Zaznavanje zlorab zasebnih naročniških telefonskih central ...centrala je v javno telefonsko...
Transcript of Zaznavanje zlorab zasebnih naročniških telefonskih central ...centrala je v javno telefonsko...
UNIVERZA V MARIBORU
FAKULTETA ZA ELEKTROTEHNIKO,
RAČUNALNIŠTVO IN INFORMATIKO
Boštjan Žokš
ZAZNAVANJE ZLORAB ZASEBNIH NAROČNIŠKIH TELEFONSKIH CENTRAL
NA STRANI OPERATERJA
Diplomsko delo
Maribor, avgust 2016
UNIVERZA V MARIBORU
FAKULTETA ZA ELEKTROTEHNIKO,
RAČUNALNIŠTVO IN INFORMATIKO
Boštjan Žokš
ZAZNAVANJE ZLORAB ZASEBNIH NAROČNIŠKIH TELEFONSKIH CENTRAL
NA STRANI OPERATERJA
Diplomsko delo
Maribor, avgust 2016
ZAZNAVANJE ZLORAB ZASEBNIH NAROČNIŠKIH
TELEFONSKIH CENTRAL NA STRANI OPERATERJA
Diplomsko delo
Študent: Boštjan Žokš
Študijski program: Visokošolski strokovni študijski program
Računalništvo in informatika
Smer: Informatika
Mentorica: red. prof. dr. Tatjana Welzer Družovec
Somentor: doc. dr. Marko Hölbl
Lektorica: dr. Sabina Fras Popović, višja bibliotekarska svetovalka
i
Zaznavanje zlorab zasebnih naročniških telefonskih central na strani operaterja
Ključne besede: PBX, vdori, zlorabe, zaznava
UDK: 004.056:621.395.722(043.2)
Povzetek
Zasebne naročniške telefonske centrale (PBX centrale) podjetjem nudijo številne funkcije.
Določene funkcije omogočajo nepooblaščeno uporabo, ki ima za posledico finančno korist.
V diplomskem delu je predstavljen pregled tipičnih funkcionalnosti PBX central in
izpostavljen izbor možnosti za zlorabe central. Pri raziskavi možnosti zaznave zlorab na
strani ponudnika telekomunikacijskih storitev smo upoštevali priporočila organizacij, ki se
ukvarjajo s področjem zlorab telekomunikacij. Rezultat diplomskega dela je razvoj
aplikacije, ki zlorabe z večjim finančnim vplivom sproti zaznava in se na njih samodejno
odziva.
ii
Private Branch Exchange (PBX) fraud detection on the carrier side
Key words: PBX, intrusion, toll fraud, detection
UDK: 004.056:621.395.722(043.2)
Abstract
PBX phone systems provide many features to companies. It is possible to use some of
them unauthorized and gain financial benefits.
Thesis shows typical features of PBXs and describes some possibilities on how to abuse
them. Explored are possibilities of detecting toll fraud on the carrier side, using
recommendations from organizations dealing with telecommunications fraud. Application
was developed as part of the thesis for ongoing detection of fraud with higher financial
impact and automatic reaction to it.
iii
KAZALO
1 UVOD .............................................................................................................. 1
2 PREDSTAVITEV FUNKCIONALNOSTI ZASEBNIH NAROČNIŠKIH
TELEFONSKIH CENTRAL .................................................................................... 3
2.1 Opredelitev pojma ................................................................................................................ 3
2.2 Pregled izbranih central ....................................................................................................... 5
3 OBRAČUNAVANJE TELEFONSKIH KLICEV PRI
TELEKOMUNIKACIJSKEM OPERATERJU ......................................................... 8
3.1 Sledenje podatkom o klicu pri operaterju .......................................................................... 8
3.2 Možnosti obračunavanja klicev ........................................................................................ 10
4 ZLORABE NAROČNIŠKIH TELEFONSKIH CENTRAL ............................... 12
4.1 Razlogi za zlorabe .............................................................................................................. 12
4.2 Pogoste vrste zlorab .......................................................................................................... 14
4.3 Načini zlorab naročniških telefonskih central ................................................................. 16
4.4 Primeri zlorab ...................................................................................................................... 18
4.4.1 Primer 1 ........................................................................................................................ 18
4.4.2 Primer 2 ........................................................................................................................ 20
4.4.3 Primer 3 ........................................................................................................................ 21
4.4.4 Primer 4 ........................................................................................................................ 22
5 ZAZNAVANJE POTENCIALNIH ZLORAB ................................................... 23
5.1 Dobre prakse in priporočila za zaznavanje zlorab .......................................................... 23
5.2 Pregled komercialnih rešitev za zaznavanje zlorab ........................................................ 25
5.3 Viri zaznavanja zlorab z opravljanjem telefonskih klicev ............................................... 26
iv
5.4 Zaznavanje sumljivih vzorcev opravljanja telefonskih klicev ........................................ 26
6 RAZVOJ APLIKACIJE ZA ZAZNAVO ZLORAB .......................................... 28
6.1 Načrtovanje aplikacije ........................................................................................................ 28
6.2 Testiranje ............................................................................................................................. 33
6.3 Integracija v obstoječe okolje ........................................................................................... 33
6.4 Predstavitev delovanja aplikacije ..................................................................................... 34
6.4.1 Delovanje za primer 1................................................................................................... 34
6.4.2 Delovanje za primer 2................................................................................................... 35
6.4.3 Delovanje za primer 3................................................................................................... 36
6.4.4 Delovanje za primer 4................................................................................................... 37
6.5 Možne izboljšave ................................................................................................................ 38
7 SKLEP ........................................................................................................... 40
VIRI ...................................................................................................................... 42
KAZALO SLIK
SLIKA 2.1: INTEGRACIJA IP PBX CENTRALE V OMREŽJE ............................................... 4
SLIKA 3.1: POT IZHODNEGA KLICA .............................................................................. 8
SLIKA 3.2: POT PODATKOV O KLICU ............................................................................ 9
SLIKA 4.1: IZVOR KLICEV ......................................................................................... 13
SLIKA 4.2: PONOR KLICEV ....................................................................................... 14
SLIKA 4.3: NAČIN DELOVANJA ZLORABE Z MEDNARODNO DELITVIJO PRIHODKOV ........... 15
SLIKA 4.4: IZPIS KLICEV ZA PRIMER 1 ........................................................................ 19
SLIKA 4.5: IZPIS KLICEV ZA PRIMER 2 ........................................................................ 20
SLIKA 4.6: IZPIS KLICEV ZA PRIMER 3 ........................................................................ 21
SLIKA 4.7: IZPIS KLICEV ZA PRIMER 4 ........................................................................ 22
SLIKA 6.1: PROCES OBRAVNAVE ZLORAB TELEFONIJE ................................................ 28
v
SLIKA 6.2: DIAGRAM AKTIVNOSTI APLIKACIJE ............................................................. 32
SLIKA 6.3: OBVESTILO O ZLORABI ZA PRIMER 1 .......................................................... 35
SLIKA 6.4: ANALIZA PRIMERA 2 ................................................................................ 36
SLIKA 6.5: OBVESTILO O ZLORABI ZA PRIMER 2 .......................................................... 36
SLIKA 6.6: OBVESTILO O ZLORABI ZA PRIMER 3 .......................................................... 37
SLIKA 6.7: OBVESTILO O ZLORABI ZA PRIMER 4 .......................................................... 37
KAZALO TABEL
TABELA 3.1: PODATKI O KLICU V DVEH SISTEMIH .......................................................... 9
TABELA 4.1: NAJPOGOSTEJŠI NAČINI ZLORAB ............................................................ 12
TABELA 4.2: NAJPOGOSTEJŠE VRSTE ZLORAB ........................................................... 13
SEZNAM KRATIC
PBX Private Branch Exchange – zasebna naročniška telefonska centrala
CFCA Communications Fraud Control Association
CDR Call Detail Record – podatki o klicu
SIP Session Initiation Protocol – protokol za vzpostavitev sej
VoIP Voice Over IP – telefonija preko internetnega protokola
AKOS Agencija za komunikacijska omrežja in storitve Republike Slovenije
PSTN Public Switched Telephone Network – javno telefonsko omrežje
ISDN Integrated Services over Digital Network – integrirana storitve preko digitalnega
omrežja
LCR Least Cost Routing – najcenejše usmerjanje klicev
UC Unified Communications – združene komunikacije
DISA Direct Inward System Access – neposredni dostop do sistema
IRSF International Revenue Share Fraud – prevara z mednarodno delitvijo prihodkov
VLAN Virtual Local Area Network – navidezno lokalno omrežje
SBC Session Border Controller – mejni krmilnik sej
SNMP Simple Network Management Protocol – preprosti protokol za upravljanje omrežij
1
1 UVOD
Podjetja, ki pri svojem poslovanju potrebujejo naprednejšo telefonijo, imajo pogosto v
uporabi zasebno naročniško telefonsko centralo (PBX – Private Branch Exchange). Takšna
centrala je v javno telefonsko omrežje priključena prek ponudnika telekomunikacijskih
storitev (v nadaljevanju operaterja), ki podjetju omogoča in zaračunava opravljanje
telefonskih klicev.
Zaradi vedno večje razširjenosti tovrstnih central, le-te postajajo dodatna točka za možnost
vdorov in zlorab. To se najpogosteje dogaja v primeru napačnih nastavitev centrale ali
slabega nadzora nad centralo. Napadalec s pridobljenim neavtoriziranim dostopom ima
tako možnost vzpostavljanja telefonskih klicev v tujino ali na premijske telefonske številke,
s čimer se finančno okoristi na račun podjetja.
Za stroške telefonskih klicev je odgovoren naročnik telekomunikacijskih storitev. V interesu
operaterja pa je, da omeji neupravičene stroške, ki bi jih naročnik težko plačal.
Namen diplomskega dela je opozoriti na ta problem, raziskati možnosti za zaznavo vdorov
v zasebne naročniške telefonske centrale na strani ponudnika telekomunikacijskih storitev
in razviti ter implementirati programsko opremo za takšno zaznavanje.
Osrednji del diplomskega dela je namenjen razvoju programske rešitve za zaznavo in
ukrepanje ob zlorabah na podlagi ovrednotenih podatkov o klicih iz obračunskega sistema
telekomunikacijskega operaterja. Glavni cilji, ki jih pri tem želimo doseči, so:
• spoznati in predstaviti priporočila in dobre prakse na področju zaznavanja zlorab
na področju telefonije,
• raziskati in predstaviti možnost zaznavanja zlorab z analizami vzorcev (ne)tipične
uporabe storitev,
• razviti aplikacijo za zaznavanje zlorab in odzivanje na njih ter
• integrirati uporabo razvite aplikacije v obstoječe poslovne procese operaterja za
upravljanje z zlorabami.
V diplomskem delu smo se osredotočili na zaznavo zlorab z vdori v naročniške telefonske
centrale. Posebej ne obravnavamo zlorab v smislu prekomerne porabe, na primer
legitimnih, a pretirano pogostih klicev na premijske telefonske številke.
2
V sklopu analiz podatkov o klicih smo zagotovili anonimizacijo vzorcev podatkov.
Uporabljeni so dejanski obračunski podatki telekomunikacijskega operaterja. Anonimizacija
klicev je potrebna zaradi varovanja osebnih podatkov naročnikov operaterja. Varovanje
poslovne tajnosti smo zagotovili tako, da je izvzeta dejanska konfiguracija parametrov
zaznave vdorov. Morebitnim napadalcem smo tako tudi preprečili dostop do informacij, s
katerimi bi lahko zaščite obšli.
Pri pripravi diplomskega dela smo uporabili gradiva, ki so javno dostopna na spletu, in
podatke o dejanskih klicih operaterja. Analizo učinkovitosti zaznave zlorab smo naredili na
osnovi podatkov o klicih iz obdobja, ko so bile po obstoječih metodah že zaznane zlorabe
central.
V diplomskem delu smo v prvem delu predstavili funkcionalnosti zasebnih naročniških
telefonskih central (PBX). Za potrebe razumevanja možnosti operaterja za zaznavo zlorab
smo opisali dogajanje s podatki o klicu (CDR – Call Detail Record) na strani operaterja,
vključno z obračunom opravljenega klica.
V nadaljevanju smo navedli razloge za zlorabe in podali predstavitev nekaterih možnih
načinov zlorab naročniških telefonskih central.
Osrednji del diplomskega dela predstavlja problem zaznavanja potencialnih zlorab.
Predstavili smo priporočila organizacij, ki se ukvarjajo s tem področjem. Opravili smo
analizo možnih načinov zaznave zlorab in predstavili izbrano metoda zaznave zlorab. V
zaključnem delu diplomskega loge smo podali podrobnosti aplikacije, ki je bila v sklopu
diplomskega dela razvita za zaznavo zlorab, in izpostavili rezultate zaznave.
3
2 PREDSTAVITEV FUNKCIONALNOSTI ZASEBNIH NAROČNIŠKIH TELEFONSKIH CENTRAL
Poznavanje funkcionalnosti IP PBX telefonskih central je ključno za zaznavanje zlorab
zasebnih naročniških telefonskih central, saj so nekatere od teh funkcionalnosti dejanski
vektor napada na centralo. V nadaljevanju predstavljamo osnovne funkcionalnosti central
in nekatere izbrane IP PBX centrale.
2.1 Opredelitev pojma
V diplomskem delu smo se osredotočili na IP PBX centrale, torej na naročniške telefonske
centrale, ki za komunikacijo uporabljajo IP podatkovna omrežja. Gre za VoIP telefonijo
(Voice Over IP – telefonija preko internetnega protokola).
IP PBX oziroma IP telefonski sistem sestavljajo IP telefoni, IP PBX strežnik in opcijske VoIP
prehodne točke (slika 2.1). IP telefoni se lahko povezujejo na PBX z različnimi protokoli,
med pogostejšimi je SIP (Session Initiation Protocol – protokol za vzpostavitev sej). Na PBX
se lahko s pomočjo dodatne naprave (analogni telefonski adapter) povežejo tudi analogni
telefoni.
IP PBX je z javnim telefonskim omrežjem, do katerega nudi dostop operater, povezan na
dva načina: prek sodobnih VoIP povezav (SIP) ali pa prek klasičnih ISDN/PSTN povezav
(Integrated Services over Digital Network – integrirana storitve preko digitalnega omrežja /
Public Switched Telephone Network – javno telefonsko omrežje) [1].
Podjetja se za zasebne naročniške telefonske centrale odločajo iz različnih razlogov.
Pomembna prednost je znižanje stroškov telefonije. Če ima podjetje 100 zaposlenih, ne
potrebuje 100 telefonskih linij do javnega telefonskega omrežja, morda zadošča 20 linij.
Število linij pomeni število govornih kanalov oziroma hkratnih pogovorov z javnim
telefonskim omrežjem. Klici znotraj podjetja, torej brez vključevanja javnega telefonskega
omrežja, so za podjetje brezplačni.
4
Slika 2.1: Integracija IP PBX centrale v omrežje
PBX centrale nudijo precej naprednih funkcionalnosti:
• čakalne vrste,
• interaktivni govorni odzivnik (»za servis pritisnite 3«),
• možnost povezovanja z več operaterji,
• samodejno izbiranje smeri klica (LCR – Least Cost Routing, najcenejše usmerjanje
klicev) – lastna konfiguracija za izbiranje operaterja, prek katerega bo klic poslan v
javno telefonsko omrežje (na primer en operater za fiksna omrežja, drugi za
mobilna),
• ob fizičnih telefonih je mogoče uporabljati tudi namenske aplikacije za telefoniranje
– programske telefone (SoftPhone),
• možnost spremljanja statistik uporabe telefonov,
• snemanje klicev,
• konferenčni klici,
• lasten nadzor nad telefonijo v podjetju (na primer, kateri operaterji bodo v uporabi
ali nadzor nad klici zaposlenih).
5
Naprednejše IP PBX centrale so del večjega sistema za združene komunikacije (UC -
Unified Communications), ki zraven telefonije nudi tudi ostale načine komunikacije, med
drugim hitro pošiljanje sporočil, informacijo o prisotnosti uporabnika in video konference.
Zasebne naročniške telefonske centrale se pojavljajo v dveh oblikah, in sicer kot
specializirana fizična naprava ali pa kot zgolj programska rešitev. Na PBX centrale
nekaterih proizvajalcev se lahko povezujejo le IP telefoni tega proizvajalca prek lastnih
protokolov, druge pa uporabljajo katerega od standardnih protokolov (predvsem SIP ali
starejši H.323), tako da se lahko na centralo povežejo IP telefoni različnih proizvajalcev.
2.2 Pregled izbranih central
V poglavju predstavljamo IP PBX centrale, ki se glede na izkušnje operaterja pri naročnikih
pogosteje pojavljajo:
• 3CX Phone System,
• Microsoft Skype for Business,
• Avaya IP Office Platform,
• Cisco Unified Communications Manager,
• Asterisk.
3CX Phone System
3CX Phone System je programska PBX centrala, ki uporablja odprte standarde in deluje s
popularnimi IP telefoni. Deluje na osnovi SIP standarda in podpira običajne SIP odjemalce
ali SIP telefonske aparate. Z operaterji se povezuje prek sodobnih VoIP ali klasičnih
PSTN/ISDN povezav. Predstavlja kompletno rešitev za združene komunikacije, ki vključuje
naslednje funkcionalnosti: spletne konference, pregled prisotnosti uporabnikov in
programske telefone.
Glavne prednosti sistema 3CX so [2]:
• celoviti sistem za telefonijo: preusmeritve klicev, prevezave in čakalne vrste,
• cena: vzpostavitev in nakup je nižji od strojnih rešitev,
• razširljivost: neomejeno številko telefonov in linij,
• spletna administracija: uporabniški vmesnik za sledenje klicev in upravljanje
• poenotena komunikacija: pregled stanja uporabnikov in prejetih sporočil preko
elektronske pošte,
6
• vgrajen sistem za preusmeritve: npr. pritisnite 1 za računovodstvo, pritisnite 2 za
podporo,
• brezplačno klicanje znotraj podjetja in možnost nižanja stroškov za klice v tujino,
• brez dodatnih posegov v instalacije: priklop IP telefona na obstoječo infrastrukturo,
• integracija z Microsoft Outlookom 2007 in 2003,
• pripravljen na delo z VOIP ponudniki, strojnimi VOIP vmesniki, Skype™
integracija.
Microsoft Skype for Business
Produkt se je nekoč imenoval Lync. Podjetju nudi zvočne, video in spletne konference,
neposredno sporočanje in prisotnost. Za zvočne komunikacije uporablja SIP, v javno
telefonsko omrežje se lahko poveže prek VoIP. Integrira se v Microsoft Office, tako da
omogoča sklic sestanka prek Skypea neposredno v Outlooku. Omogoča tudi pregled nad
trenutno prisotnostjo ostalih zaposlenih. V Skype konferenco se je možno vključiti tudi iz
navadnega telefonskega omrežja. Omogoča pa tudi povezljivost s klasičnim Skypeom za
komunikacijo z osebami izven službenega omrežja [3].
Avaya IP Office Platform
Avaya nudi več različnih rešitev za združene komunikacije, med katerimi je tudi Avaya IP
Office Platform.
»Avaya IP Office je celostna komunikacijska rešitev z možnostjo priključitve do 1500
poljubnih priključkov. Povezuje govorne in podatkovne komunikacije s poslovnimi
aplikacijami. Sistem omogoča postopen prehod na IP telefonijo, modularna zasnova pa rast
skupaj s potrebami podjetja. Rešitev z aplikacijami omogoča: povezavo telefona z
računalnikom, govorno pošto, komunikacijo kjerkoli in preko katerekoli naprave (BYOD),
konferenčne povezave, klicni center, povezovanje več lokacij podjetja [4].«
Cisco Unified Communications Manager
Sistem sestavlja več komponent [5]:
• IP PBX, pogosto nameščen na namenski strojni opremi, predvideva tudi možnost
namestitve v virtualen strežnik,
• izbor različnih modelov fizičnih IP telefonov, ki se na strežnik povezujejo prek
posebnega protokola,
• programski telefon, ki nudi razpon funkcionalnosti fizičnih telefonov, vključno s
snemanjem klicev in sposobnost video klicev.
7
Asterisk
Asterisk je vodilni odprtokodni IP telefonski sistem, ki deluje v okolju Linux. V zunanje
telefonsko omrežje se poveže prek VoIP protokola ali PSTN povezave. Kot klasične
telefonske centrale omogoča priklop enega ali več sto telefonskih aparatov.
Sistem Asterisk odlikuje prilagodljiva in bogata funkcionalnost [6]:
• klasična funkcionalnost: sprejem klica, predvajanje uvodnega sporočila,
konferenčni klici,
• napredna funkcionalnost: interaktivni odzivnik, sistem čakalnih vrst, videotelefonija,
tarifiranje telefonskih pogovorov, glasovna pošta in snemanje pogovorov,
• pregleden spletni vmesnik za upravljanje,
• enostavna integracija z drugimi sistemi: FoIP (Fax over IP), CTI aplikacije, itd.,
• podpora vsem standardnim protokolom (H.323, SIP, MGCP in SCCP),
• možnost povezave s PSTN omrežjem in obstoječo telefonsko centralo preko
analognega ali digitalnega (BRI, PRI) vmesnika.
Asterisk sam je predvsem ogrodje za gradnjo aplikacij za komunikacije. Na njegovi osnovi
se gradijo IP PBX sistemi, VoIP prehodi, konferenčni centri in različne prilagojene rešitve.
Asterisk ogrodje je v bistvu namenjeno razvijalcem, ne toliko končnim uporabnikom [7].
Na tem temeljijo rešitve za uporabo s strani končnih uporabnikov. Nekateri ponudniki teh
sistemov ponujajo predvsem programsko opremo (uporabniški vmesnik za Asterisk), na
primer FreePBX [8], Mirta PBX [9], nekateri pa tudi strojno opremo (specializirani strežniki
z nameščenim Asteriskom), na primer Sangoma PBXact UC [10] in PaloSanto Solutions –
Elastix [11].
8
3 OBRAČUNAVANJE TELEFONSKIH KLICEV PRI TELEKOMUNIKACIJSKEM OPERATERJU
Klic v operaterjevem omrežju ima predviden potek dogajanja. Razumevanje dogajanja s
klicem v operaterjevem omrežju je ključno za razumevanje možnosti operaterja za zaznavo
zlorab.
Podrobnosti načina delovanja se med operaterji zaradi različnih rešitev lahko razlikujejo,
zato na tem mestu za potrebe diplomske naloge navajamo konkretne podatke operaterja:
telefonska centrala pri operaterju je Cirpack NGN Softswitch, obračunski sistem pri
operaterju je MIND iPhonEX.
3.1 Sledenje podatkom o klicu pri operaterju
Ko naročnik s svojim telefonom sproži klic, ki se ne zaključni znotraj njegove naročniške
telefonske centrale, klic potuje k telefonski centrali telekomunikacijskega operaterja.
Operaterjeva centrala na podlagi ciljne telefonske številke odloči, kam bo klic poslala naprej:
• k drugemu naročniku tega operaterja,
• ali pa h kateremu drugemu operaterju, ki mu telefonska številka pripada.
Ko gre za klic v telefonsko omrežje, s katerim operater nima neposredne medoperaterske
povezljivosti, pošlje klic k tistemu operaterju, ki mu omogoča zaključevanje klicev na podano
telefonsko številko. Različni poti izhodnega klica prikazuje slika 3.1.
Slika 3.1: Pot izhodnega klica
9
Ko je klic zaključen, operaterjeva centrala podatke o klicu zapiše v datoteko v obliki CDR
(Call Detail Record). V tem CDRju so zapisani ključni podatki o klicu, datum in ura začetka
klica, trajanje, katera telefonska številka kliče katero telefonsko številko in tudi interne
informacije, ki izvirajo iz telefonske centrale operaterja, na primer h kateremu operaterju je
klic posredovan naprej, seveda v primeru, če je posredovanje bilo potrebno.
Ti CDRji se v minutnih intervalih odlagajo na mesto, kjer jih prevzame obračunski sistem.
Podatke v CDRju obračunski sistem prebere in glede na vsebovane podatke klic poveže z
naročnikom v obračunskem sistemu. V skladu z naročnikovim cenikom ovrednoti klic. To
pomeni, da obračuna, koliko bo klic stal naročnika in koliko bo klic stal operaterja v primeru,
če je treba klic poslati drugemu operaterju.
Ovrednoteni podatki o klicu se zapišejo v podatkovno bazo obračunskega sistema. Tako
so na voljo za uvrstitev na naslednji naročnikov računov, za pregled porabe s strani
naročnika in za kontrole morebitnih zlorab.
Pot podatkov o klicu prikazuje slika 3.2.
Slika 3.2: Pot podatkov o klicu
Tabela 3.1 prikazuje obseg podatkov o posameznem klicu, kot so zabeleženi v
posameznem sistemu.
Tabela 3.1: Podatki o klicu v dveh sistemih
Podatki o klicu iz centrale Podatki o klicu v obračunskem sistemu
Datum in čas klica
Trajanje klica
A številka (kličoča)
B številka (klicana)
Vhodni vod (interna oznaka)
Izhodni vod (interna oznaka)
ID naročnika
Datum in čas klica
Trajanje klica
A številka (kličoča)
B številka (klicana)
Vhodni vod (interna oznaka)
Izhodni vod (interna oznaka)
ID naročnika
Operater zaključka klica
Strošek za naročnika
Strošek za operaterja
Smer klica (Avstrija mobilno)
Vrsta klica (klic v mednarodna mobilna omrežja)
10
3.2 Možnosti obračunavanja klicev
Posamezen klic se lahko obračuna kot strošek za naročnika in kot strošek za operaterja.
Klic je za naročnika lahko tudi brezplačen (na primer znotraj omrežja operaterja). Slednje
je odvisno od ponudbe oziroma izbranega paketa storitev. Obstaja več možnosti: lahko je
vključen v količino brezplačnih minut ali pa je vključen v pavšal. Tudi za operaterja obstaja
možnost, da je klic brez zunanjih stroškov, saj se lahko zaključi znotraj omrežja. Obstajajo
sicer fiksni interni stroški opreme, a ti niso odvisni od posameznega klica oz. njegovega
trajanja, so pa potrebni, da je sploh možno nuditi storitev telefonije.
Ko se klic mora obračunati, obstaja za to več različnih načinov, ki so odvisni od ponudbe.
V nadaljevanju izpostavimo dve različni možnosti, in sicer:
• Klic se obračuna glede na trajanje klica v skladu z obračunskim intervalom, ki je
lahko sekundni, 30-sekundni, minutni in podobno.
• Klic se obračuna kot dogodek, kar pomeni, da je en klic en znesek.
Klici v različne destinacije, kar pomeni različne operaterje in države), različno stanejo.
Strošek klica za operaterja je odvisen od medoperaterske nabavne cene, ki jo uspe operater
dogovoriti z drugim operaterjem. Praviloma je zaključevanje klicev v mobilna omrežja dražje
kot v fiksna omrežja. Ta strošek se potem med drugim vključi v prodajno ceno, po kateri bo
klic k temu operaterju zaračunan končnemu naročniku.
Operater lahko zagotovi zaključevanje ali posredovanje klicev svojih naročnikov le, če ima
možnost klice dostaviti do ciljne telefonske številke. Za to potrebuje medomrežne povezave
(interkonekcije). V primeru, da z nekim operaterjem nima sklenjene pogodbe o
zaključevanju klicev, kar pomeni, da posledično nima fizične povezljivosti, lahko klic do
telefonskih številk tega operaterja posreduje le prek ostalih obstoječih medomrežnih
povezav v skladu z dogovori in ceniki za posredovanje klicev. Operater ima tako na primer
povezave z večino ostalih operaterjev v isti državi, prav tako pa tudi povezave z večjimi
operaterji nekaterih okoliških držav, ki potem nudijo zaključevanje klicev še k ostalim
operaterjem tiste države, ponujajo pa možnost tudi za zaključevanje klicev naprej v druge
države. Tako so posledično stroški za operaterja za klice na daljne destinacije višji. Klici so
posledično dražji tudi za naročnika.
11
Ko se telefonski klic obračuna, se na podlagi podatkov v ceniku tudi kategorizira.
Najpomembnejše kategorije klicev so:
• klici znotraj omrežja operaterja,
• klici v nacionalna fiksna omrežja,
• klici v nacionalna mobilna omrežja,
• klici na premijske telefonske številke (090, informacije in podobno),
• klici v mednarodna fiksna omrežja,
• klici v mednarodna mobilna omrežja in
• klici na brezplačne telefonske številke (080).
12
4 ZLORABE NAROČNIŠKIH TELEFONSKIH CENTRAL
Četrto poglavje prinaša pred nas izbrane razloge za zlorabe in pogoste vrste zlorab. Opisani
so načini izvedbe zlorab naročniških telefonskih central (PBX). Predstavljeni so primeri
dejanskih zlorab.
4.1 Razlogi za zlorabe
Pridobitev finančne koristi je med prepoznanimi razlogi za zlorabe centrale najpogostejši in
predvidevamo, da tudi najpomembnejši razlog, da nekdo izvede nepooblaščen dostop do
centrale in posameznih funkcij.
Na svetovni ravni se z analizami zlorab na področju telekomunikacij ukvarja
Communications Fraud Control Association (CFCA). Združenje povezuje 200 različnih
operaterjev, lastnikov omrežij, končnih uporabnikov, vladnih organizacij za pregon kriminala
in ostalih zainteresiranih deležnikov iz različnih držav sveta [12].
Raziskava CFCA za leto 2015 [13] poroča o ocenjenih svetovnih izgubah v višini 38,1
milijonov dolarjev na leto zaradi zlorab telekomunikacij, od tega 7,46 milijonov dolarjev prek
vdorov v PBX centrale.
Večina zneska zlorab je pridobljena s prevaro z mednarodno delitvijo prihodkov (IRSF –
International Revenue Share Fraud), na drugem mestu je izogibanje medomrežnim
stroškom povezav med operaterji, na tretjem mestu so klici na storitve z dodano vrednostjo
(Premium Rate services).
Avtorji raziskave so v poročilu predstavili najpogostejše načine zlorab (tabela 4.1), torej
način, kako napadalci dostopajo do omrežja oziroma storitev, za pridobitev finančne koristi.
Tabela 4.1: Najpogostejši načini zlorab
milijard USD Način zlorabe
3,93 vdori v PBX centrale
3,53 vdori v IP PBX centrale
3,53 sklepanje naročniškega razmerja brez namena plačila storitev
3,14 zloraba s strani zaposlenih pri operaterju
2,55 sklepanje naročniškega razmerja s tujo identiteto
2,16 zloraba storitev
13
2,16 pridobitev in zloraba podatkov drugega naročnika
1,96 sklepanje naročniškega razmerja za nekoga drugega
V poročilu so predstavljeni tudi najpogostejše vrste zlorab (tabela 4.2), torej način, kako napadalci uporabijo storitev ali omrežje za pridobitev finančne koristi.
Tabela 4.2: Najpogostejše vrste zlorab
milijard USD Vrsta zlorabe
10,76 prevara z mednarodno delitvijo prihodkov (IRSF)
5,97 izogibanje medoperaterski povezavi
3,77 storitve z dodano vrednostjo
2,94 arbitraža, zloraba razlik v cenah različnih operaterjev
2,84 kraja
2,35 preprodaja naprav
2,09 prevara z nacionalno delitvijo prihodkov
2,01 veleprodajna zloraba
Telefonski klici, ki so posledica zlorabe, najpogosteje izvirajo iz naslednjih držav: ZDA,
Pakistan, Španija, Kuba in Italija (slika 4.1).
Slika 4.1: Izvor klicev
14
Zlorabljeni klici se najpogosteje zaključijo v naslednjih državah: Kuba, Somalija, Bosna in
Hercegovina, Estonija, Litva (slika 4.2).
Slika 4.2: Ponor klicev
4.2 Pogoste vrste zlorab
Prevara z mednarodno delitvijo prihodkov
Najpogostejša vrsta zlorabe je prevara z mednarodno delitvijo prihodkov (IRSF,
International Revenue Share Fraud).
Pri telefonskih številkah storitev z dodano vrednostjo, govorimo o t.i. premijskih številkah,
del prihodka operaterja dobi tudi prejemnik klica, torej gre v tem primeru za delitev
prihodkov. Nekatere države nacionalnih premijskih številk nimajo, zato obstaja potreba po
mednarodnih premijskih številkah. Za zlorabe so posebej zanimive mednarodne premijske
številke v državah, v katerih so stroški zaključevanja klicev največji, torej tam, kjer je tudi
deljenega prihodka za ponudnika premijskih storitev največ. Med te na primer uvrščamo
karibske države in več manjših otokov na Pacifiku (Cookovi otoki, Niue, Tokelav in drugi).
Tovrstna zloraba zahteva od prevaranta, da postane ponudnik mednarodnih premijskih
storitev, potem pa poskrbi za množico klicev na njegovo storitev. Storitev je lahko dejansko
le samodejni odzivnik. Množico klicev doseže z vdori v PBXe, prek katerih sproži veliko
klicev na svojo premijsko številko ali pa na primer z napadom Wangiri, ki je opisan v
nadaljevanju [14].
15
Na sliki slika 4.3 je predstavljen način delovanja vrste zlorabe z mednarodno delitvijo
prihodkov.
Slika 4.3: Način delovanja zlorabe z mednarodno delitvijo prihodkov
1. Prevarant zlorabi telefonski sistem za pošiljanje klicev na premijske storitve skozi
operaterja A.
2. Veleprodajni operater sprejme klic ter ga posreduje operaterju B.
3. Operater B plača ponudniku premijskih storitev.
4. Ponudnik premijskih storitev deli prihodek s prevarantom.
V tem primeru operater A ne bo prejel plačila od prevaranta, veleprodajnemu operaterju pa
mora plačati. Tako prevarant pride do denarja, operater A pa je deležen izgube prihodka
[15].
Izogibanje medoperaterski povezavi – Interconnect bypass (SIM box)
Pri tej vrsti zlorabe se dohodni klic, ki je namenjen k drugemu operaterju, prikrito izvede kot
klic pri istem operaterju, na ta način se ta operater izogne visokim stroškom zaključevanja
klicev pri drugem operaterju.
Večina izogibanj medoperaterskim povezavam je izvedenih v velikem obsegu. To
prevaranti dosežejo z uporabo naprednih SIM-boxov, to so naprave, ki sprejmejo veliko SIM
kartic, ki jih je mogoče upravljati od koderkoli. Ponudniki storitev, ki so deležni napada s to
tehniko, lahko zaradi tega utrpijo občutne izgube prihodkov iz naslova zaključevanja klicev
[16].
16
Storitve z dodano vrednostjo – Premium Rate Services
Običajni dohodni klici za klicanega ne predstavljajo nobenega finančnega učinka. Drugače
pa je pri ponudnikih storitev z dodano vrednostjo, to je s klici na telefonske številke storitev
z dodano vrednostjo, t.i. premijske številke. Ti klici so dražji, saj del prihodka, ki ga operater
zaračuna klicatelju, dobi ponudnik te storitve.
Prevaranti izvedejo zlorabo tako, da pri operaterju aktivirajo svojo premijsko številko, na
katero postavijo odzivnik, potem pa na različne nelegalne načine poskrbijo, da dobi ta
telefonska številka veliko klicev. Tako od premijske številke dobijo veliko prihodkov. Lahko
pa lastnik premijske številke za dodaten promet poskrbi s ponudbo delitve prihodkov drugim
zainteresiranim, ki so tako zainteresirani za sodelovanje pri prevari.
Najpogostejša izvedba napada je z naročniško zlorabo. V tem primeru prevarant sklene
pogodbe za telefonijo z uporabo izmišljenih ali tujih podatkov ter aktivira samodejne
klicalnike, ki kličejo njegovo premijsko številko. Prihodki od premijske številke se izplačujejo
sproti, praviloma mesečno, izmišljeni naročniki pa svojih klicev na te premijske številke ne
poravnajo. Napad v tej obliki je v osnovi možen predvsem pri mobilnih operaterjih, pa še to
le v primerih, kjer operater ne zagotavlja ustreznega preverjanja identitete novega
naročnika.
Drug pogost način pridobivanja klicev na premijsko številko se imenuje Wangiri. Ta način
se imenuje z japonsko besedo, ki v angleščini pomeni približno »one ring and cut«. Za to
zlorabo je značilno, da samodejni klicalnik pokliče ogromno telefonskih številk, vendar klic
takoj po začetku zvonjenja prekine. Tako na klicanem telefonu ostane obvestilo o
neodgovorjenem klicu. Presenetljivo veliko ljudi (povprečno 20 %) pokliče nazaj, ob tem pa
ne vedo, da pravzaprav kličejo na premijsko telefonsko številko [17].
4.3 Načini zlorab naročniških telefonskih central
V diplomskem delu smo se osredotočali predvsem na zlorabe z vdori, ne pa tudi z ostalimi
načini zlorab. Na ostale oblike zlorab se nismo osredotočili, saj so pri fiksni telefoniji, kamor
spadajo PBX centrale, težje izvedljivi. Tako na primer ni mogoče govoriti o zlorabi
naročnikove identitete (subscription fraud), saj se možnost priklopa PBX centrale nudi le
podjetjem po podpisani pogodbi.
Pričetek vdora običajno predstavlja skeniranje mrežnih vrat za pridobivanje čim več
informacij o ciljnem sistemu. Tako se na primer preverjajo neprimerno zaščitena SNMP
17
vrata (Simple Network Management Protocol – preprosti protokol za upravljanje omrežij),
poskusijo se privzeta ali pogosta gesla raznih sistemov [18].
SIP
IP PBX centrale primarno omogočajo priklop telefonov prek SIP protokola, vendar je dostop
praviloma omogočen le iz lokalnega omrežja. V nekaterih primerih podjetje svojim
zaposlenim omogoča priklop na centralo prek SIP protokola tudi prek interneta, na primer
iz svojega pametnega telefona ali pa iz SIP aplikacije na prenosnem računalniku. V teh
primerih so SIP vrata odprta tudi za morebitne vdore s strani interneta.
Ko napadalci odkrijejo takšna odprta mrežna vrata, najprej poskusijo neposredne klice, to
pomeni nezaščitene centrale, potem ugibanje SIP gesel s silo, sledi pa tudi iskanje kakšne
od ranljivosti specifične telefonske centrale [18].
Vmesniki za vzdrževanje
»Vstop preko vzdrževalnih ali administratorskih vrat (portov); ta vrata so prvenstveno
namenjena vzdrževalcem za oddaljen dostop do sistema, kjer lahko izvajajo vzdrževalsko-
upravljavske posege. Večina sistemov ima varovanje izvedeno preko gesel, PINov,
povratnih klicev ali kombinacij naštetega. Velikokrat se zgodi, da vrata ostanejo nezaščitena
ali da so ostala tovarniško nastavljena gesla. Z vdorom v PBX zlikovci naredijo preusmeritev
na določene drage destinacije ali celo možnost klicanja poljubnih številk [19].«
DISA in sistem govornih sporočil
Direct Inward System Access (DISA) omogoča dostop do nekaterih funkcionalnosti iz
centrale izven telefonov oz. internega omrežja te centrale. Na PBXu je lahko omogočen
dostop do govornih sporočil, to pomeni t.i. tajnice, tudi iz ne-lastnih telefonskih številk. V
takšnem primeru je dostop varovan s PIN številko, ki pa jo je mogoče uganiti oz. pridobiti s
poskušanjem. Ko napadalec pride mimo PIN kode, ima na voljo tudi možnost klicanja
navzven na poljubno telefonsko številko.
Takšna funkcionalnost je bila pomembna predvsem uporabnikom, ki so veliko potovali, saj
so tako lahko spremljali posneta sporočila, pa tudi klicali iz svoje službene fiksne telefonske
številke na stroške podjetja. Funkcionalnost za takšno vrsto izhodnih klicev je v sodobnih
centralah privzeto izključena.
Več o možnih načinih zlorab ter zaščitah pred njimi je med drugim v knjigi »Hacking
exposed: unified communications & VoIP security secrets & solutions” [20]. Priporočila za
18
zaščito PBX central je podal tudi AKOS (Agencija za komunikacijska omrežja in storitve
Republike Slovenije) [19], kar je predstavljeno v poglavju 5.1.
4.4 Primeri zlorab
V nadaljevanju predstavljamo štiri primere dejanskih zlorab, zaznanih pri operaterju.
Prikazane so posledice zlorabe (klici), ne pa način tehnične izvedbe zlorabe, torej način
pridobitve nepooblaščenega dostopa do naročniške telefonske centrale.
Primeri predstavljajo različne tehnike napadov:
• primer 1: le en klic hkrati, počasna rast stroškov,
• primer 2: agresiven napad z množico hkratnih 15-minutnih klicev,
• primer 3: hkratni dolgi klici in
• primer 4: prekomerna legitimna uporaba.
V izpisu smo zaradi varovanja osebnih podatkov slovenske telefonske številke anonimizirali
(xxx namesto telefonske številke). V stolpcu »znesek za stranko« je grafično poudarjena
višina stroška posameznega klica. Klicane številke so prikazane v celoti, saj niso v naboru
sicer klicanih številk teh naročnikov in so torej izključno številke, uporabljene za namene
zlorabe.
4.4.1 Primer 1
Naročnik ima pri operaterju paket PBX z dvema kanaloma in 10 telefonskimi številkami.
V izpisu relevantnih klicev (slika 4.4) so vidni običajni klici v slovenska omrežja, po poteku
običajnega delovnega časa pa se začnejo klici na mednarodne telefonske številke. Najprej
je bilo opravljenih nekaj zelo kratkih klicev v Egipt in Francijo. Ti so najverjetneje
predstavljali poskusne klice na samodejne odzivnike. S takšnimi klici lahko prevarant
preveri, ali centrala dopušča klice v tujino, in s tem pridobi informacijo, ali je bil vdor v
centralo uspešen. Nekaj pozneje so se začeli daljši in predvsem dražji klici v Latvijo.
Prevarant je za klicanje uporabil le en kanal (en hkraten klic), kar je povzročilo počasno
naraščanje stroškov. Po približno desetih urah od začetka klicanja so klici prenehali, saj so
19
stroški presegli postavljeno omejitev in je nadaljnje klice onemogočila aplikacija. Razvoj
aplikacije smo opisali v poglavju 6.
Slika 4.4: Izpis klicev za primer 1
20
4.4.2 Primer 2
Naročnik ima pri operaterju enajst telefonskih številk. V napadu je bila uporabljena ena
številka.
Klici kot posledica vdora so se začeli v nedeljo zgodaj zjutraj, ko ni bilo na centrali nobenega
drugega prometa. Izpis problematičnih klicev je viden v slika 4.5. Pri tem napadu sta se
pojavljali dve destinaciji klicev, in sicer Emsat (satelitski mobilni telefoni) in klici v mobilne
telefonske številke v državi Burkina Faso. Ta napad je bil zelo agresiven, saj je potekala
množica 15-minutnih klicev hkrati. Napad je trajal več kot 1 uro, preden je bil ustavljen z
blokado klicanja.
Slika 4.5: Izpis klicev za primer 2
21
4.4.3 Primer 3
Naročnik ima pri operaterju 36 telefonskih številk in 6 kanalov.
Napad je uporabljal vseh 6 kanalov naročnika, tako da je bilo hkrati aktivnih tudi po 6 klicev,
ki so trajali tudi po več kot eno uro. Vsi klici so bili opravljeni iz ene telefonske številke.
Napad je bil blokiran šele 3 ure po začetku, ko so bili stroški napada že skoraj 500 €. Izpis
klicev je viden v slika 4.6.
Slika 4.6: Izpis klicev za primer 3
22
4.4.4 Primer 4
Naročnik je fizična oseba z eno telefonsko številko, uporablja enostavno telefonijo. SIP
povezavo z operaterjevo centralo vzpostavi modem, na modem se na drugi strani priklopi
navaden analogni telefon (torej ne IP telefon). Modem je s telefonsko centralo povezan po
namenskem VLANu (Virtual Local Area Network – navidezno lokalno omrežje), ta povezava
ni dosegljiva prek interneta ali v naročnikovem lokalnem računalniškem omrežju. S tem je
možnost vdorov onemogočena.
Kljub temu se tudi pri takšni vrsti naročnika lahko pojavijo zlorabe. Zloraba v tem primeru ni
vdor v telefonsko omrežje, temveč prekomerna uporaba storitve. Pogosto se naročniki
namreč ne zavedajo, da imajo klici na premijske številke oz. številke storitev z dodano
vrednostjo dejansko visoko ceno. Če bi takšnemu naročniku dovolili, da kliče kolikor želi, bi
pogosto prišli do scenarija, ko naročnik računa za te telefonske klice ne bi mogel poravnati.
Izpis porabe za tak primer je viden v slika 4.7.
V izogib previsokim računom zaradi klicev na premijske telefonske številke je s strani
regulatorja (AKOS) postavljena zahteva vsem ponudnikom in operaterjem, da se mora vsak
klic na premijske številke samodejno prekiniti po 30 minutah.
Upoštevanje te samodejne prekinitve je vidno tudi v prikazanem izbranem primeru, saj je
bil prvi klic prekinjen tik preden bi dosegel 30 minut. Konkretni naročnik se je sicer po
prekinitvi odločil za še en klic k temu ponudniku storitev z dodano vrednostjo, tako da je z
dvema klicema porabil več kot 100 €.
Slika 4.7: Izpis klicev za primer 4
23
5 ZAZNAVANJE POTENCIALNIH ZLORAB
V tem poglavju predstavljamo načine zaznave zlorab PBX central. Predstavljena so
priporočila regulatorja telekomunikacij v Sloveniji (AKOS) o zaznavah in preprečevanju
zlorab ter pregled komercialnih rešitev za zaznavo zlorab. Osredotočili smo se na vire
zaznave zlorab v omrežju operaterja, torej, kateri operaterju razpoložljivi podatki so primerni
viri za identifikacijo zlorabe. Opisali smo princip zaznave s spremljanjem sumljivih vzorcev
opravljanja telefonskih klicev.
5.1 Dobre prakse in priporočila za zaznavanje zlorab
Agencija za komunikacijska omrežja in storitve Republike Slovenije (AKOS) med drugim
svetuje in izdaja priporočila operaterjem, kako zaščititi naročnike telekomunikacijskih
storitev pred zlorabami. V dokumentu »Zlorabe in vdori v zasebne naročniške centrale
(PBX) ter potrebni ukrepi« podaja osnovne smernice za zaščito PBX pred vdori in
zlorabami:
»Pred vključitvijo PBX sistema in druge telekomunikacijske opreme v omrežje, natančno
razmejite domene odgovornosti in upravljanja. Naročnik oz. lastnik PBX mora s svojo
telekomunikacijsko opremo, ki je vključena v javno telefonsko omrežje ravnati odgovorno
in v skladu z splošnimi in posebnimi pogoji za priklop na javno telefonsko omrežje. Kot
skrben gospodar ne sme nikoli v celoti prepustiti področja preprečevanja PBX zlorab
operaterju, temveč mora sam ali (po pogodbi) z vzdrževalcem zagotoviti varno in učinkovito
rabo vseh telekomunikacijskih naprav. Operater res lahko z svojo opremo zazna zlorabe,
toda žal te lahko zazna šele takrat, ko se že zgodijo. Naročnik oz. lastnik PBX v primeru
zlorabe zaradi tega vedno utrpi večjo ali manjšo škodo. Zato je izrednega pomena, da
pravočasno s pravilnimi nastavitvami vseh varnostnih mehanizmov v PBX opremi v največji
možni meri že sam prepreči zlorabe in s tem preventivno preprečuje škodo nastale zaradi
zlorabe telekomunikacijskih storitev [19].«
Prav tako je AKOS izdal »Priporočilo operaterjem o preprečevanju izredno visokih zneskov
na uporabniških računih«. V poglavju »VII. Zagotavljanje informacij končnim uporabnikom«
je definirano obveščanje naročnika v primeru zaznane povečane porabe [21]:
»Ustrezno vzpostavljen informacijski sistem za preprečevanje zlorab in previsokih zneskov
naj omogoča operaterju sprotno spremljanje porabe na uporabniških računih. Takšen
sistem omogoča operaterju, da obvesti uporabnika v primeru očitnega odstopanja na
uporabniškem računu. Operater naj naročnika prvič opozorili vsaj pri porabi, ki za dvakrat
24
preseže uporabnikovo povprečno mesečno uporabo v zadnjem letu. Npr. pri povprečni
porabi 50€ naj se naročnika obvesti prvič pri preseženi vsoti 100€ in nato sproti na vsakih
dodatnih 100€. Za nove naročnike oblikujejo operaterji sami ustrezen referenčni znesek, ki
pa ne sme biti višji od 200€ pri mobilni telefoniji in 100€ pri fiksni telefoniji na posamezen
telefon.«
V tem priporočilu se AKOS osredotoča predvsem na hoteno telefonsko komunikacijo
naročnika, ki se morda ne zaveda stroškov, ne osredotoči pa se na zlorabo
telekomunikacijske opreme, posledica katere so tudi višji stroški.
V priporočilu v poglavju »IX. Aktivnosti operaterjev za preprečevanje pojava izredno visokih
zneskov na uporabniških računih« je dodatno predlagano [21]:
»Pri oblikovanju priporočila Agencija zasleduje osnovne cilje, ki naj bi jih operaterji
izpolnjevali:
Temeljni cilj je vzpostavitev mehanizmov obveščanja in zgodnjega preprečevanja pojavov
izredno visokih zneskov na uporabniških računih, pri čemer se operaterjem priporoča:
• vzpostavitev sistema spremljanja povečane porabe uporabnikov,
• sprotno spremljanje porabe v smislu odstopanja od časovno določenega
povprečja,
• opozorilni klic ali drugačno opozorilo v primeru prekoračitve povprečne porabe,
• možnost sprotnega in vnaprejšnjega plačila in nadaljnje uporabe storitev,
• blokado nadaljnje uporabe storitev, ki so razlog za povečano porabo,
• možnost postavitve zgornje omejitve porabe s strani končnega uporabnika
oziroma možnost nastavitve opozorila ob določeni doseženi porabi,
• brezplačno glasovno opozorilo ob klicu na številke z dodano vrednostjo z navedbo
cene storitve,
• na željo uporabnikov možnost brezplačne vnaprejšnje blokade storitev, ki lahko
povzročijo višjo stopnjo tveganja v smislu nastanka izredno visokih stroškov,
• opozarjanje na stroške uporabe storitev,
• ob sklenitvi pogodbe s ponudnikom storitev z dodano vrednostjo, vključitev
klavzule, ki ponudnika zavezuje k poštenemu in transparentnemu poslovanju in
nezavajanju končnih uporabnikov,
• ob sklenitvi pogodbe iz prejšnje alinee, vključitev točnih in transparentnih pogojev
in rokov plačila opravljenih storitev pri 090 ponudniku,
• zaračunavanje storitev v čim krajšem možnem času (vključno s premijskimi
storitvami).«
25
5.2 Pregled komercialnih rešitev za zaznavanje zlorab
Za zaznavo zlorab so na voljo specializirane komercialne rešitve, ki delujejo na različnih
ravneh. V kontekstu diplomske naloge nas zanimajo le tiste rešitve, ki jih lahko uporabljajo
telekomunikacijski operaterji. Nekatere od najdenih rešitev, namenjenih za operaterje fiksne
telefonije, kratko predstavljamo v nadaljevanju.
Equinox Information Systems Protector
Sistem za upravljanje z zlorabami Protector ves čas spremlja dogajanje v omrežju. Sumljive
dejavnosti prepoznava na podlagi nenormalnih vzorcev klicev, neobičajnih klicev, na
podlagi seznamov problematičnih telefonskih številk in podobnih drugih kriterijev. O
dogajanju pošilja samodejna opozorila. Omogoča preprosto raziskovanje posameznih
zaznanih primerov ter njihovo upravljanje. Zaznane primere je mogoče reševati
avtomatizirano, na primer s samodejno blokado telefonske številke ali pa s spremembo
nastavitev številke [22].
TransNexus NexOSS
NexOSS je namenjen ponudnikom VoIP storitev in je celostna rešitev za usmerjanje
prometa, upravljanje ter obračun. Rešitev med drugim vsebuje tudi podporo za zaznavo
zlorab v VoIP omrežjih. Zloraba je zaznana s pomočjo spremljanja neobičajnih prometnih
konic v določeno omrežje. Ko je zaznana sumljiva hitra rast prometa v določeno omrežje,
sistem samodejno začasno zablokira pošiljanje klicev v problematično omrežje. S tem
pristopom so finančne izgube zaradi zlorabe minimalne, običajni klici pa niso prizadeti [23].
Argyle Data Fraud Threat Analytics
Aplikacija Fraud Threat Analytics kombinira ogromne količine realno-časovnih mrežnih in
poslovnih podatkov, da zaznava znane in neznane vrste zlorab. To doseže z uporabo
tehnologij, kot je Hadoop ter z uporabo strojnega učenja. Na tej podlagi točkuje nevarnosti
zlorab in tako dodatno zniža število lažnih alarmov [24].
Xintec FMSevolution
FMSevolutions obdeluje CDRje in jih analizira s pomočjo poslovnih pravil ter različnih vrst
alarmov. Samodejno se uči ločevati med naročniki z visoko porabo in porabo na podlagi
zlorabe. Zlorabe zaznava s pomočjo profiliranja naročnikov, nastavljenih poslovnih pravil
26
ter različnih mej za različne parametre. Podpira tudi sezname sumljivih naročnikov in
destinacij. Odziva se z obveščanjem [25].
5.3 Viri zaznavanja zlorab z opravljanjem telefonskih klicev
Na strani operaterja je ključno zaznavanje tistih zlorab, ki bi naročniku povzročile večje
finančne stroške, ki bi jih naročnik morda težje poravnal, sploh ob predpostavki, da ima tudi
operater s klici dodatne stroške. Ker so predmet zlorab predvsem klici na dražje destinacije,
so pri teh tudi nabavni stroški operaterja višji. V primeru nezmožnosti plačila naročnika je
tudi poslovna škoda operaterja ob morebitnem odpisu dolga večja.
S tehničnega vidika je zlorabe mogoče zaznavati na več točkah. Zlorabe, ki imajo vpliv na
stroške, pa lahko zaznamo le na ovrednotenih klicih. V primeru, da bi se strošek za
operaterja računal v ločenem sistemu, bi lahko bil vir za obračun tudi ta sistem, kjer se pa
oba stroška (za naročnika in za operaterja) obračunavata v istem sistemu, je smiselno kot
prvi vir zaznave zlorabe uporabiti strošek za naročnika.
V primerih paketov telefonskih storitev s pavšalnim obračunavanjem porabe, torej ne glede
na minute dejansko opravljenih klicev, je sicer edini znesek, ki je na voljo, dejansko le
strošek operaterja, zato se v teh primerih uporabi ta.
V splošnem je mogoče zlorabe zaznavati na več mestih, od SBCja (Session Border
Controller, mejni krmilnik sej) naprej. SBC je neke vrste požarni zid za VoIP. Zlorabe na
temo stroškov je mogoče zaznavati le ob branju podatkov o klicih. Podatki o klicu (CDR) se
zapišejo, ko je klic zaključen. Obstaja pa tudi možnost zapisa delnih CDRjev, torej za klice
v teku. V tem primeru bi bilo za zaznavanje zlorabe mogoče uporabiti tudi te podatke.
5.4 Zaznavanje sumljivih vzorcev opravljanja telefonskih klicev
Pri zaznavanju zlorab se osredotočamo na analizo dejavnosti uporabnika, za kar se
uporabljata predvsem dva pristopa [26]. Prvi pristop analiziranja uporabnikovih dejavnosti
je absoluten, išče mejo med legitimno uporabo in uporabo kot posledico zlorabe. Drug
pristop je diferencialen, išče bistvene spremembe v uporabnikovi uporabi storitev.
Pri obeh pristopih iščemo odstopanja od običajne uporabe, le da je diferencialen pristop
prilagojen konkretnemu naročniku, torej iščemo odstopanja od njegove specifične uporabe.
27
Zaznava absolutnih parametrov uporabe storitve
Pri tem pristopu postavimo meje parametrov, za katere ocenjujemo, da niso predmet
običajne uporabe storitve. Te meje postavimo na podlagi (enkratnih oziroma ne-
avtomatiziranih) analiz običajnih klicev večje skupine naročnikov čez daljše časovno
obdobje.
Zaznava bistvenih sprememb parametrov uporabe storitve
Za ta pristop potrebujemo rezultate analiz po vseh spremljanih parametrih za vsakega
naročnika posebej, ki jih moramo tudi sproti osveževati. Tako pripravimo podatke o običajni
uporabi storitev konkretnega naročnika, torej smo naročnikovo porabo profilirali. Le tako
lahko trenutno vedenje uporabnika primerjamo z njegovim običajnim vedenjem (z njegovim
profilom uporabe). Pripraviti je treba analize za različna obdobja (teden, mesec, dan v
tednu), da na primer dopusti uporabnikov ne pokvarijo profila uporabe. Primeren vir za
takšne analize je podatkovno skladišče s klici naročnikov.
Za iskanje odstopanj od običajne uporabe lahko preverjamo naslednje parametre (v nekem
podanem časovnem obdobju):
• stroški klicev v podanem obdobju glede na destinacijo,
• število klicev v neko destinacijo (državo),
• klici ob neobičajnih urah (ponoči, konec tedna),
• neobičajno trajanje večjega števila klicev,
• neobičajno število hkratnih klicev.
Nekatere od teh parametrov je mogoče uporabiti samostojno, na primer stroške klicev,
nekateri so pa lahko le dodatna potrditev suma zlorabe. Če vsakega od parametrov
obtežimo, nam lahko na primer kombinacija večjega števila daljših klicev v nočnih urah na
neobičajno destinacijo pomeni že dovolj dober znak, da gre dejansko za bistveno
odstopanje od običajne uporabe in lahko sklepamo, da gre za zlorabo.
Za nekatere od prej omenjenih parametrov potrebujemo dodatne vire, na primer
podatkovno skladišče, kar pomeni odvisnost od dodatnega sistema. Če pri tem ni
zagotovljena visoka razpoložljivost sistema, lahko takšna dodatna odvisnost negativno
vpliva na možnost pravočasne zaznave zlorabe.
28
6 RAZVOJ APLIKACIJE ZA ZAZNAVO ZLORAB
Na podlagi v prejšnjih poglavjih predstavljenih priporočilih za zaznavo zlorab, analize
primerov zlorab in zmožnosti zaznave zlorab na strani operaterja smo se odločili za lasten
razvoj in implementacijo aplikacije za zaznavo zlorab ter ukrepanje ob zlorabah na podlagi
ovrednotenih podatkov o klicih iz obračunskega sistema telekomunikacijskega operaterja.
6.1 Načrtovanje aplikacije
Predpostavke in odločitve, sprejete na podlagi dejstev, ki smo jih predstavili v prejšnjih
podatkih:
• Predvsem nas zanimajo zlorabe, ki vplivajo na stroške.
• Zlorabe zaznavamo kot hitro in izredno povečanje stroškov.
• Zlorabe zaznavamo na podlagi obračunanih podatkov o klicih.
• Zlorabe zaznavamo kakor hitro je le mogoče.
• Reakcija na zaznano zlorabo mora biti avtomatizirana.
Za zaznavo zlorabe smo uporabili pristop z zaznavo absolutnih parametrov uporabe storitve
(poglavje 5.4). Ta pristop je bistveno preprostejši in zaradi manj odvisnosti tudi bolj
robusten. Kot opazovani parameter zlorabe je bil izbran le parameter višina stroškov, saj
ima največji vpliv na potrditev suma zlorabe. Zaznavanje zlorabe smo vpeli v poslovni
proces (slika 6.1), ki je opisan v nadaljevanju, skupaj z opisom delovanja aplikacije.
Slika 6.1: Proces obravnave zlorab telefonije
29
Aplikacija periodično preverja obračunano porabo telefonskih klicev v določenem obdobju.
V primeru, da poraba presega postavljeno mejo oziroma omejitev, aplikacija izvede
samodejno blokado klicev v tujino in o tem obvesti dežurno službo, ki ves čas spremlja
incidente v omrežju. Dežurna služba sum vdora dodatno preveri z vpogledom v zgodovino
telefonskih klicev naročnika. Ta služba sama ali s pomočjo naročnikovega skrbnika stopi v
stik s kontaktno osebo na strani naročnika, da preveri, ali gre za namerne klice ali za
zlorabo. Če gre za namerne klice, se lahko blokada takoj odstrani na podlagi pisne zahteve
naročnika. Če so bili klici res posledica vdora, se blokada odstrani takrat, ko naročnik pisno
zagotovi, da je vdor saniral in svojo opremo zaščitil.
Druga aplikacija z drugačno poizvedbo po podatkovni bazi obračunanih klicev dnevno
pošilja poročilo o zaznanih preseganjih postavljene omejitve stroškov v podani časovni
enoti. S tem je zagotovljena dodatna kontrola klicev, da zaradi morebitne napake v prvi
aplikaciji ne bi spregledali katere od zlorab.
Samodejna blokada klicanja se izvede le za klice v tujino, le ti so šteti kot posledica vdora.
Zaznajo se sicer tudi klici v domača telefonska omrežja, na primer na premijske številke,
vendar se pri teh pošlje le obvestilo eni od služb, ki stopi v stik z naročnikom in ga opozori
na izredno visoko porabo.
Aplikacija podpira zagon različnih poizvedb po podatkovni bazi, saj se stroški za naročnika
beležijo drugače kot stroški za operaterja.
Ko aplikacija zazna preseženo omejitev, le-to tudi kategorizira, če so prekoračeni stroški v
mednarodnem telefonskem prometu, se aplikacija odziva in obvešča z drugačno ravnijo
resnosti kot v primeru klica v sklopu nacionalnega prometa.
Aplikacija ne deluje neprekinjeno, ampak v nastavljenih intervalih. V času zagona izvede
tisto vrsto preveritve, ki je bila podana kot vhodni parameter, torej govorimo o dveh možnih
parametrih: stroški za naročnika ali stroški za operaterja. Za zaščito pred preobremenitvijo
strežnikov ob vsakokratnem zagonu preveri, ali morda prejšnji zagon še ni zaključen, to
naredi zaradi morebitnih preobremenitev podatkovne baze in v tem primeru aplikacija
izjemo sporoči vzdrževalcem in prekine tokratni zagon.
30
Ob zagonu na podlagi vhodnih parametrov prebere konfiguracijo za zaznavo zlorab, med
drugim:
• poizvedbo po podatkovni bazi (SQL),
• seznam poštnih naslovov za obveščanje,
• vrste blokad,
• kategorije klicev, ki so predmet samodejne blokade.
Aplikacija v primeru aktivacije blokade upošteva morebitne obstoječe blokade. Naročnik
ima lahko na primer že aktivirano blokado klicanja na premijske telefonske številke. V
primeru aktivacije blokade klicanja v mednarodna omrežja mora aplikacija poskrbeti, da se
ohrani tudi blokada klicanja na premijske številke. Pomembno je, da sta po zaznanem vdoru
aktivni dve blokadi. Blokade se v konkretni telefonski centrali namreč nastavljajo z eno
vrednostjo, šifrant v ozadju pa centrali določi, kaj vse bo s to eno vrednostjo blokirano.
Tipičen nabor blokad sicer vsebuje štiri opcije: brez omejitev, omejitev klicev na mobilne
telefonske številke, omejitev klicev na premijske telefonske številke, omejitev klicev v tujino
ter kombinacije le-teh.
Aplikacija spremlja porabo glede na naročnikovo telefonsko številko. Tako torej stroškov iz
več naročnikovih telefonskih številk ne združuje. Vsaka številka posebej sme klicati do
nastavljene omejitve. V primeru vdora se lahko zlorabi tudi možnost nastavitve izhodne
telefonske številke, ki je v teh primerih potem le redko dejanska naročnikova telefonska
številka. Poizvedba, ki preverja porabo, takšne telefonske številke, ki pa niso naročnikove,
združuje kot eno. Preverja vsoto porabe vseh izmišljenih telefonskih številk, s čimer takšne
kombinirane zlorabe lovi bolj učinkovito.
Nekateri naročniki imajo večje klicne centre, kjer je velika poraba običajna. Te so izvzete iz
kontrol in so na seznamu dovoljenih izrednih klicateljev oziroma niso spremljane. Takšna
nastavitev je potrebna, saj na strani operaterja ni mogoče predvideti, kdaj bo povečanje
porabe posledica poslovanja, npr. klicanja iz klicnega centra, in kdaj morebitnega vdora.
Naročniki s klicnimi centri so specifični, saj imajo dovolj znanja oziroma ustrezno
usposobljene zunanje vzdrževalce, da lahko primerno zaščitijo svoje omrežje in je možnost
vdorov neprimerno manjša.
Aplikacija v primeru zaznane prekomerne porabe shrani informacijo o tem zaznanem
primeru, da lahko ob naslednjih preveritvah v nekem časovnem obdobju ta primer ignorira.
Brez tega bi ob vsaki preveritvi v časovnem obdobju dežurno službo obveščala o zaznani
zlorabi, čeprav bi že prvič tudi izvedla ustrezne akcije.
31
Psevdokoda aplikacije:
• periodično zaženi aplikacijo,
• preveri, ali se morda prejšnji zagon ni zaključil:
o če se res ni zaključil, pošlji obvestilo in prekini izvajanje.
• naloži podrobnosti poizvedbe, izbrane z vhodnim parametrom,
• izvedi poizvedbo za zaznavo zlorab.
• Za vsak rezultat izvedi:
o preveritev, ali je konkreten dogodek že obdelan (ob prejšnjem zagonu),
o preveri, ali se kategorija klicev upošteva za samodejno blokado ali pa le za
obveščanje,
o preveri, ali je naročnik telefonske številke izvzet iz preveritev,
o aktiviraj blokado na operaterjevi telefonski centrali,
o pošlji obvestilo ustreznim prejemnikom (glede na resnost zaznane zlorabe
oz. izvedeno akcijo).
Diagram aktivnosti predstavlja slika 6.2.
Izjeme in posebnosti
Konkretna telefonska centrala ne omogoča prekinitve že vzpostavljenih telefonskih klicev.
V primeru vdora napadalec vzpostavi veliko hkratnih dolgih klicev in vzpostavlja vedno
nove, kolikor jih pač centrala na strani naročnika in na strani operaterja dopušča. Ko se torej
prva skupina klicev zaključi in obračuna, so klici zaznani kot problematični, sproži se
blokada, vendar blokada prepreči le vzpostavljanje novih klicev. Klici, ki so bili sproženi
nekaj minut pred zaznano zlorabo, so še vedno aktivni in lahko ostanejo aktivni do
maksimalnega časa klica, kot je dovoljen s strani telefonske centrale na strani naročnika in
operaterja. Klici še vedno povzročajo neupravičene stroške.
Rešitev opisanega problema je, da se naročniku za nekaj časa prekinite celoten dostop do
interneta. To naredi operater. Posledica tega je, da se klici prekinejo, zaradi blokade pa ni
mogoče vzpostavljati novih, torej je želen učinek dosežen.
V komunikacijske protokole za telefonijo so vgrajene varovalke za kratke izpade interneta,
zato mora biti ta namerni izpad interneta dovolj dolg, to pomeni v minutah, da povezane
naprave dejansko prepoznajo klice kot prekinjene. Ta začasna blokada interneta se izvede
ročno s strani dežurne službe v dogovoru z naročnikom, odvisno tudi od naročnikove
dosegljivosti. Zaradi tega dodatnega časovnega zamika je v dnevnem kontrolnem poročilu
praviloma zaznana večja količina spornih minut klicev, kot je bila javljena ob zaznani zlorabi.
32
Slika 6.2: Diagram aktivnosti aplikacije
33
Kontrola na podlagi stroškov operaterja za naročniške tarife, ki plačujejo telefonijo po
pavšalnem znesku in ne po dejanski porabi, dežurne službe ne obvešča o dejanskih
stroških klicev, torej o višini omejitve, ki je bila dosežena. S tem ukrepom se prepreči
nepotrebno razkrivanje podatkov o nabavnih cenah klicev službam, ki teh podatkov ne
potrebujejo.
6.2 Testiranje
Pred predajo razvite aplikacije v produkcijsko okolje je smo izvedli testiranje v razvojnem
načinu. Ker dejanskih primerov zlorab ni dovolj za celostno testiranje, so bili začasno
znižani pogoji za zaznavo klicev kot posledic zlorabe. Spremenili smo pogoje v dveh
parametrih zaznavanja zlorab: časovno obdobje preverjanja in višina stroškov. Aplikacija
za potrebe testiranja ni pošiljala ukazov za blokado dejanski operaterjevi telefonski centrali,
ampak je ukaze, ki bi jih sicer poslala, le izpisala. Prav tako je bil uporabljen razvojni seznam
prejemnikov obvestil. S testiranjem je bila potrjena ustreznost delovanja glede na podane
zahteve. Tako je bila testirana zaznava stroškov naročnika. Testirana je bila tudi zaznava
stroškov operaterja v primeru naročnika, ki za telefonske klice plačuje pavšalno naročnino,
pri katerem posamezen klic ne predstavlja nobenega stroška za naročnik. Na testni
telefonski številki v produkcijskem okolju je bila testirana aktivacija blokade, prav tako pa
tudi sprememba blokade ob že obstoječi blokadi nekaterih vrst klicev.
Testiranje aplikacije in pozneje njena produkcijska uporaba sta pokazali, da so zaznane
dejanske zlorabe. Lažnih alarmov ni. Zlorabe so tudi ustrezno obravnavane.
6.3 Integracija v obstoječe okolje
Razvita aplikacija je samostojna aplikacija, ki se periodično izvaja na enem od strežnikov.
Kot vir podatkov uporablja obstoječo podatkovno bazo podatkov o klicih naročnikov, ki jo
polni obračunski sistem. Za obveščanje o blokadah in zlorabah so poslovni analitiki določili
dežurno službo, ki tudi sicer skrbi za stalen nadzor nad omrežjem. Služba za telefonijo je
pripravila ustrezne kombinacije profilov blokad na strani telefonske centrale. Službe, ki
komunicirajo z naročniki, so bile obveščene o aktivaciji aplikacije.
V začetnem obdobju petih tednov je bilo delovanje aplikacije posebej nadzorovano, saj bi
lahko ob neupravičeni blokadi razvita aplikacija naročnikom povzročila poslovno škodo.
34
Aplikacija je razvita v programskem jeziku PHP in deluje na FreeBSD strežniku.
Obračunane klice bere iz MySQL podatkovne baze, kamor se klici sproti kopirajo iz Oracle
podatkovne baze obračunskega sistema. Tudi lastna podatkovna baza aplikacije, kjer se
beležijo že obdelani dogodki, je na MySQL strežniku.
6.4 Predstavitev delovanja aplikacije
V tem poglavju so predstavljeni rezultati delovanja razvite aplikacije. Podana je analiza
odzivov aplikacije na dejanske primere zlorab, predstavljene v poglavju 4.4. Primeri zlorab
iz poglavja 4.4 so dejanski primeri, ki so bili s to aplikacijo zaznani tekom 12 mesecev
spremljanja in čez več verzij aplikacije.
Podatki o naročnikih, telefonskih številkah in prejemnikih obvestil so anonimizirani zaradi
varovanja osebnih podatkov.
6.4.1 Delovanje za primer 1
V primeru 1 (poglavje 4.4.1) je bil zlorabljen le en kanal, zato so stroški naraščali počasi.
Postavljena omejitev stroška za naročnika je bila dosežena šele 10 ur po začetku napada.
Aplikacija je takrat izvedla samodejno blokado in o tem obvestila dežurno službo (slika 6.3).
Zadnji klic se je začel ob 3:23 in je bil zaključen ob 3:53, do naslednjega zagona kontrole
ob 4:00 pa ni bil sprožen noben nov klic. Po kontroli je bila aktivirana blokada, tako da novi
klici niso bili več mogoči.
Nekateri podatki v zaslonski sliki obvestila po elektronski pošti (slika 6.3) so zaradi
varovanja osebnih podatkov zaposlenih pri operaterju in naročnikov zakriti.
35
Slika 6.3: Obvestilo o zlorabi za primer 1
6.4.2 Delovanje za primer 2
V primeru 2 (Primer 2) je bilo hkrati aktivnih več dolgih klicev. Prvi klic je bil ob 3:20, zloraba
pa je bila zaznana in nadaljnji klici blokirani šele ob 4:30 (slika 6.5), zaradi česar je bil
skupen znesek oškodovanja naročnika 376,38 €. V analizi tega primera (slika 6.4) je
upoštevano dejstvo, da je klic obračunan in torej lahko zaznan šele, ko je zaključen. V tej
analizi so klici urejeni po uri zaključka klica, dodan je izračunan skupni doseženi strošek
klicev. Ob tem je vidno, da je napad že ob 3:50 (30 minut po začetku napada) povzročil za
več kot 100 € stroškov. V času tega napada se je kontrola zlorab izvajala vsakih 30 minut,
torej bi lahko bila ob takratnih pravilih zloraba zaznana ob 4:00. Zaradi specifične napake
do zaznave takrat ni prišlo, in sicer zato, ker so bili klici v satelitska omrežja, kamor spada
tudi Emsat, v obračunskem sistemu napačno kategorizirani kot klici v fiksna omrežja, čeprav
gre dejansko za satelitske mobilne telefone. Ob upoštevanju, da se zlorabe lovijo po
kategoriji klica, so bili stroški teh klicev ločeni od stroškov ostalih klicev tega napada in tako
niso povečevali skupne vsote stroškov, ki se je upoštevala za pogoj zaznave zlorabe. To je
vidno tudi v poslanem obvestilu (slika 6.5).
Zaradi blokade po 4:30 ni bilo novih klicev. Nekateri klici so bili v tem času že aktivni, zadnji
od teh se je zaključil šele ob 4:45, ko je skupen strošek napada že bistveno presegal
postavljeno omejitev, pri kateri naj bi razvita aplikacija za zaznavo zlorab iz poglavja 6
zlorabo zaznala in blokirala nadaljnjo rast stroškov.
V obvestilu je viden znesek klicev, ki je relevanten v trenutku izdelave obvestila. Končni
znesek škode je lahko višji.
36
…
Slika 6.4: Analiza primera 2
Slika 6.5: Obvestilo o zlorabi za primer 2
6.4.3 Delovanje za primer 3
Ta primer je zelo podoben prejšnjemu primeru, saj gre za več dolgih hkratnih klicev.
Izpostavili pa smo drugačno težavo, zaradi česar je bila zloraba blokirana veliko prepozno
(slika 6.6).
37
V času napada je bila aplikacija za zaznavo vdorov nastavljena tako, da se 2 uri zgodaj
zjutraj ni izvajala. Razlog za to je bil v tem, da so se lahko v tem času nemoteno izvedle
nekatere dnevne sinhronizacije med sistemi, kot so npr. prenosi večjih količin podatkov med
podatkovnimi bazami, vključno s podatkovno bazo, ki jo bere ta aplikacija. Po tako zamujeni
priložnosti za pravočasno zaznavo zlorabe smo način delovanja sinhronizacij spremenili in
aplikaciji za zaznavo zlorab dodelili primerno prioriteto ter pomembnost v primerjavi z
drugimi aplikacijami.
Slika 6.6: Obvestilo o zlorabi za primer 3
6.4.4 Delovanje za primer 4
Aplikacija za zaznavo zlorab, katere razvoj je predstavljen na začetku poglavja, je zaznala
prekomerno porabo, ne pa zlorabe oziroma vdora. V takšnem primeru ne izvaja blokade,
ampak le obveščanje, pa še to z drugimi naslovniki.
Slika 6.7: Obvestilo o zlorabi za primer 4
38
6.5 Možne izboljšave
Vdori in prekomerna poraba se preverjajo enotno, in sicer za vse vrste telefonije. To bi bilo
mogoče ločiti na preverjanje vdorov za točno določene vrste telefonije (na primer storitev
PBX, storitev PRA, storitev 080 in podobno) in na prekomerno porabo (za vse vrste
telefonije). – S tem bi lahko dosegli hitrejšo izvedbo poizvedb za vdore, saj je PBX
priključkov v primerjavi z vsemi ostalimi malo, posledično tudi večjo frekvenco teh poizvedb
in tako še dodatno omejili škodo.
V sistemih bi lahko označili, kateri naročniki imajo klicni center (dohodni ali izhodni) ter to
upoštevali pri preveritvi klicev. Hkratni klici na/iz istih telefonskih številk pri ostalih naročnikih
namreč takoj pomenijo zlorabo.
Trenutna rešitev obdeluje le izhodne klice, vendar so zlorabe možne tudi pri dohodnih klicih
na brezplačne telefonske številke, kjer je ponudnik takšne številke operaterjev naročnik.
Zloraba v tem primeru sicer pomeni oškodovanje ponudnika brezplačne telefonske številke,
ne pa pridobitev finančne koristi za napadalca.
Preveriti bi bilo potrebno, ali obstaja poslovna potreba po dovoljevanju več ur trajajočih
klicev. Če ta potreba ne obstaja, bi lahko z zmanjšanjem največjega dovoljenega trajanja
klica dodatno omejili škodo.
Napad bi lahko zaznali prej in posledično škodo zmanjšali z upoštevanjem in kombiniranjem
več načinov zaznave hkrati. Za to bi potrebovali več poizvedb po podatkovni bazi, kar bi
lahko zmanjšalo možno frekvenco preverjanja zlorab.
Nadalje bi morali raziskati in pri dobavitelju operaterjeve telefonske centrale preveriti
zmožnosti za samodejno prekinitev klicev v teku.
Zaznava klicev trenutno loči klice v mednarodna fiksna omrežja od klicev v mednarodna
mobilna omrežja. Za potrebe zaznave zlorab bi bilo smiselno to dvoje združiti, da bi potem
kategorija klicev »klic v tujino« združevala skupni strošek, katerega višina se spremlja.
Klici naročnikov s klicnimi centri so zaradi enotnih omejitev napačno zaznani kot zloraba,
saj zaradi svoje poslovne dejavnosti, postavljene omejitve hitro presežejo. To se trenutno
39
rešuje tako, da so ti naročniki izvzeti iz preveritev. Primernejša rešitev bi bila, da omejitve
obstajajo, vendar bi bili kriteriji za te naročnike prilagojeni njim.
Preverjanje višine stroškov bi lahko upoštevalo, da so nekatere države pogostejše tarče
zlorab (poročila CFCA in lastne izkušnje). Pri teh destinacijah bi nato upoštevali nižje
dovoljene stroške.
40
7 SKLEP
V sklopu diplomskega dela smo predstavili funkcionalnosti zasebnih naročniških telefonskih
central (PBX). Na podlagi analize poročila svetovne organizacije, ki zlorabe v
telekomunikacijah spremlja (CFCA), smo se seznanili z vrstami in načini zlorab, ki se
najpogosteje pojavljajo.
Predstavili smo dejanske primere posledic zlorab, kot jih vidi operater, torej hitro, bistveno
povečanje stroškov klicev naročnika, ki je žrtev zlorabe z vdorom v zasebno naročniško
telefonsko centralo.
Predstavili smo priporočila za zaznavanje zlorab, ki jih je pripravila slovenska agencija za
nadzor telekomunikacij (AKOS). Seznanili smo se tudi z metodami delovanja nekaterih
komercialnih rešitev oz. aplikacij za zaznavo zlorab. Predstavili smo teoretične osnove za
zaznavanje sumljivih vzorcev opravljanja telefonskih klicev.
Na podlagi zbranih smernic o zaznavanju zlorab smo pripravili načrt lastne aplikacije za
zaznavo zlorab. Čeprav je bilo v sklopu raziskave identificiranih precej različnih metod za
zaznavo zlorab, smo se pri načrtovanju lastne aplikacije odločili za preprosto, a dovolj
učinkovito metodo, in sicer zaznavo na podlagi hitrega in izrednega povečanja stroškov za
telefonske klice. Prednost tega pristopa je nezahtevnost izvedbe z minimalno zunanjimi
odvisnostmi. Slabost tega pristopa pa je, da so povzročeni stroški telefonskih klicev pred
zaznavo že relativno visoki. Z drugačnimi metodami bi lahko zlorabo zaznali prej, vendar bi
se ob tem povečala možnost lažnih alarmov. Za zmanjšanje možnosti za lažne alarme bi
morali kombinirati več metod zaznave oz. kriterijev, kar bi aplikaciji povečalo kompleksnost.
Za zagotavljanje ustrezno hitrega odziva na zaznano zlorabo smo aplikaciji dodali
sposobnost samodejne prekinitve napada z aktivacijo blokade klicanja. V praksi smo potem
spoznali, da tak ukrep ni dovolj učinkovit, saj napadalci pogosto sprožijo več hkratnih dlje
časa trajajočih klicev. Blokada klicanja namreč ne vpliva na trenutno aktivne klice. Ugotovili
smo, da so tako stroški kljub aktivirani blokadi še naprej rastli in za večkratnik presegli
postavljeno mejo, pri kateri smo želeli zlorabo ustaviti.
Konkretna telefonska centrala, ki je v uporabi pri operaterju, ne omogoča prekinitve
posameznih aktivnih klicev s strani operaterja, zato se je za reševanje te težave vpeljal
dopolnilen ročni poseg z nadzorovano začasno prekinitvijo naročnikovega dostopa do
interneta.
41
Predstavljeni so rezultati delovanja aplikacije, vezani na dejanske primere zlorab pri
operaterju. Iz primerov je vidno, da takšna zaščita z zaznavo in avtomatsko blokado deluje,
čeprav zaradi prej omenjenih omejitev ne vedno v želenem obsegu (previsoki stroški).
Iz primerov je vidno, da razvita aplikacija kot (potencialne) zlorabe zazna tudi dogodke, ki
niso posledica zlorabe zasebne naročniške telefonske centrale, temveč so le posledica
namernih klicev naročnikov na zelo drage destinacije, na primer na premijske telefonske
številke. S takšnim delovanjem je aplikacija primerna tudi za odkrivanja prekomerne
porabe, čeprav to ni njen primarni namen.
Ugotovili smo, da bi bilo v aplikaciji smiselno trenutno učinkovitost izboljšati. Kriteriji za
zaznavo bi lahko namerno ločevali med zaznavo zlorabe (vdora) in zaznavo prekomerne
porabe. Tako bi bile poizvedbe učinkovitejše in bi jih lahko izvajali v krajših časovnih
intervalih.
Dodatna, tudi s strani naročnikov predlagana, izboljšava aplikacije, bi bila vezana na
različne višine dovoljenih stroškov klicev glede na posameznega naročnika. To še ne
pomeni zahtevnega avtomatskega profiliranja naročnikove porabe, kljub temu pa omogoča
naročniku več nadzora nad potencialnimi stroški v primeru zlorab.
Operater bi moral delati tudi na preventivnih ukrepih. Vsak nov naročnik s priklopom
zasebne naročniške telefonske centrale (PBX) bi lahko od svetovalca pri operaterju dobil
priporočila za primerno zaščito centrale, saj je zloraba skoraj vedno posledica nezadostne
zaščite.
42
VIRI
[1] 3CX, „IP PBX: How an IP PBX / VoIP Phone System Works,“ [Elektronski]. Dostopno na:
http://www.3cx.com/pbx/ip-pbx-overview/. [9. 8. 2016].
[2] Narvis d.o.o., „Telefonska centrala 3CX,“ [Elektronski]. Dostopno na:
http://www.narvis.si/Telefonska-centrala-3CX.html. [28. 6. 2016].
[3] Microsoft, „Varna poenotena komunikacija - Skype za podjetja Server,“ [Elektronski].
Dostopno na: https://products.office.com/sl-si/skype-for-business/server-hybrid. [28. 6. 2016].
[4] Hipofiza d.o.o., „Avaya IP Office,“ [Elektronski]. Dostopno na:
http://www.hipofiza.si/index.php/govorni-strezniki/ip-office. [28. 6. 2016].
[5] Cisco, „Cisco Unified Communications Manager (CallManager),“ [Elektronski]. Dostopno na:
http://www.cisco.com/c/en/us/products/unified-communications/unified-communications-
manager-callmanager/index.html. [28. 6. 2016].
[6] Zaslon Telecom d.o.o., „Asterisk,“ [Elektronski]. Dostopno na: http://www.zaslon-
telecom.si/product.php?id=21. [28. 6. 2016].
[7] Digium, „What is Asterisk? Getting started,“ [Elektronski]. Dostopno na:
http://www.asterisk.org/get-started. [28. 6. 2016].
[8] Sangoma Technologies, „FreePBX,“ [Elektronski]. Dostopno na: https://www.freepbx.org/. [7.
8. 2016].
[9] MiRTA PBX, „MiRTA PBX,“ [Elektronski]. Dostopno na: http://www.mirtapbx.com/. [7. 8.
2016].
[10] Sangoma Technologies, „Sangoma PBXact UC,“ [Elektronski]. Dostopno na:
http://www.sangoma.com/products/pbxact/. [7. 8. 2016].
[11] PaloSanto Solutions, „Elastix Appliances,“ [Elektronski]. Dostopno na:
http://www.elastix.com/en/pages/elastix-appliances/. [7. 8. 2016].
[12] CFCA - Communications Fraud Control Association, „CFCA - About us,“ [Elektronski].
Dostopno na: http://www.cfca.org/about.php. [28. 6. 2016].
[13] CFCA - Communications Fraud Control Association, „CFCA 2015 Global Fraud Loss Survey,“
28. 9. 2015. [Elektronski]. Dostopno na:
http://www.cfca.org/pdf/survey/2015_CFCA_Global_Fraud_Loss_Survey_Press_Release.pdf.
[28. 6. 2016].
[14] L. B. Childs, „International Revenue Share Fraud,“ [Elektronski]. Dostopno na:
https://www.fraudtechwire.com/international-revenue-share-fraud/. [29. 6. 2016].
43
[15] iBasis, „Telecom fraud is big business. Are you protected?,“ 11. 3. 2015. [Elektronski].
Dostopno na: http://ibasis.com/blog/telecom-fraud-is-big-business-do-you-protect-yours/. [28.
6. 2016].
[16] Neustar, Inc., „Whitepaper: What the Fraud? A Look at Telecommunications Fraud and Its
Impacts,“ 18. 7. 2014. [Elektronski]. Dostopno na:
https://www.neustar.biz/resources/whitepapers/telecom-fraud-impacts-whitepaper. [28. 6.
2016].
[17] I. Howells, V. Scharf-Katz in P. Stapleton, „Fighting Future Fraud,“ 16. 5. 2016. [Elektronski].
Dostopno na: https://www.argyledata.com/fighting-future-fraud-ftw. [28. 6. 2016].
[18] D. Endler and M. Collier, Hacking exposed VoIP: voice over IP security secrets & solutions,
New York: McGraw-Hill, 2007.
[19] U. Kunc, „Zlorabe in vdori v zasebne naročniške centrale (PBX) ter potrebni ukrepi,“ 6 junij
2011. [Elektronski]. Dostopno na: http://www.akos-rs.si/zlorabe-in-vdori-v-zasebne-
narocniske-centrale-(pbx)-ter-potrebni-ukrepi. [28. 6. 2016].
[20] M. Collier and D. Endler, Hacking exposed: unified communications & VoIP security secrets &
solutions, New York: McGraw-Hill Education, 2014.
[21] AKOS, „Priporočilo operaterjem o preprečevanju izredno visokih zneskov na uporabniških
računih,“ 8. 6. 2009. [Elektronski]. Dostopno na: http://www.akos-rs.si/priporocilo-
operaterjem-o-preprecevanju-izredno-visokih-zneskov-na-uporabniskih-racunih. [28. 6. 2016].
[22] Equinox Information Systems, „Fraud Management,“ [Elektronski]. Dostopno na:
http://www.equinoxis.com/fraud-management.php. [28. 6. 2016].
[23] TransNexus, „Telecom Fraud Detection,“ [Elektronski]. Dostopno na:
http://transnexus.com/resources/telecom-industry-topics/fraud-detection/. [28. 6. 2016].
[24] Argyle Data, Inc., „Fraud Threat Analytics,“ [Elektronski]. Dostopno na:
https://www.argyledata.com/fraud-threat-analytics/. [28. 6. 2016].
[25] Xintec Ltd., „FMSevolution: Scalable, Modular, Flexible Fraud Management System,“
[Elektronski]. Dostopno na: http://www.xintec.com/fraud-management/fmsevolution/. [28. 6.
2016].
[26] T. Žagar, Doprinos vizualizacije pri boju z goljufijami v telefonskih sistemih - magistrsko delo,
Ljubljana: Fakulteta za računalništvo in informatiko, Univerza v Ljubljani, 2008.