3 CCiTT #7 Ueberwachung
\r
9 Wer sich wundert : Ja, dieser Text ist schon im THC-MAG #1 erschienen.
\r
10 Er wurde dann stark erweitert und erschien dann im Time-For-a-Change
\r
11 Magazin #4. Aus aktuellem Anlass, darunter, dass dieses Magazin #4 in
\r
12 Deutsch erscheint, wurde der Artikel uebersetzt und noch etwas erweitert,
\r
13 dafuer alle nicht-deutsch-spezifischen Informationen entfernt.
\r
20 CCiTT #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling
\r
21 System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer
\r
22 Telekommunikation eingesetzt wird - wie hier in Deutschland.
\r
23 Es benutzt 2 Kanaele fuer die Kommunikation : Der 1. ist der Sprachkanal, also
\r
24 das, was der Kunde spricht (oder das Fax das er sendet). Der 2. Kanal ist der
\r
25 Datenkanal. Dieser ist vollkommen separiert vom Sprachkanal und enthaelt alle
\r
26 Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen,
\r
27 Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc.
\r
28 Dieser Datenkanal wurde seit dem CCiTT #6 separiert, da er bis #5 zum
\r
29 sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter
\r
30 anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige
\r
31 etc). Es wird mittlerweile in allen West-Europaeischen Laendern und Nord-
\r
32 Amerika benutzt, und mehrere Laender steigen auch um, wie z.B. Israel letztes
\r
38 Das deutsche Ueberwachungssystem fuer CCiTT #7
\r
39 ------------------------------------------------
\r
41 Seit Anfang '96 benutzt die Deutsche Telekom AG das CCiTT #7 Ueberwachungs-
\r
42 system von Hewlett Packard, genannt AcceSS 7.
\r
47 Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4
\r
48 weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber
\r
49 keines ist so erfolgreich wie das AcceSS 7.
\r
50 Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber
\r
51 die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen
\r
52 Systems und erweiterten es.
\r
54 HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom
\r
55 (damals noch nicht AG :) bekannt gab, als erste europaeischer
\r
56 Telekommunikationsbetreiber dieses System zu installieren.
\r
57 Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96),
\r
58 Israel (Bezeq Mai '96), Bell USA (Juni '96) das AcceSS 7.
\r
60 Im Mai '95 10 der 30 groessten Telekommunikationsanbieter der Welt, heute
\r
61 (Anfang '97) ueber 20 dieser 30 haben AcceSS 7 installiert.
\r
62 Auch British Telecom, TeleWest, GTE und AT&T Wireless benutzen teile des
\r
64 Der Geschaeftsleiter von HP sagte dazu in einem Interview :
\r
65 "Wir schaetzen, dass ueber 90% der CCiTT #7 Verbindungen die
\r
66 ueberwacht werden, durch unser System ueberwacht werden."
\r
68 Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das
\r
69 "Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken..
\r
70 Es wurde erstamls bei den Olympischen Spielen in Atlanta von BellSouth
\r
71 getestet - mit hervorragendem Erfolg.
\r
72 HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr
\r
73 als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln
\r
74 um Telekommunikationsbetrug zu bekaempfen.
\r
76 Der Erfolg von AcceSS 7 liegt in dem flexiblen und ausbaufaehigem Design,
\r
77 das sich nicht nur leicht in jedes bestehende CCiTT #7 System integrieren
\r
78 laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst
\r
79 werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate
\r
80 nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.
\r
85 HP's Grundpaket sind 4 8-weg symmetrische multiprozessing (SMP)
\r
86 HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link.
\r
87 Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren.
\r
88 Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser
\r
89 inzwischen ausgeliefert wurde ist mir nicht bekannt.
\r
94 Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das
\r
95 HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T.
\r
96 Die Clients laufen auch auf HP-UX unter HPs OpenView X-Window System.
\r
97 Alles ist in C programmiert, die libraries, mit denen man eigene
\r
98 Software programmieren kann fuer AcceSS 7 ist mit installiert.
\r
99 Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um
\r
100 speziellen Aufgaben erfuellen zu koennen.
\r
102 Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte
\r
103 "call detail record" (CDR) fuer jeden Anruf erstellt.
\r
104 Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert
\r
105 und in jeder gewuenschten Art & Weise verwendet werden.
\r
106 HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle,
\r
107 Verkehrskontrolle und Betrugsidentifikation.
\r
109 Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache
\r
110 von CCiTT #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs-
\r
111 analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den
\r
112 Daten so ziemlich alles machen konnte.
\r
113 In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von
\r
114 Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und
\r
115 Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt.
\r
116 Deshalb hier ein paar Informationen, wie das System arbeitet :
\r
119 þ Das Betrugs-Identifikations-Toolkit :
\r
121 Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern
\r
122 matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein
\r
123 Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine
\r
124 Situation diesem Szenario entspricht ("the patterns match") dann wird
\r
127 Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt
\r
128 werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen
\r
129 ins Ausland gehen als in einer Wohngegend.
\r
131 D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer
\r
132 Typ von Betrug gefunden wurde.
\r
133 Alles was in ein Betrugsszenario passt und was weit von dem normalen
\r
134 Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.
\r
136 Betrugs-Szenarien sind :
\r
137 Anrufe sehr langer Dauer
\r
138 Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend
\r
139 Wiederholte Anrufe von einer Gegend zu unterschiedlichen Nummern
\r
140 Lange/viele Anrufe von einer Nummer die nicht zahlt
\r
141 Das Anwaehlen bestimmter definierter Rufnummern
\r
142 Das Anwaehlen vieler gebuehrenfreier Rufnummern
\r
144 Sowie spezialisierte Szenarien :
\r
145 Anrufe zu Nummern die besonders oft missbraucht werden
\r
146 Verdaechtige Anwendung von "Anruf-Weiterschaltung"
\r
147 viele Anrufe insbes. Auslands-, von einem Anschluss
\r
148 viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen
\r
150 Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem
\r
151 Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem
\r
152 Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet.
\r
153 Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung,
\r
154 Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.
\r
156 Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von
\r
157 bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario
\r
164 XXXXXXXXXXXXXXXX \ Out-of- --> XXXXXXXX \ Weitergehende --> XX
\r
165 XXXXXXXXXXXXXXXX - Pattern/ --> XXXXXXXX - Out-of-Pattern/ --> XX
\r
166 XXXXXXXXXXXXXXXX / Scenario XXXXXXXX / Szenario
\r
167 XXXXXXXXXXXXXXXX / oder manuelle
\r
168 XXXXXXXXXXXXXXXX / Pruefung (Operator)
\r
171 Eingehende Ueberwachungs- Alarm des Weitergehende BETRUGS-
\r
172 Anrufe in das system- Ueberwach- Out-of-Pattern/ FAELLE
\r
173 Ueberwachungssystem analyse unssystems Scenario oder
\r
174 manuelle Uberpruefung
\r
179 þ Wo sind die deutschen HP AcceSS 7 Systeme
\r
181 Deutsche Telekom AG :
\r
182 Frankfurt, Duesseldorf, Stuttgart und Nuernberg
\r
183 Control Centers in Frankfurt und Bamberg.
\r
185 Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom
\r
186 angegliedert (HITNET), die nur ueber eine Firewall an dem Internet
\r
187 angeschlossen sind.
\r
196 Ein kleiner Teil der Informationen in diesem Artikel war schon im
\r
197 THC Magazine #1 (Februar '96) zu lesen. Ich aktualisierte danach die
\r
198 Informationen, fuegte vieles ein und der Artikel erreichte die doppelte
\r
199 Groesse :) ... Er erschien dann im Time For a Change #4, dem amerikanischen
\r
200 Magazin von einem Kumpel, Ghost in the Machine. Fuer das 4. THC Magazine
\r
201 habe ich ihn uebersetzt, leicht aktualisiert und gekuerzt was nicht fuer
\r
202 Deutsche interessant ist, damit er mehr Leute ihn lesen und insbesondere
\r
203 Phreaker auf die Gefahr aufmerksam werden und sich ueberlegen wie sie das
\r
204 System ueberlisten koennen.
\r
206 Das System *ist* aktiv, wie z.B. gerade ein Fall von vor 2 Wochen zeigt :
\r
207 Ein Freund hatte 0130-Scanning betrieben, so ca. 6 Stunden ueber Nacht laufen
\r
208 lassen, und als er ihn am morgen beendete bekam er nach kurzer Zeit einen
\r
209 Anruf, dass auffaellig oft von seiner Leitung aus gewaehlt wurde, der
\r
210 Anschluss sofort gesperrt und erst wieder freigeschaltet wird, nachdem er
\r
211 von einem Telekomtechniker vor Ort inspiziert wird.
\r
213 Wer also in einer laendlichen Region wohnt hat hiermit echt Probleme, wer
\r
214 allerdings direkt in einer Grossstadt wohnt, idealerweise vielleicht noch
\r
215 angeschlossen an einer VST an dem auch viele Betriebe angeschlossen sind,
\r
216 hat da mehr Glueck.
\r
218 Wer sich den Artikel aufmerksam durchgelesen hat wird merken, dass zugleich
\r
219 viel wie wenig drinnen steht. Es ist alles, was ich aus sensitiven Daten
\r
220 wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen-
\r
221 gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System.
\r
222 Da ich nicht weiss ob folgende 2 Dinge mit dem AcceSS 7 zu tun haben, habe
\r
223 ich sie hier reingeschrieben :
\r
224 Es ist technisch ohne Probleme moeglich herauszufinden, auch mit AcceSS 7,
\r
225 ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.)
\r
226 oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich
\r
227 nicht, wird aber schon seit laengerem bei guten PBXen gemacht.
\r
228 Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt-
\r
229 lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem
\r
230 Zusammenhang mit AcceSS 7 steht oder was genau sie macht ist mir leider
\r
231 (noch) nicht bekannt.
\r
233 Wer noch irgendwelche Infos hat, einfach eine email senden an vh@campus.de
\r
234 und mit dem PGP key unten verschluesseln. Wer Informationen dieser Art
\r
235 zurueckhaelt schadet anderen nur, hat selbst aber keinerlei Vorteile, da
\r
236 es ja nix ist, was stirbt, wie eine C5 Nummer oder eine PBX ...
\r
239 Passt auf euch auf ...
\r
241 van Hauser / THC (vh@campus.de)
\r
244 Type Bits/KeyID Date User ID
\r
245 pub 1024/3B188C7D 1995/10/10 van Hauser/THC of LORE BBS
\r
247 -----BEGIN PGP PUBLIC KEY BLOCK-----
\r
250 mQCNAzB6PNQAAAEEALx5p2jI/2rNF9tYandxctI6jP+ZJUcGPTs7QTFtF2c+zK9H
\r
251 ElFfvsC0QkaaUJjyTq7TyII18Na1IuGj2duIHTtG1DTDOnbnZzIRsXndfjCIz5p+
\r
252 Dt6UYhotbJhCQKkxuIT5F8EZpLTAL88WqaMZJ155uvSTb9uk58pv3AI7GIx9AAUT
\r
253 tBp2YW4gSGF1c2VyL1RIQyBvZiBMT1JFIEJCU4kAlQMFEDJ2gzNAf3b9d/IP1QEB
\r
254 5DwD+gJRh6m4h0fVgpQJkOiuQD68lV5w8C0F5R3jk/o6Pollaf7gtVhG8BGGo5/7
\r
255 /yiH40gujc82rJdmihwcKuZQtwt8X28VN8uy56SCpXD5wjjOZpq0t0qSXmhgunZ0
\r
256 m7xv7R4mWRzFclsgQCMwXNgp4sXgw64bVm8FhEdkrVSO8iTyiQCVAwUQMkMhCspv
\r
257 3AI7GIx9AQFstAP+Jrg7V06FGV/sTzegFNoaSyOItkvXjctzFsXuBfta2M7EzPX3
\r
258 UR3kM4/W4xE70H4XmMOJ9RmTzs+MuhSq8BtGQtYaJqGjxe/ldbvGOXRxR1rBJAKS
\r
259 yDQYu0VJ/Ae8yuJcMS312jqwg8OLgYnQaqEoaRM4HEiB+hgDRqnFKpDxkhSJAJUD
\r
260 BRAyQx8E5y7IvlL6xvEBAQ+bA/9baK7f3M9F5n4aASy04WHOreUNpGQ8DXgtMVq7
\r
261 KVdXMIWjURsboR+wt5eJTPeL00lHS5eqmZlNzGV9hWtzAr20qrKLmvE20Ke4VPB0
\r
262 a/tWXNUdvLnk4ENbTBFfMMdnlDo3hSThSMQ7yZ9UEYgighKu6l2fG5UG6D+kXFLy
\r
265 -----END PGP PUBLIC KEY BLOCK-----
\r