞，可美國可能最多找到5個。這不能不給我們帶來些思考，最后引用中國工程院院士、國家863計劃專項研究專家組組長何德全的話結束本文:“沒有信息安全，就沒有完全意義上的國家安全，也沒有真正的政治安全、軍事安全和經濟安全。…因此，要把我國的信息安全問題放在全球戰(zhàn)略考慮，…”