מי פורץ למרכזיות שלנו ולמה? - תוצאות מפתיעות ומפחידות
מאת: ניר סמיונוביץ, 1.5.13, 00:05
מי הם הפורצים? מהם סוגי ההונאות? מהם יעדי השיחות המועדפים על הפורצים בארץ? תוך כמה זמן ייפרצו מרכזיה ושרת מרגע עלייתם לאינטרנט? מהם דרכי ההתגוננות?
במאמר
הקודם דנתי בסוגיה כואבת: על מי מוטלת
האחריות לאבטחת המרכזיה הארגונית ולמה. לאחר פרסום המאמר, שמחתי לקבל לתיבת הדואר שלי כמות נכבדה של הודעות מקוראים, שנעו בין אנשים שלא הסכימו עם דעותיי (הגיוני, לא כולם חייבים להסכים על הכל) לבין אלה ששאלו שאלות עקרוניות בנושא. במאמר זה אנסה לתת מענה לשתיים מן השאלות, שחזרו על עצמן שוב ושוב:
- מה הם סוגי ההונאה השכיחים ביותר?
- אנחנו מבינים מה מניע האקרים לפרוץ לאתרים, אבל מה המניע לפריצת מרכזיות טלפון?
בנוסף, אעסוק בפורצי המרכזיות, בדרכי הפריצה, ביעדי השיחות המועדפים
והמפתיעים לחלוטין, בכמות הזמן לפריצת מרכזיה מרגע עלייתה לאינטרנט ובדרכי ההתגוננות.
מה הם סוגי ההונאה השכיחים ביותר?
הונאות טלפוניה מתחלקות למספר קבוצות. על מנת להתמקד, אצמצם את הדיון להונאות טלפוניה הקשורות במרכזיות ארגוניות או במערכות תקשורת טלפוניה. את אלה ניתן לסווג למקרים הבאים:
- Premium Rate Fraud (PRF or IPRF) – חיוג ליעדי פרמיום מקומיים או בינלאומיים.
- Artificially Inflated Traffic (AIT) – ניפוח תעבורה במודל Revenue Share.
- International Arbitrage – ניצול מחירונים לא מעודכנים אצל ספקי שירות.
- Internal Employee Fraud – ניצול משאבי הארגון לצרכים אישיים על ידי העובדים.
אם נתעלם, לצורך הדיון בלבד, מהאפשרות האחרונה (כיוון שאיננה כוללת פריצה למערכת המרכזיה), כל השלושה הינם לא יותר מוואריצייה אחת של השניה, כמובן בתלות מאיפה מסתכלים על הבעיה.
Premium Rate Fraud או International Premium Rate Fraud
מספרי פרמיום. בארץ אנחנו בעיקר מכירים את המספרים 1900, 1901 והחיוג הבינלאומי הנהוג אצל המב"לים. כל השלושה מספקים שירות דומה. חיוג למספרים אלה יעלה ללקוח מחיר גבוה יותר משיחה רגילה, כאשר מרכיב משמעותי מעלות השיחה מועבר אל בעל המספר, כשתשלום על התוכן אותו מספר מספק.
דמיינו לעצמכם מצב בוא תוכלו לקנות מספר בינלאומי במדינה אחרת, שבגין כל דקת שיחה אליו תקבלו מספר סנטים לכיסכם? נשמע נפלא, לא? – מספרים מסוג
International Premium Rate זמינים לרכישה באינטרנט, אתרי אינטרנט כגון:
http://www.felixtelecom.com,
https://telepremium.net ו-
http://www.audiotext.me, מציעים מספרי פרמיום לכל דיחפין, בהליך פשוט וזריז. לחברות אלה אין שום אינטרס לבדוק מי הלקוחות שלהן. יתר כל כן, הן פועלות בצורה דיסקרטית לחלוטין, כך שגם בעלי המספרים לא נחשפים לעולם בצורה מוגברת.
בהונאה זו, יפרוץ הפורץ למרכזיה ויחבר אליה חייגן אוטומטי או ישתיל חייגן אוטומטי בתוכה. החייגן האוטומטי ייצר שיחות אל יעד הפרמיום של הפורץ, וזה יאסוף את הכסף מספק התקשורת, שסיפק לו את מספר הפרמיום. לעיתים רבות, יעד הפרמיום הינו לא יותר מאשר הודעה שמורה באורך של שעה, אך בחלק מן המקרים, היעד הינו מספר פרמיום עם שירות לגיטימי. במצב כזה, בייחוד עם מדובר בשירות פרמיום פופולרי (לדוגמא, שירות היכרויות או צ'ט), לספקי השירות יש קושי לזהות את התנועה החריגה, בתוך בליל התנועה הלגיטימי לשרות. במצב זה, בעל השירות חובר אל הפורץ ואלה חולקים ברווחים מן ההונאה.
כמה כסף אפשר לגנוב בצורה זו? נעשה חשבון פשוט. נדמיין יעד פרמיום, שמחירו הוא 50 אג' לדקה. כעת, נדמיין, כי פרצנו למרכזיה המקושרת לרשת בציר
PRI בעל 30 קווים. נעשה חשבון: 30 קווים כפול 50 אג', הינם 15 ש"ח כל דקה. עכשיו, נכפיל ב-60, אזי 900 ש"ח בשעה. נניח, שהפורץ יפעיל את החייגן רק בלילה, כאשר במשרד אין אנשים ויפעיל את החייגן משעה 19:00 עד שעה 05:00, 10 שעות. כלומר, נזק של 9000 ש"ח בלילה אחד.
פורצי מרכזיות – מי אתם בכלל?
על מנת לענות על השאלה, יש לזכור דבר מאוד פשוט – פריצה למרכזיה, בניגוד לפריצת אתר אינטרנט והשחתתו, זהה לחלוטין לגניבת כרטיס אשראי – בהבדל קטן: פה חברת הביטוח
לא תכסה את הנזקים הצרופים לפריצה. פורצי המרכזיות אינם מונעים מתוך אידאולוגיה, אינם מונעים מתוך אג'נדה חברתית או פוליטית – הם מונעים על ידי כוחות השוק, הצורך לקיים שיחות טלפון בעלות הזולה ביותר האפשרית והצורך להרוויח כמה שיותר כסף בכמה שפחות זמן.
בחודש דצמבר 2010, התחלתי לבצע מחקר עצמאי בתחום, שמטרתו היתה להבין כמה דברים:
- מה מקור הפריצות? מה מאפיין מקור זה והאם הוא חוזר על עצמו?
- מה הם יעדי השיחות המועדפים על הפורצים? ומדוע?
- כאשר מרכזיה חדשה עולה לאוויר האינטרנט, עם תצורת ברירת מחדל, תוך כמה זמן היא תיפרץ?
- כאשר שרת עולה לאוויר האינטרנט, עם תצורת ברירת מחדל, תוך כמה זמן הוא יפרץ?
עלי להודות, התוצאות שקיבלתי היו מעניינות, מפתיעות ולעיתים
מפחידות.
מקורות הפריצה – יותר מגוונים ממה שניתן לצפות
מלכתחילה ציפיתי, שמרבית (אם לא כל) ניסיונות הפריצה יבוצעו דרך האינטרנט. להפתעתי גיליתי, כי מספר לא מבוטל של ניסיונות פריצה מגיעים דרך קווי הטלפון עצמם, כאשר אלה מתחלקים לשלוש קבוצות עיקריות:
- Voicemail/DISA Abuse – ניצול משאבי ה-DISA והדואר הקולי על מנת להוציא שיחות ממרכזיה מותקנת.
- Malconfiguration Abuse – ניצול של מאפיינים, שאינם מקונפגים כיאות, לדוגמא: Call Forwarding.
- Phishing – כריית מידע מנציגי שירות המקושרים למרכזיה.
את 1 ו-3 הכרתי כבר טוב. הייתי מופתע מאוד מהקלות הבלתי ניסבלת של 2. מסתבר, שמספיקה אות אחת לא במקום, על מנת לפתוח במרכזיה חור בגודל של בית – ללא שום קשר להגנות ההיקפיות. על מנת להמחיש, נשתמש בדוגמא של העברת שיחה. ההגיון אומר: כאשר שיחה נכנסת למרכזיה, מי שאמור להיות מסוגל להעביר את השיחה, יהיה מקבל השיחה. בשיחה יוצאת, יהיה זה מוציא השיחה. עד פה ההגיון הפשוט. לכל אחד מאלה פרמטר ייעודי (באסטריסק,
T ו-
t). עכשיו נניח, שמנהל המערכת איפשר את שני הפרמטרים יחד, הרי, שכעת גם משתמש, שהתקשר מהעולם אל המערכת, יכול לבצע
העברת שיחה.
כלומר, כל שאנו צריכים לעשות יהיה להתקשר לקו המוביל, להעביר את השיחה למערכת ה-
Call Forward, ולבצע הפניית שיחה מאחת השלוחות למספר פרימיום מחוץ למערכת. זהו, פשוט, קל, זריז ולא מצריך שום קישור לאינטרנט.
לפני כשלושה חודשים נתבקשתי לחקור מקרה פריצה, שלאחר הבדיקה נמצא תואם לתסריט שתואר. הפורץ המתחכם אפילו דאג לבצע חיוג מרוחק מחו"ל אל השלוחה, כדי שזה יהיה אוטומטי. בתוך פחות מיום נגנבו מהלקוח מעל 8,000 ש"ח.
קשה מאוד לומר מה מקור הפריצה במקרים אלה, שכן מרבית הפריצות מבוצעות משרתים, שנפרצו בעולם, בייחוד אצל ספקי ה-
Hosting הפחות טובים והפחות מעודכנים. שרותי אחסון בעולם אימצו את התוכנות הפתוחות בצורה גורפת, אך לא לכולם יש ידע מעמיק על מנת לנהל תשתיות אלו בצורה מאובטחת. כיום, אפשר לנצל גירסאות מסויימות של
phpbb, אחד ממנועי הפורומים הפופולאריים ביותר באינטרנט, כמנוע ל-
Botnet ועל ידי כך
לפרוץ שרתים אחרים.
יעדי שיחה מועדפים – יחי הקומוניזם והדיקטטורה
בזמן שהותי ב-
Humbug Telecom Labs, ביצעתי ניתוחים רבים ליעדי שיחה. באחד הניתוחים הופתעתי לגלות, כי
Sao-Tome (אי אחד מתוך שנים, השייכים לרפובליקה הדמוקרטית של סאו טומה ופרינסיפה ממערב לאפריקה במפרץ גינאה מול גבון), הוא יעד חביב לגנבי השיחות, ככל הנראה מפעילים המוכנים לשתף פעולה בהונאות
International Premium Rate. מהחקירות שערכתי בישראל נראה, שהיעדים החביבים בארץ הינם:
הרשות הפלסטינאית (לא מפתיע),
קוריאה הצפונית,
לטביה ו
מולדובה.
קוריאה הצפונית כיעד הפתיעה אותי, כיוון שתהיתי: כיצד ניתן לבנות קשרים עסקיים עם ספק שיחות בקוריאה הצפונית? הרי זה לא יעד עסקי פשוט ונדרשת עבודה אמיתית בשביל לבנות את ההונאה הזו.
מה שעוד הפתיע אותי היה הגיוון בזמן התקפה. במקור, הטענה היתה: "פריצה תתבצע ליעד מסויים, אך לא למגוון ייעדים בעת ובעונה אחת". ניתוח רישומים הראה, כי הפורצים מבצעים חיוגים
ליעדים רבים, תוך כדי שימוש בכמה שיותר מב"לים. כלומר, הפורצים יודעים כי המב"לים מפעילים מערכות ניתוח תנועה, ועל מנת לא "להקפיץ דגלים" מהר מדי, משנים את המב"ל היוצא כל כמה שיחות.
אחת ההתקפות שחקרתי הראתה שיחות בו זמנית לקוריאה הצפונית, רומניה, לטביה, ערב הסעודית והרשות הפלסטינאית. הדבר יכול להיראות כמו נתון שרירותי לחלוטין. אך, התבזרות החיוגים היתה מעניינת. מעל 60% מהחיוגים בוצעו לקוריאה הצפונית ולרשות הפלסטינאית. כלומר, ככל הנראה, ה-
Revenue Share המתקבל ביעדים אלה הוא הטוב ביותר.
פקטור הזמן – כמה זמן לוקח לפרוץ מרכזיה המקושרת לאינטרנט?
אחת השאלות היותר מטרידות היא: כמה זמן יש לנו? פקטור הזמן הוא משמעותי. מרבית האנשים לא יודעים, אך האינטרנט מלא ברובוטים אוטומטיים, שכל תפקידם לסרוק את האינטרנט לחפש שרתים לניצול. בין אם השרתים נפרצו או לא, קיימת סבירת גבוהה ביותר, כי מרגע עלייתם לאוויר באינטרנט – תוך כ-30 דקות הם ייסרקו לפחות פעם אחת.
כדי לתת מספרים קצת יותר מדוייקים, בניתי את סביבת הניסוי הבאה:
- שרת לינוקס בסיסי שסיסמת ה-root שלו היא 123456.
- שרת Asterisk בסיסי. כמו כן, הוגדרו 3 שלוחות, כאשר הסיסמא היתה זהה למספר השלוחה.
- שרת מבוסס SnomOne בסיסי. גם שם הוגדרו 3 שלוחות, עם סיסמאות קצת יותר קשות, אבל עדיין סידרתיות ומקושרות למספר השלוחה.
ברור לכולנו, שמדובר בהתקנות טיפשיות לחלוטין. אולם, הן נועדו להוות
Honey Pot לפורצים או רובוטים. התוצאות היו מטרידות עד כדי מפחידות. שרת הלינוקס הבסיסי
נפרץ בתוך 15 דקות מרגע הגדרת כתובת ה-
IP הציבורית. שרתי ה-
Asterisk וה-
SnomOne נפרצו תוך כ-45 עד 60 דקות והראו ניסיונות שיחה ליעדים ברשות הפלסטינאית.
נתוני הזמנים האלה מטרידים ביותר, בייחוד בהתחשב בזמן הנדרש להתקנת מערכת. מרבית המתקינים קודם יתקינו את המערכת, יגדירו כתובת ציבורית לחיבור
SIP TRUNK, ורק לאחר מכן יתחילו לדאוג לאבטחת המערכת. כלומר,
עוד בזמן ההתקנה, קיים סיכוי סביר כי המערכת תיפרץ והמתקין אפילו לא ישים לב לשינויים ולפריצה המתרחשת.
אז איך מתגוננים?
אומרים, שבחיים אתה פוגש כל מיני מורים, כאלה שרק לימדו אותך וכאלה שהשאירו עליך חותם חינוכי. אחד המורים/מרצים, שהשאיר עלי חותם היה פרופ'
דויד צילאג (ז"ל) מהפקולטה למתמטיקה בטכניון. מלבד היותו אחד המרצים המדהימים ביותר, שאי-פעם התהלכו במוסד זה, היה לדויד צמא לידע ולחקירה, שניכר היה בצורה שבה לימד והעביר חומר אקדמי. פרופ'
צילאג לימד אותי משהו פשוט: "אם עובר יום בלי ללמוד משהו חדש, זה היה יום מבוזבז". בגדול, זה אומר להיות מודע לעובדה, שאני לא יודע הכל, ולא משנה כמה אני אהיה מנוסה, תמיד אוכל ללמוד משהו חדש.
לא, אני לא מתכונן לדבר על חסימת פורטים, סיסמאות חזקות או סגירת שרותים – את כל אלה אתם כבר
יודעים. אני כן אדבר על עקרונות מנחים, שהם הרבה יותר חשובים והרבה יותר מעניינים מהפעולות הטכניות.
שלב ראשון – אל תהיו יומרניים, אתם לא יודעים הכל
האינטגרטור שלכם לא יודע הכל, דאגו לקבל חוו"ד נוספת מאיש תקשורת נוסף בסיום הפרויקט. המלצתי היא לקבל חוו"ד מיועץ מקצועי, ולא מאינטגרטור אחר. היועץ המקצועי יוכל לבצע הערכה שקולה ומאוזנת, ללא קשר לציוד או החומרה המותקנת.
שלב שני – היו מיודעים
האינטגרטורים אוהבים להפעיל
Features שונים, מתוך אמונה שזה יסייע להם במכירה. הציבו שאלו קשות כגון: מה השלכות ה-
Feature על אבטחת מידע? האם קיימת סכנה של גניבת שיחות? כמה ניסיון יש לך בהפעלת ה-
Feature הזה?
לכל
Feature במרכזיה יש משמעות שונה. לעיתים קרובות יש השפעה על אבטחת המערכת. אפילו
Feature פשוט כמו
Call Forward או
Call Transfer יכול לפתוח קן של צרעות, אם לא הופעל כיאות.
שלב שלישי – היו בשליטה
המערכת עובדת? יפה מאוד. בצעו מעבר מידגמי אחת לכמה ימים על רישומי השיחות – האם השיחות הגיוניות? אין לכם זמן? קיימים יועצים, שישמחו לעשות זאת עבורכם.
במרבית המקרים, חריגת שימוש תוכל להתגלות הרבה לפני ה"מכה" האמיתית. מרבית הפורצים מבצעים עבודה מדגמית, כאשר התקיפה מגיעה בזמן מאוחר יותר. במצב כזה, מעבר מידגמי אחת לכמה ימים יוכל לזהות את החריגה בשימוש (יעדים, זמני שיחה, זמן ביום, וכו').
שלב רביעי – פתחו עיניים
קיימות היום מערכות שונות המאפשרות לבצע ניטור בזמן אמת של תנועת המרכזיה. שירותי אונליין כדוגמת
Humbug, ומערכות קוד פתוח כדוגמת
Homer מאפשרות לראות את תנועת המערכת ברמות שונות, בזמן אמת. למערכות אלה יש יכולות אלו ואחרות בזיהוי חריגות. לדוגמא, מערכת ה-
Homer מסוגלת לייצר
Packet Capture מדוייק של כל תנועת ה-
SIP של המרכזיה שלכם.
כלים אלו מאפשרים לנטר את הרשת בצורה אקטיבית, לקבל מידע בזמן אמת והכי חשוב, לראות את הדברים כאשר הם קורים, ולא פחות, לשמור עדויות למקרה שהן נדרשות.
שלב חמישי ואחרון – עד כמה אתם באמת מכירים את העסק שלכם?
מרבית בעלי העסקים מאמינים כי יש להם היכרות אינטימית עם העסק שלהם. במקרה של בעל מכולת או עסק קטן, הסבירות לכך היא גבוהה. אבל כאשר העסק גדל, ומערכת התקשורת גדלה – היכולת של המנכ"ל/בעלים להכיר את העסק שלו בפרטים, קטנה בסדרי גודל.
להכיר את העסק אומר, לדעת מתי שיחות טלפון אמורות להתקיים? לאיזה יעדים מתקשרים? מה כמות השיחות הממוצעת לחודש? מה החשבון הממוצע לחודש? – כל אלה מייצרים את הפרופיל העסקי של מערכת התקשורת שלכם. חריגה קטנה מאלה צריכה להצביע על בעיה אפשרית. אין מן האמור לומר שמיד יש להפנות את האצבע לפריצה, אך בהחלט יש להתחיל לבדוק את הנושא – כיוון שהונאה מצד העובדים היא גם
אפשרות.
מאת:
ניר סמיונוביץ, מאי 2013.
מנכ"ל
GreenfieldTech
www.greenfieldtech.net
nirs@greenfieldtech.net