Judit
3 °C
6 °C

Figyelő telefonközpontok

2002.03.25. 09:26
Néhány cikkel korábban azzal zártam soraimat, hogy osszák meg velünk biztonságtechnikailag érdekes tapasztalataikat. Érkezett egy érdekes felvetés, ami a manapság széles körben használt telefonközpontok biztonságát firtatja. Annak érdekében, hogy ne lehessen ráismerni az esetet leíróra, ismét megváltoztattam néhány jelentéktelen momentumot a történetben.
Információközlőm arra hívta fel a figyelmemet, hogy a nagyobb, telefonközpontot üzemeltető cégek ki vannak szolgáltatva külső megfigyelőknek. Ebben elsősorban azt a veszélyt látta, hogy sokan használnak telebank jellegű szolgáltatást, és annak hosszabb idejű figyelésével rekonstruálható az eredeti kód, lehetővé téve a pénzmozgások illegális kiváltását.

Érvelését az alábbi tapasztalataival támasztotta alá:

  1. Azon cégeknél, ahol a telefonszámok csak utolsó négy számjegyükben térnek el egymástól, a legelső előtti vagy az utolsó utáni egy modem elérését teszi lehetővé. Ez ismeret birtokában könnyen végigpróbálható az összes lehetséges célpont száma.
  2. Neki személyesen saját modeme segítségével sikerült több ilyen központtal felvennie a kapcsolatot. Bejelentkezni ugyan a név és jelszó hiányában nem tudott, de feltételezi, hogy azok az informatikában "szokásos" módon könnyen kitalálhatók.
  3. A cégénél számítógép van hozzákötve a telefonközponthoz. Egy véletlen folytán meg tudta nézni az eltárolt telefonszámokat, és azok végén meglelte a telebankos szolgáltatás elérését lehetővé tevő kódrészleteket.
  4. A telebankos rendszerek többsége a titkos azonosító véletlenszerűen kiválasztott számjegyeit sorban kéri be, így viszonylag hamar rekonstruálható az eredeti kód.

A kapott információ alaposan felkeltette az érdeklődésemet. Megkérdeztem szakembereinket a visszaélés lehetőségeiről. A válaszokat az állításokkal azonos sorszámokkal ellátva közlöm.

  1. Csak nagyobb központoknak van távoli belépési lehetősége. Ilyen esetekben a modem száma többnyire vagy teljesen eltérő telefonszámú analóg vonal, vagy csak a telefonközpontos segítségével kérhető. Igaz ugyan, hogy lustaság, vagy költségcsökkentés miatt lehet találkozni olyan megoldásokkal is, mint amit az adatközlő leírt, támadásuk azonban így is igen nehéz, mert általában nem közönséges modemekkel vannak felszerelve ezek a központok. Mindent egybevetve az ilyen cégeknek is célszerű ezt a lehetőséget az előbbi két módon kiiktatni.
  2. Közönséges modemmel csak néhány központtípussal lehet felvenni a kapcsolatot, gondot jelenthet azonban itt is a kapcsolat paramétereinek helyes beállítása. A sikeres kapcsolatfelvétel ugyan nem lehetetlen, de a belépést nagyban megnehezíti, hogy a jelszómegadás gyárilag korlátozott, legalább 7 karakter hosszú, és betűket, számokat vegyesen tartalmazó kód lehet csak. Ha véletlenül sikerülne ezt is kitalálnia a bejelentkezőnek, olyan felülettel találná magát szembe, mely nincsen publikálva, csak azok a szakemberek ismerik, akik magának a telefonközpontnak az üzembehelyezését, szervizelését végezték. Ha mégis ismernék, akkor sem férhetnének hozzá közvetlenül az adatokhoz, külön programot kellene írniuk hozzá.
  3. A telefonközpontot egy soros vonal köti össze a számítógéppel. A kommunikáció egyirányú, nincsen arra mód, hogy a gépen tárolt adatokat a központon keresztül el lehessen érni. Normál esetben a rendszer csak a telefonszámokat rögzíti, levágja a kapcsolat létrejötte után megadott számjegyeket, sőt az átküldött számok hosszát kb. 20 karakterben szokták maximálni. Ha a gép mást is rögzített, akkor az a központ programozójának hanyagságára, vagy meghibásodásra utal. Az egyik banknál pl. a teljes hossz telefonszámmal, azonosítókkal már eleve 27 karakter.
  4. A telebankos azonosító jegyeiből kellőszámú minta esetén sajnos tényleg rekonstruálható a kód, ha tényleg rögzítésre kerültek ezek az adatok. Ilyen műveleteket egyébként sem szoktak, de nem is célszerű a vállalatnál végezni.

Összegzésként tehát elmondható, hogy a korszerű telefonközponttal rendelkező cégek rendszerébe való külső behatoláshoz speciális szakértelemre van szükség. Sebezhetőségük nem a banki tranzakciók megfigyelhetőségében, hanem elsősorban abban állna, hogy össze lehet zavarni a cég kommunikációs rendszerét. A hívások és egyéb kódok figyelése kívülről még az előbbinél is nagyobb felkészültséget igényelne.

A cégen belül arra feljogosított személyek természetesen hozzáférhetnek a telefonhívások adataihoz. A helyesen beállított központoknál ez azonban csak a telefonszámokra korlátozódik. Ha a vezetés úgy gondolja, arra is van mód, hogy a telefonszámnak is csak az a része legyen rögzítve, amely a költségszámításhoz feltétlenül szükséges.

Nászút ajándékba!

Esküvőt tervez? Tervezzen velünk, nyerjen wellness nászutat!

Budapest Te Csodás!

Karácsonyi pompába öltözött utcák, színes adventi vásárok, gazdag kulturális élmények, ez mind Budapest.