移动数据网络基础架构

在移动数据网络中，设备定位至关重要。荷兰KPN运营商拥有约5000个基站站点，每个站点通过小区标识符(CI)和路由区域码(RAC)进行分组。国际移动用户标识(IMSI)、接入点名称(APN)和UICC智能卡构成网络接入基础。数据包传输需经过基站(BTS)、归属位置寄存器(HLR)、GPRS支持节点(SGSN/GGSN)等核心组件，采用基于UDP的GPRS隧道协议(GTPv0/v1/v2)建立专用通信隧道。

GRX漫游网络的安全风险

GRX作为运营商间的GPRS漫游交换网络，本应与其他网络隔离。但研究发现：

1. 协议分析：KPN CERT团队开发了GTP头部剥离脚本，可提取明文流量（包括凭证信息）
2. 定位追踪：GTP头部包含MCC/MNC/LAC/CI等字段，结合unwiredlabs.com API可精确定位设备
3. 网络暴露：扫描发现15家运营商的5.5万台GRX主机暴露在互联网，运行着存在漏洞的BIND、Exim等服务

渗透测试方法论

研究团队采用"杀伤链"模式进行审计：

1. 通过BGP路由表分析发现4.8K个子网(32万IP)
2. 使用zmap进行GTP ping扫描(UDP 2152/2123端口)
3. 利用SGSNEMU工具模拟SGSN节点建立PDP上下文
4. 发现运营商DNS服务器运行老旧易受DoS攻击的BIND版本
5. 扫描暴露的SMTP/FTP/Telnet服务存在大量已知漏洞

Belgacom攻击事件关联

2013年比利时电信遭GCHQ入侵事件表明：

• 直接攻击管理员比利用外围漏洞更有效
• GRX网络缺乏BGP认证和入口过滤
• 建议措施包括移除BGP前缀、实施最小权限访问控制等

演讲者背景

Stephen Kho（KPN渗透测试专家）和Rob Kuiters（移动安全专家）专注GRX/4G LTE安全研究，曾共同发表《4G LTE安全：黑客知道却不愿你了解的事》。