На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Служебные сигналы

Одна из основных проблем клиентских программ состоит в том, что данные для управления клиентской программой "перемешаны" с обычными пользовательскими данными, т.е. пользовательские данные передаются по одному каналу с управляю­щими данными. Эта технология известна в телефонии как внутриполосная сигнали­зация (in-band signaling), и связанные с ней проблемы "голубых коробочек" (blue box) и других хитростей для осуществления междугородных и международных звонков в 1960-1970-х годах.
Служебные управляющие сигналы, передаваемые в одном канале с данными пользователя, как будто специально созданы для нападения на системы безопасно­сти, поскольку система не способна различить пользовательские данные и управ­ляющие команды. Проблемы увеличиваются в геометрической прогрессии, когда клиентские и серверные программы предназначены для более сложных действий, нежели обеспечение телефонной связи. Кто может разобрать, какие данные посту­пают от сервера, а какие предоставлены потенциальным хакером?
Старая (но актуальная) история
Как становится понятным из следующего шаблона атаки, служебные (внутри-полосные) сигналы использовались хакерами в течение десятилетий.
Шаблон атаки: аналоговые внутриполосные коммутирующие сигналы
Многие люди слышали о сигнале 2600, который широко использовался для управления телефонными коммутаторами в Соединенных Штатах в 1960-1970-х годах (вероятно, больше людей знают о хакерском клубе 2600, чем о причине такого названия клуба). Большинство современных систем неуязвимы для этих атак "древних" хакеров. Однако еще можно найти такие устаревшие системы. Этой проблеме подвержены межатлантические телефонные линии связи, а их замена стоит слишком дорого. Поэтому для многих международных номеров 800/888 проблемы внутриполосных сигналов актуальны и по сей день.
Рассмотрим интернациональную систему сигнализации CCITT-5 (C5). В этой системе не используется популярная частота 2600 Гц, а используется для управляющего сигнала частота 2400 Гц. Если вы слышали пиканье и щелканье, записанные в альбоме "The Wall" группы Пинк Флойд, то вам знакомы сигналы С5. Сейчас продолжают работать миллионы телефонных линий, подключенных посредством коммутаторов с внутриполосной сигнализацией.
При этой атаке в обычной линии для голосовой связи передаются специальные управ­ляющие команды, что позволяет получить контроль над линией, перенаправить звонок и т.д.

Захват телефонной линии связи с системой сигнализации С5
Чтобы добиться контроля над линией связи с системой сигнализации С5, зло­умышленник сначала должен захватить линию связи. Во времена "голубых коробо­чек" для этой цели было достаточно подать в линию шум на частоте 2600 Гц. При использовании системы сигнализации С5 задача немного усложняется, но решение по-прежнему очень простое. Злоумышленнику достаточно одновременно подать сигналы на частотах 2400 Гц и 2600 Гц. Этот "составной звук" должен продолжаться около 150 мс и подтверждаться звуком "плип", который выдается коммутатором. Звук "плип" называют сигналом подтверждения завершения вызова (release guard). Затем злоумышленник должен немедленно подать чистый звук на частоте 2400 Гц в течение 150 мс. Время задержки между сигналами может находиться в диапазоне от 10-20 мс до 100 мс. Определить нужное время задержки можно только в результате "тестирования" конкретного коммутатора. После захвата линии связи хакер услы­шит еще один звук "плип". Он означает, что удаленный коммутатор завершил вызов на этой стороне канала связи. Теперь этот коммутатор ожидает нового звонка. Одна­ко злоумышленник остается подключенным к удаленному коммутатору, хотя в этот момент времени и не существует никакого активного звонка. Теперь злоумышлен­ник может отправлять сигналы для установки нового соединения.
Что сделает хакер после установления контроля над магистральной линией свя­зи? Сначала следует удостовериться, что хакер получил контроль над телефонным коммутатором, т.е. что он может набирать номера, которые обычно не доступны для конечных пользователей. Например, он может набирать номера для подключения к другим операторам телефонии. Некоторые из этих операторов взаимодействуют только с другими операторами и никогда не получают звонков от конечных пользо­вателей (они только маршрутизируют звонки других операторов), что предоставля­ет возможности для атак социальной инженерии. Так можно проникнуть даже в во­енные телефонные системы, т.е. создать подключения к секретным линиям. После захвата злоумышленником линии связи, коммутатор ждет нового звонка. Злоумыш­ленник должен отправлять сигналы в следующем формате.
КР2-44-КОДОВАЯ ЦИФРА-МЕЖДУГОРОДНИЙ КОД-HOMEP-ST ИЛИ
КР1-  КОДОВАЯ ЦИФРА-МЕЖДУГОРОДНИЙ КОД-HOMEP-ST
Особый интерес представляет кодовая цифра (descriminator digit). Эта цифра управляет маршрутизацией звонка. Ниже приведены международные кодовые циф­ры. Они различны для каждой страны.
0 или 0 0  - направить через кабельное соединение
1 или 11  - направить через спутниковый канал
2 или 22  - направить через военную сеть
2 или 2 2  - направить через сеть оператора
3 или 3 3 - направить через Microwave 9 или 9 9  - направить через Microwave
Для КР1, КР2 и ST используются специальные сигналы, которые различаются в зависимости от атакуемой сигнальной системы. В С5 используются сигналы сле­дующих частот.

KPl 1100 Гц +  1700 Гц
КР2 1300 Гц + 1700 Гц
ST 1500  Гц +  1700 Гц
При наборе злоумышленником нового номера, если слышится звук "плиип", зло­умышленник может использовать "голубую коробочку" еще раз. Неоднократно ис­пользуя "голубую коробочку", злоумышленник может "пройти" через многие страны или коммутаторы. При "проходе" хакера через две или три страны, звонок будет уже невозможно отследить. После этого злоумышленник может запустить атаку "грубой силой" или подключиться к коммутируемым портам с помощью модема, не боясь быть выявленным в своей родной стране. Преимущества такой атаки в целях шпио­нажа очевидны.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика