--- /dev/null
+\r
+\r
+ CCiTT #7 Ueberwachung\r
+\r
+ by van Hauser\r
+\r
+\r
+\r
+ Wer sich wundert : Ja, dieser Text ist schon im THC-MAG #1 erschienen.\r
+ Er wurde dann stark erweitert und erschien dann im Time-For-a-Change\r
+ Magazin #4. Aus aktuellem Anlass, darunter, dass dieses Magazin #4 in\r
+ Deutsch erscheint, wurde der Artikel uebersetzt und noch etwas erweitert,\r
+ dafuer alle nicht-deutsch-spezifischen Informationen entfernt.\r
+\r
+\r
+\r
+ Was ist CCiTT #7\r
+ ------------------\r
+\r
+ CCiTT #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling\r
+ System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer\r
+ Telekommunikation eingesetzt wird - wie hier in Deutschland.\r
+ Es benutzt 2 Kanaele fuer die Kommunikation : Der 1. ist der Sprachkanal, also\r
+ das, was der Kunde spricht (oder das Fax das er sendet). Der 2. Kanal ist der\r
+ Datenkanal. Dieser ist vollkommen separiert vom Sprachkanal und enthaelt alle\r
+ Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen,\r
+ Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc.\r
+ Dieser Datenkanal wurde seit dem CCiTT #6 separiert, da er bis #5 zum\r
+ sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter\r
+ anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige\r
+ etc). Es wird mittlerweile in allen West-Europaeischen Laendern und Nord-\r
+ Amerika benutzt, und mehrere Laender steigen auch um, wie z.B. Israel letztes\r
+ Jahr.\r
+\r
+\r
+\r
+\r
+ Das deutsche Ueberwachungssystem fuer CCiTT #7\r
+ ------------------------------------------------\r
+\r
+ Seit Anfang '96 benutzt die Deutsche Telekom AG das CCiTT #7 Ueberwachungs-\r
+ system von Hewlett Packard, genannt AcceSS 7.\r
+\r
+\r
+ þ Geschichte :\r
+\r
+ Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4\r
+ weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber\r
+ keines ist so erfolgreich wie das AcceSS 7.\r
+ Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber\r
+ die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen\r
+ Systems und erweiterten es.\r
+\r
+ HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom\r
+ (damals noch nicht AG :) bekannt gab, als erste europaeischer\r
+ Telekommunikationsbetreiber dieses System zu installieren.\r
+ Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96),\r
+ Israel (Bezeq Mai '96), Bell USA (Juni '96) das AcceSS 7.\r
+\r
+ Im Mai '95 10 der 30 groessten Telekommunikationsanbieter der Welt, heute\r
+ (Anfang '97) ueber 20 dieser 30 haben AcceSS 7 installiert.\r
+ Auch British Telecom, TeleWest, GTE und AT&T Wireless benutzen teile des\r
+ AcceSS 7 Systems.\r
+ Der Geschaeftsleiter von HP sagte dazu in einem Interview :\r
+ "Wir schaetzen, dass ueber 90% der CCiTT #7 Verbindungen die\r
+ ueberwacht werden, durch unser System ueberwacht werden."\r
+\r
+ Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das\r
+ "Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken..\r
+ Es wurde erstamls bei den Olympischen Spielen in Atlanta von BellSouth\r
+ getestet - mit hervorragendem Erfolg.\r
+ HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr\r
+ als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln\r
+ um Telekommunikationsbetrug zu bekaempfen.\r
+\r
+ Der Erfolg von AcceSS 7 liegt in dem flexiblen und ausbaufaehigem Design,\r
+ das sich nicht nur leicht in jedes bestehende CCiTT #7 System integrieren\r
+ laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst\r
+ werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate\r
+ nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.\r
+\r
+\r
+ þ Die Hardware :\r
+\r
+ HP's Grundpaket sind 4 8-weg symmetrische multiprozessing (SMP)\r
+ HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link.\r
+ Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren.\r
+ Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser\r
+ inzwischen ausgeliefert wurde ist mir nicht bekannt.\r
+\r
+\r
+ þ Die Software :\r
+\r
+ Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das\r
+ HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T.\r
+ Die Clients laufen auch auf HP-UX unter HPs OpenView X-Window System.\r
+ Alles ist in C programmiert, die libraries, mit denen man eigene\r
+ Software programmieren kann fuer AcceSS 7 ist mit installiert.\r
+ Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um\r
+ speziellen Aufgaben erfuellen zu koennen.\r
+\r
+ Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte\r
+ "call detail record" (CDR) fuer jeden Anruf erstellt.\r
+ Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert\r
+ und in jeder gewuenschten Art & Weise verwendet werden.\r
+ HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle,\r
+ Verkehrskontrolle und Betrugsidentifikation.\r
+\r
+ Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache\r
+ von CCiTT #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs-\r
+ analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den\r
+ Daten so ziemlich alles machen konnte.\r
+ In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von\r
+ Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und\r
+ Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt.\r
+ Deshalb hier ein paar Informationen, wie das System arbeitet :\r
+\r
+\r
+ þ Das Betrugs-Identifikations-Toolkit :\r
+\r
+ Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern\r
+ matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein\r
+ Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine\r
+ Situation diesem Szenario entspricht ("the patterns match") dann wird\r
+ Alarm ausgeloest.\r
+\r
+ Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt\r
+ werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen\r
+ ins Ausland gehen als in einer Wohngegend.\r
+\r
+ D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer\r
+ Typ von Betrug gefunden wurde.\r
+ Alles was in ein Betrugsszenario passt und was weit von dem normalen\r
+ Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.\r
+\r
+ Betrugs-Szenarien sind :\r
+ Anrufe sehr langer Dauer\r
+ Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend\r
+ Wiederholte Anrufe von einer Gegend zu unterschiedlichen Nummern\r
+ Lange/viele Anrufe von einer Nummer die nicht zahlt\r
+ Das Anwaehlen bestimmter definierter Rufnummern\r
+ Das Anwaehlen vieler gebuehrenfreier Rufnummern\r
+\r
+ Sowie spezialisierte Szenarien :\r
+ Anrufe zu Nummern die besonders oft missbraucht werden\r
+ Verdaechtige Anwendung von "Anruf-Weiterschaltung"\r
+ viele Anrufe insbes. Auslands-, von einem Anschluss\r
+ viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen\r
+\r
+ Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem\r
+ Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem\r
+ Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet.\r
+ Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung,\r
+ Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.\r
+\r
+ Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von\r
+ bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario\r
+ geraten.\r
+\r
+\r
+ XXXXXXXXXXXXXXXX\r
+ XXXXXXXXXXXXXXXX \\r
+ XXXXXXXXXXXXXXXX \\r
+ XXXXXXXXXXXXXXXX \ Out-of- --> XXXXXXXX \ Weitergehende --> XX\r
+ XXXXXXXXXXXXXXXX - Pattern/ --> XXXXXXXX - Out-of-Pattern/ --> XX\r
+ XXXXXXXXXXXXXXXX / Scenario XXXXXXXX / Szenario\r
+ XXXXXXXXXXXXXXXX / oder manuelle\r
+ XXXXXXXXXXXXXXXX / Pruefung (Operator)\r
+ XXXXXXXXXXXXXXXX\r
+\r
+ Eingehende Ueberwachungs- Alarm des Weitergehende BETRUGS-\r
+ Anrufe in das system- Ueberwach- Out-of-Pattern/ FAELLE\r
+ Ueberwachungssystem analyse unssystems Scenario oder\r
+ manuelle Uberpruefung\r
+\r
+\r
+\r
+\r
+ þ Wo sind die deutschen HP AcceSS 7 Systeme\r
+\r
+ Deutsche Telekom AG :\r
+ Frankfurt, Duesseldorf, Stuttgart und Nuernberg\r
+ Control Centers in Frankfurt und Bamberg.\r
+\r
+ Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom\r
+ angegliedert (HITNET), die nur ueber eine Firewall an dem Internet\r
+ angeschlossen sind.\r
+\r
+\r
+\r
+\r
+\r
+ LETZTE WORTE\r
+ --------------\r
+\r
+ Ein kleiner Teil der Informationen in diesem Artikel war schon im\r
+ THC Magazine #1 (Februar '96) zu lesen. Ich aktualisierte danach die\r
+ Informationen, fuegte vieles ein und der Artikel erreichte die doppelte\r
+ Groesse :) ... Er erschien dann im Time For a Change #4, dem amerikanischen\r
+ Magazin von einem Kumpel, Ghost in the Machine. Fuer das 4. THC Magazine\r
+ habe ich ihn uebersetzt, leicht aktualisiert und gekuerzt was nicht fuer\r
+ Deutsche interessant ist, damit er mehr Leute ihn lesen und insbesondere\r
+ Phreaker auf die Gefahr aufmerksam werden und sich ueberlegen wie sie das\r
+ System ueberlisten koennen.\r
+\r
+ Das System *ist* aktiv, wie z.B. gerade ein Fall von vor 2 Wochen zeigt :\r
+ Ein Freund hatte 0130-Scanning betrieben, so ca. 6 Stunden ueber Nacht laufen\r
+ lassen, und als er ihn am morgen beendete bekam er nach kurzer Zeit einen\r
+ Anruf, dass auffaellig oft von seiner Leitung aus gewaehlt wurde, der\r
+ Anschluss sofort gesperrt und erst wieder freigeschaltet wird, nachdem er\r
+ von einem Telekomtechniker vor Ort inspiziert wird.\r
+\r
+ Wer also in einer laendlichen Region wohnt hat hiermit echt Probleme, wer\r
+ allerdings direkt in einer Grossstadt wohnt, idealerweise vielleicht noch\r
+ angeschlossen an einer VST an dem auch viele Betriebe angeschlossen sind,\r
+ hat da mehr Glueck.\r
+\r
+ Wer sich den Artikel aufmerksam durchgelesen hat wird merken, dass zugleich\r
+ viel wie wenig drinnen steht. Es ist alles, was ich aus sensitiven Daten\r
+ wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen-\r
+ gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System.\r
+ Da ich nicht weiss ob folgende 2 Dinge mit dem AcceSS 7 zu tun haben, habe\r
+ ich sie hier reingeschrieben :\r
+ Es ist technisch ohne Probleme moeglich herauszufinden, auch mit AcceSS 7,\r
+ ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.)\r
+ oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich\r
+ nicht, wird aber schon seit laengerem bei guten PBXen gemacht.\r
+ Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt-\r
+ lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem\r
+ Zusammenhang mit AcceSS 7 steht oder was genau sie macht ist mir leider\r
+ (noch) nicht bekannt.\r
+\r
+ Wer noch irgendwelche Infos hat, einfach eine email senden an vh@campus.de\r
+ und mit dem PGP key unten verschluesseln. Wer Informationen dieser Art\r
+ zurueckhaelt schadet anderen nur, hat selbst aber keinerlei Vorteile, da\r
+ es ja nix ist, was stirbt, wie eine C5 Nummer oder eine PBX ...\r
+\r
+\r
+ Passt auf euch auf ...\r
+\r
+ van Hauser / THC (vh@campus.de)\r
+\r
+\r
+Type Bits/KeyID Date User ID\r
+pub 1024/3B188C7D 1995/10/10 van Hauser/THC of LORE BBS\r
+\r
+-----BEGIN PGP PUBLIC KEY BLOCK-----\r
+Version: 2.6.3i\r
+\r
+mQCNAzB6PNQAAAEEALx5p2jI/2rNF9tYandxctI6jP+ZJUcGPTs7QTFtF2c+zK9H\r
+ElFfvsC0QkaaUJjyTq7TyII18Na1IuGj2duIHTtG1DTDOnbnZzIRsXndfjCIz5p+\r
+Dt6UYhotbJhCQKkxuIT5F8EZpLTAL88WqaMZJ155uvSTb9uk58pv3AI7GIx9AAUT\r
+tBp2YW4gSGF1c2VyL1RIQyBvZiBMT1JFIEJCU4kAlQMFEDJ2gzNAf3b9d/IP1QEB\r
+5DwD+gJRh6m4h0fVgpQJkOiuQD68lV5w8C0F5R3jk/o6Pollaf7gtVhG8BGGo5/7\r
+/yiH40gujc82rJdmihwcKuZQtwt8X28VN8uy56SCpXD5wjjOZpq0t0qSXmhgunZ0\r
+m7xv7R4mWRzFclsgQCMwXNgp4sXgw64bVm8FhEdkrVSO8iTyiQCVAwUQMkMhCspv\r
+3AI7GIx9AQFstAP+Jrg7V06FGV/sTzegFNoaSyOItkvXjctzFsXuBfta2M7EzPX3\r
+UR3kM4/W4xE70H4XmMOJ9RmTzs+MuhSq8BtGQtYaJqGjxe/ldbvGOXRxR1rBJAKS\r
+yDQYu0VJ/Ae8yuJcMS312jqwg8OLgYnQaqEoaRM4HEiB+hgDRqnFKpDxkhSJAJUD\r
+BRAyQx8E5y7IvlL6xvEBAQ+bA/9baK7f3M9F5n4aASy04WHOreUNpGQ8DXgtMVq7\r
+KVdXMIWjURsboR+wt5eJTPeL00lHS5eqmZlNzGV9hWtzAr20qrKLmvE20Ke4VPB0\r
+a/tWXNUdvLnk4ENbTBFfMMdnlDo3hSThSMQ7yZ9UEYgighKu6l2fG5UG6D+kXFLy\r
+iIvvlA==\r
+=nX2w\r
+-----END PGP PUBLIC KEY BLOCK-----\r
+\r
+\1a
\ No newline at end of file
projects / oweals / thc-archive.git / blobdiff