Papers/c7-ueber.txt

   1 \r
   2 \r
   3                             CCiTT #7 Ueberwachung\r
   4 \r
   5                                 by van Hauser\r
   6 \r
   7 \r
   8 \r
   9  Wer sich wundert : Ja, dieser Text ist schon im THC-MAG #1 erschienen.\r
  10  Er wurde dann stark erweitert und erschien dann im Time-For-a-Change\r
  11  Magazin #4. Aus aktuellem Anlass, darunter, dass dieses Magazin #4 in\r
  12  Deutsch erscheint, wurde der Artikel uebersetzt und noch etwas erweitert,\r
  13  dafuer alle nicht-deutsch-spezifischen Informationen entfernt.\r
  14 \r
  15 \r
  16 \r
  17                                Was ist CCiTT #7\r
  18                               ------------------\r
  19 \r
  20  CCiTT #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling\r
  21  System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer\r
  22  Telekommunikation eingesetzt wird - wie hier in Deutschland.\r
  23  Es benutzt 2 Kanaele fuer die Kommunikation : Der 1. ist der Sprachkanal, also\r
  24  das, was der Kunde spricht (oder das Fax das er sendet). Der 2. Kanal ist der\r
  25  Datenkanal. Dieser ist vollkommen separiert vom Sprachkanal und enthaelt alle\r
  26  Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen,\r
  27  Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc.\r
  28  Dieser Datenkanal wurde seit dem CCiTT #6 separiert, da er bis #5 zum\r
  29  sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter\r
  30  anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige\r
  31  etc). Es wird mittlerweile in allen West-Europaeischen Laendern und Nord-\r
  32  Amerika benutzt, und mehrere Laender steigen auch um, wie z.B. Israel letztes\r
  33  Jahr.\r
  34 \r
  35 \r
  36 \r
  37 \r
  38                 Das deutsche Ueberwachungssystem fuer CCiTT #7\r
  39                ------------------------------------------------\r
  40 \r
  41  Seit Anfang '96 benutzt die Deutsche Telekom AG das CCiTT #7 Ueberwachungs-\r
  42  system von Hewlett Packard, genannt AcceSS 7.\r
  43 \r
  44 \r
  45  þ Geschichte :\r
  46 \r
  47    Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4\r
  48    weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber\r
  49    keines ist so erfolgreich wie das AcceSS 7.\r
  50    Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber\r
  51    die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen\r
  52    Systems und erweiterten es.\r
  53 \r
  54    HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom\r
  55    (damals noch nicht AG :) bekannt gab, als erste europaeischer\r
  56    Telekommunikationsbetreiber dieses System zu installieren.\r
  57    Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96),\r
  58    Israel (Bezeq Mai '96), Bell USA (Juni '96) das AcceSS 7.\r
  59 \r
  60    Im Mai '95  10 der 30 groessten Telekommunikationsanbieter der Welt, heute\r
  61    (Anfang '97) ueber 20 dieser 30 haben AcceSS 7 installiert.\r
  62    Auch British Telecom, TeleWest, GTE und AT&T Wireless benutzen teile des\r
  63    AcceSS 7 Systems.\r
  64    Der Geschaeftsleiter von HP sagte dazu in einem Interview :\r
  65      "Wir schaetzen, dass ueber 90% der CCiTT #7 Verbindungen die\r
  66       ueberwacht werden, durch unser System ueberwacht werden."\r
  67 \r
  68    Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das\r
  69    "Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken..\r
  70    Es wurde erstamls bei den Olympischen Spielen in Atlanta von BellSouth\r
  71    getestet - mit hervorragendem Erfolg.\r
  72    HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr\r
  73    als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln\r
  74    um Telekommunikationsbetrug zu bekaempfen.\r
  75 \r
  76    Der Erfolg von AcceSS 7 liegt in dem flexiblen und ausbaufaehigem Design,\r
  77    das sich nicht nur leicht in jedes bestehende CCiTT #7 System integrieren\r
  78    laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst\r
  79    werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate\r
  80    nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.\r
  81 \r
  82 \r
  83  þ Die Hardware :\r
  84 \r
  85    HP's Grundpaket sind 4  8-weg symmetrische multiprozessing (SMP)\r
  86    HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link.\r
  87    Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren.\r
  88    Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser\r
  89    inzwischen ausgeliefert wurde ist mir nicht bekannt.\r
  90 \r
  91 \r
  92  þ Die Software :\r
  93 \r
  94    Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das\r
  95    HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T.\r
  96    Die Clients laufen auch auf HP-UX unter HPs OpenView X-Window System.\r
  97    Alles ist in C programmiert, die libraries, mit denen man eigene\r
  98    Software programmieren kann fuer AcceSS 7 ist mit installiert.\r
  99    Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um\r
 100    speziellen Aufgaben erfuellen zu koennen.\r
 101 \r
 102    Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte\r
 103    "call detail record" (CDR) fuer jeden Anruf erstellt.\r
 104    Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert\r
 105    und in jeder gewuenschten Art & Weise verwendet werden.\r
 106    HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle,\r
 107    Verkehrskontrolle und Betrugsidentifikation.\r
 108 \r
 109    Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache\r
 110    von CCiTT #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs-\r
 111    analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den\r
 112    Daten so ziemlich alles machen konnte.\r
 113    In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von\r
 114    Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und\r
 115    Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt.\r
 116    Deshalb hier ein paar Informationen, wie das System arbeitet :\r
 117 \r
 118 \r
 119  þ Das Betrugs-Identifikations-Toolkit :\r
 120 \r
 121    Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern\r
 122    matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein\r
 123    Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine\r
 124    Situation diesem Szenario entspricht ("the patterns match") dann wird\r
 125    Alarm ausgeloest.\r
 126 \r
 127    Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt\r
 128    werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen\r
 129    ins Ausland gehen als in einer Wohngegend.\r
 130 \r
 131    D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer\r
 132    Typ von Betrug gefunden wurde.\r
 133    Alles was in ein Betrugsszenario passt und was weit von dem normalen\r
 134    Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.\r
 135 \r
 136    Betrugs-Szenarien sind :\r
 137       Anrufe sehr langer Dauer\r
 138       Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend\r
 139       Wiederholte Anrufe von einer Gegend zu unterschiedlichen Nummern\r
 140       Lange/viele Anrufe von einer Nummer die nicht zahlt\r
 141       Das Anwaehlen bestimmter definierter Rufnummern\r
 142       Das Anwaehlen vieler gebuehrenfreier Rufnummern\r
 143 \r
 144    Sowie spezialisierte Szenarien :\r
 145       Anrufe zu Nummern die besonders oft missbraucht werden\r
 146       Verdaechtige Anwendung von "Anruf-Weiterschaltung"\r
 147       viele Anrufe insbes. Auslands-, von einem Anschluss\r
 148       viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen\r
 149 \r
 150    Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem\r
 151    Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem\r
 152    Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet.\r
 153    Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung,\r
 154    Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.\r
 155 \r
 156    Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von\r
 157    bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario\r
 158    geraten.\r
 159 \r
 160 \r
 161  XXXXXXXXXXXXXXXX\r
 162  XXXXXXXXXXXXXXXX \\r
 163  XXXXXXXXXXXXXXXX  \\r
 164  XXXXXXXXXXXXXXXX   \  Out-of-   -->  XXXXXXXX \   Weitergehende    -->   XX\r
 165  XXXXXXXXXXXXXXXX    - Pattern/  -->  XXXXXXXX  -  Out-of-Pattern/  -->   XX\r
 166  XXXXXXXXXXXXXXXX   /  Scenario       XXXXXXXX /   Szenario\r
 167  XXXXXXXXXXXXXXXX  /                               oder manuelle\r
 168  XXXXXXXXXXXXXXXX /                                Pruefung (Operator)\r
 169  XXXXXXXXXXXXXXXX\r
 170 \r
 171     Eingehende       Ueberwachungs-   Alarm des     Weitergehende       BETRUGS-\r
 172    Anrufe in das       system-        Ueberwach-   Out-of-Pattern/      FAELLE\r
 173  Ueberwachungssystem   analyse        unssystems   Scenario oder\r
 174                                                   manuelle Uberpruefung\r
 175 \r
 176 \r
 177 \r
 178 \r
 179   þ Wo sind die deutschen HP AcceSS 7 Systeme\r
 180 \r
 181   Deutsche Telekom AG :\r
 182              Frankfurt, Duesseldorf, Stuttgart und Nuernberg\r
 183              Control Centers in Frankfurt und Bamberg.\r
 184 \r
 185   Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom\r
 186   angegliedert (HITNET), die nur ueber eine Firewall an dem Internet\r
 187   angeschlossen sind.\r
 188 \r
 189 \r
 190 \r
 191 \r
 192 \r
 193                               LETZTE WORTE\r
 194                              --------------\r
 195 \r
 196  Ein kleiner Teil der Informationen in diesem Artikel war schon im\r
 197  THC Magazine #1 (Februar '96) zu lesen. Ich aktualisierte danach die\r
 198  Informationen, fuegte vieles ein und der Artikel erreichte die doppelte\r
 199  Groesse :) ... Er erschien dann im Time For a Change #4, dem amerikanischen\r
 200  Magazin von einem Kumpel, Ghost in the Machine. Fuer das 4. THC Magazine\r
 201  habe ich ihn uebersetzt, leicht aktualisiert und gekuerzt was nicht fuer\r
 202  Deutsche interessant ist, damit er mehr Leute ihn lesen und insbesondere\r
 203  Phreaker auf die Gefahr aufmerksam werden und sich ueberlegen wie sie das\r
 204  System ueberlisten koennen.\r
 205 \r
 206  Das System *ist* aktiv, wie z.B. gerade ein Fall von vor 2 Wochen zeigt :\r
 207  Ein Freund hatte 0130-Scanning betrieben, so ca. 6 Stunden ueber Nacht laufen\r
 208  lassen, und als er ihn am morgen beendete bekam er nach kurzer Zeit einen\r
 209  Anruf, dass auffaellig oft von seiner Leitung aus gewaehlt wurde, der\r
 210  Anschluss sofort gesperrt und erst wieder freigeschaltet wird, nachdem er\r
 211  von einem Telekomtechniker vor Ort inspiziert wird.\r
 212 \r
 213  Wer also in einer laendlichen Region wohnt hat hiermit echt Probleme, wer\r
 214  allerdings direkt in einer Grossstadt wohnt, idealerweise vielleicht noch\r
 215  angeschlossen an einer VST an dem auch viele Betriebe angeschlossen sind,\r
 216  hat da mehr Glueck.\r
 217 \r
 218  Wer sich den Artikel aufmerksam durchgelesen hat wird merken, dass zugleich\r
 219  viel wie wenig drinnen steht. Es ist alles, was ich aus sensitiven Daten\r
 220  wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen-\r
 221  gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System.\r
 222  Da ich nicht weiss ob folgende 2 Dinge mit dem AcceSS 7 zu tun haben, habe\r
 223  ich sie hier reingeschrieben :\r
 224  Es ist technisch ohne Probleme moeglich herauszufinden, auch mit AcceSS 7,\r
 225  ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.)\r
 226  oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich\r
 227  nicht, wird aber schon seit laengerem bei guten PBXen gemacht.\r
 228  Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt-\r
 229  lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem\r
 230  Zusammenhang mit AcceSS 7 steht oder was genau sie macht ist mir leider\r
 231  (noch) nicht bekannt.\r
 232 \r
 233  Wer noch irgendwelche Infos hat, einfach eine email senden an vh@campus.de\r
 234  und mit dem PGP key unten verschluesseln. Wer Informationen dieser Art\r
 235  zurueckhaelt schadet anderen nur, hat selbst aber keinerlei Vorteile, da\r
 236  es ja nix ist, was stirbt, wie eine C5 Nummer oder eine PBX ...\r
 237 \r
 238 \r
 239  Passt auf euch auf ...\r
 240 \r
 241                      van Hauser / THC (vh@campus.de)\r
 242 \r
 243 \r
 244 Type Bits/KeyID    Date       User ID\r
 245 pub  1024/3B188C7D 1995/10/10 van Hauser/THC of LORE BBS\r
 246 \r
 247 -----BEGIN PGP PUBLIC KEY BLOCK-----\r
 248 Version: 2.6.3i\r
 249 \r
 250 mQCNAzB6PNQAAAEEALx5p2jI/2rNF9tYandxctI6jP+ZJUcGPTs7QTFtF2c+zK9H\r
 251 ElFfvsC0QkaaUJjyTq7TyII18Na1IuGj2duIHTtG1DTDOnbnZzIRsXndfjCIz5p+\r
 252 Dt6UYhotbJhCQKkxuIT5F8EZpLTAL88WqaMZJ155uvSTb9uk58pv3AI7GIx9AAUT\r
 253 tBp2YW4gSGF1c2VyL1RIQyBvZiBMT1JFIEJCU4kAlQMFEDJ2gzNAf3b9d/IP1QEB\r
 254 5DwD+gJRh6m4h0fVgpQJkOiuQD68lV5w8C0F5R3jk/o6Pollaf7gtVhG8BGGo5/7\r
 255 /yiH40gujc82rJdmihwcKuZQtwt8X28VN8uy56SCpXD5wjjOZpq0t0qSXmhgunZ0\r
 256 m7xv7R4mWRzFclsgQCMwXNgp4sXgw64bVm8FhEdkrVSO8iTyiQCVAwUQMkMhCspv\r
 257 3AI7GIx9AQFstAP+Jrg7V06FGV/sTzegFNoaSyOItkvXjctzFsXuBfta2M7EzPX3\r
 258 UR3kM4/W4xE70H4XmMOJ9RmTzs+MuhSq8BtGQtYaJqGjxe/ldbvGOXRxR1rBJAKS\r
 259 yDQYu0VJ/Ae8yuJcMS312jqwg8OLgYnQaqEoaRM4HEiB+hgDRqnFKpDxkhSJAJUD\r
 260 BRAyQx8E5y7IvlL6xvEBAQ+bA/9baK7f3M9F5n4aASy04WHOreUNpGQ8DXgtMVq7\r
 261 KVdXMIWjURsboR+wt5eJTPeL00lHS5eqmZlNzGV9hWtzAr20qrKLmvE20Ke4VPB0\r
 262 a/tWXNUdvLnk4ENbTBFfMMdnlDo3hSThSMQ7yZ9UEYgighKu6l2fG5UG6D+kXFLy\r
 263 iIvvlA==\r
 264 =nX2w\r
 265 -----END PGP PUBLIC KEY BLOCK-----\r
 266 \r
 267 \1a