Home Explore Help
Register Sign In
RISCI_ATOM
/
THC-Archive
mirror of https://github.com/vanhauser-thc/THC-Archive.git
1
0
Fork 0
Files Issues 0 Wiki
Branch: master
Branches Tags
THC-Archive
/
Papers
/
c7-ueber.txt

c7-ueber.txt 12 KB
Permalink History Raw

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267 
  1. 

  2. 

  3.                             CCiTT #7 Ueberwachung
    4. 

  4. 

  5.                                 by van Hauser
    6. 

  6. 

  7. 

  8. 

  9.  Wer sich wundert : Ja, dieser Text ist schon im THC-MAG #1 erschienen.
    10. 

  10.  Er wurde dann stark erweitert und erschien dann im Time-For-a-Change
    11. 

  11.  Magazin #4. Aus aktuellem Anlass, darunter, dass dieses Magazin #4 in
    12. 

  12.  Deutsch erscheint, wurde der Artikel uebersetzt und noch etwas erweitert,
    13. 

  13.  dafuer alle nicht-deutsch-spezifischen Informationen entfernt.
    14. 

  14. 

  15. 

  16. 

  17.                                Was ist CCiTT #7
    18. 

  18.                               ------------------
    19. 

  19. 

  20.  CCiTT #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling
    21. 

  21.  System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer
    22. 

  22.  Telekommunikation eingesetzt wird - wie hier in Deutschland.
    23. 

  23.  Es benutzt 2 Kanaele fuer die Kommunikation : Der 1. ist der Sprachkanal, also
    24. 

  24.  das, was der Kunde spricht (oder das Fax das er sendet). Der 2. Kanal ist der
    25. 

  25.  Datenkanal. Dieser ist vollkommen separiert vom Sprachkanal und enthaelt alle
    26. 

  26.  Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen,
    27. 

  27.  Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc.
    28. 

  28.  Dieser Datenkanal wurde seit dem CCiTT #6 separiert, da er bis #5 zum
    29. 

  29.  sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter
    30. 

  30.  anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige
    31. 

  31.  etc). Es wird mittlerweile in allen West-Europaeischen Laendern und Nord-
    32. 

  32.  Amerika benutzt, und mehrere Laender steigen auch um, wie z.B. Israel letztes
    33. 

  33.  Jahr.
    34. 

  34. 

  35. 

  36. 

  37. 

  38.                 Das deutsche Ueberwachungssystem fuer CCiTT #7
    39. 

  39.                ------------------------------------------------
    40. 

  40. 

  41.  Seit Anfang '96 benutzt die Deutsche Telekom AG das CCiTT #7 Ueberwachungs-
    42. 

  42.  system von Hewlett Packard, genannt AcceSS 7.
    43. 

  43. 

  44. 

  45.  þ Geschichte :
    46. 

  46. 

  47.    Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4
    48. 

  48.    weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber
    49. 

  49.    keines ist so erfolgreich wie das AcceSS 7.
    50. 

  50.    Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber
    51. 

  51.    die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen
    52. 

  52.    Systems und erweiterten es.
    53. 

  53. 

  54.    HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom
    55. 

  55.    (damals noch nicht AG :) bekannt gab, als erste europaeischer
    56. 

  56.    Telekommunikationsbetreiber dieses System zu installieren.
    57. 

  57.    Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96),
    58. 

  58.    Israel (Bezeq Mai '96), Bell USA (Juni '96) das AcceSS 7.
    59. 

  59. 

  60.    Im Mai '95  10 der 30 groessten Telekommunikationsanbieter der Welt, heute
    61. 

  61.    (Anfang '97) ueber 20 dieser 30 haben AcceSS 7 installiert.
    62. 

  62.    Auch British Telecom, TeleWest, GTE und AT&T Wireless benutzen teile des
    63. 

  63.    AcceSS 7 Systems.
    64. 

  64.    Der Geschaeftsleiter von HP sagte dazu in einem Interview :
    65. 

  65.      "Wir schaetzen, dass ueber 90% der CCiTT #7 Verbindungen die
    66. 

  66.       ueberwacht werden, durch unser System ueberwacht werden."
    67. 

  67. 

  68.    Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das
    69. 

  69.    "Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken..
    70. 

  70.    Es wurde erstamls bei den Olympischen Spielen in Atlanta von BellSouth
    71. 

  71.    getestet - mit hervorragendem Erfolg.
    72. 

  72.    HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr
    73. 

  73.    als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln
    74. 

  74.    um Telekommunikationsbetrug zu bekaempfen.
    75. 

  75. 

  76.    Der Erfolg von AcceSS 7 liegt in dem flexiblen und ausbaufaehigem Design,
    77. 

  77.    das sich nicht nur leicht in jedes bestehende CCiTT #7 System integrieren
    78. 

  78.    laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst
    79. 

  79.    werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate
    80. 

  80.    nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.
    81. 

  81. 

  82. 

  83.  þ Die Hardware :
    84. 

  84. 

  85.    HP's Grundpaket sind 4  8-weg symmetrische multiprozessing (SMP)
    86. 

  86.    HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link.
    87. 

  87.    Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren.
    88. 

  88.    Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser
    89. 

  89.    inzwischen ausgeliefert wurde ist mir nicht bekannt.
    90. 

  90. 

  91. 

  92.  þ Die Software :
    93. 

  93. 

  94.    Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das
    95. 

  95.    HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T.
    96. 

  96.    Die Clients laufen auch auf HP-UX unter HPs OpenView X-Window System.
    97. 

  97.    Alles ist in C programmiert, die libraries, mit denen man eigene
    98. 

  98.    Software programmieren kann fuer AcceSS 7 ist mit installiert.
    99. 

  99.    Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um
    100. 

  100.    speziellen Aufgaben erfuellen zu koennen.
    101. 

  101. 

  102.    Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte
    103. 

  103.    "call detail record" (CDR) fuer jeden Anruf erstellt.
    104. 

  104.    Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert
    105. 

  105.    und in jeder gewuenschten Art & Weise verwendet werden.
    106. 

  106.    HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle,
    107. 

  107.    Verkehrskontrolle und Betrugsidentifikation.
    108. 

  108. 

  109.    Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache
    110. 

  110.    von CCiTT #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs-
    111. 

  111.    analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den
    112. 

  112.    Daten so ziemlich alles machen konnte.
    113. 

  113.    In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von
    114. 

  114.    Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und
    115. 

  115.    Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt.
    116. 

  116.    Deshalb hier ein paar Informationen, wie das System arbeitet :
    117. 

  117. 

  118. 

  119.  þ Das Betrugs-Identifikations-Toolkit :
    120. 

  120. 

  121.    Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern
    122. 

  122.    matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein
    123. 

  123.    Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine
    124. 

  124.    Situation diesem Szenario entspricht ("the patterns match") dann wird
    125. 

  125.    Alarm ausgeloest.
    126. 

  126. 

  127.    Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt
    128. 

  128.    werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen
    129. 

  129.    ins Ausland gehen als in einer Wohngegend.
    130. 

  130. 

  131.    D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer
    132. 

  132.    Typ von Betrug gefunden wurde.
    133. 

  133.    Alles was in ein Betrugsszenario passt und was weit von dem normalen
    134. 

  134.    Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.
    135. 

  135. 

  136.    Betrugs-Szenarien sind :
    137. 

  137.       Anrufe sehr langer Dauer
    138. 

  138.       Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend
    139. 

  139.       Wiederholte Anrufe von einer Gegend zu unterschiedlichen Nummern
    140. 

  140.       Lange/viele Anrufe von einer Nummer die nicht zahlt
    141. 

  141.       Das Anwaehlen bestimmter definierter Rufnummern
    142. 

  142.       Das Anwaehlen vieler gebuehrenfreier Rufnummern
    143. 

  143. 

  144.    Sowie spezialisierte Szenarien :
    145. 

  145.       Anrufe zu Nummern die besonders oft missbraucht werden
    146. 

  146.       Verdaechtige Anwendung von "Anruf-Weiterschaltung"
    147. 

  147.       viele Anrufe insbes. Auslands-, von einem Anschluss
    148. 

  148.       viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen
    149. 

  149. 

  150.    Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem
    151. 

  151.    Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem
    152. 

  152.    Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet.
    153. 

  153.    Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung,
    154. 

  154.    Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.
    155. 

  155. 

  156.    Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von
    157. 

  157.    bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario
    158. 

  158.    geraten.
    159. 

  159. 

  160. 

  161.  XXXXXXXXXXXXXXXX
    162. 

  162.  XXXXXXXXXXXXXXXX \
    163. 

  163.  XXXXXXXXXXXXXXXX  \
    164. 

  164.  XXXXXXXXXXXXXXXX   \  Out-of-   -->  XXXXXXXX \   Weitergehende    -->   XX
    165. 

  165.  XXXXXXXXXXXXXXXX    - Pattern/  -->  XXXXXXXX  -  Out-of-Pattern/  -->   XX
    166. 

  166.  XXXXXXXXXXXXXXXX   /  Scenario       XXXXXXXX /   Szenario
    167. 

  167.  XXXXXXXXXXXXXXXX  /                               oder manuelle
    168. 

  168.  XXXXXXXXXXXXXXXX /                                Pruefung (Operator)
    169. 

  169.  XXXXXXXXXXXXXXXX
    170. 

  170. 

  171.     Eingehende       Ueberwachungs-   Alarm des     Weitergehende       BETRUGS-
    172. 

  172.    Anrufe in das       system-        Ueberwach-   Out-of-Pattern/      FAELLE
    173. 

  173.  Ueberwachungssystem   analyse        unssystems   Scenario oder
    174. 

  174.                                                   manuelle Uberpruefung
    175. 

  175. 

  176. 

  177. 

  178. 

  179.   þ Wo sind die deutschen HP AcceSS 7 Systeme
    180. 

  180. 

  181.   Deutsche Telekom AG :
    182. 

  182.              Frankfurt, Duesseldorf, Stuttgart und Nuernberg
    183. 

  183.              Control Centers in Frankfurt und Bamberg.
    184. 

  184. 

  185.   Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom
    186. 

  186.   angegliedert (HITNET), die nur ueber eine Firewall an dem Internet
    187. 

  187.   angeschlossen sind.
    188. 

  188. 

  189. 

  190. 

  191. 

  192. 

  193.                               LETZTE WORTE
    194. 

  194.                              --------------
    195. 

  195. 

  196.  Ein kleiner Teil der Informationen in diesem Artikel war schon im
    197. 

  197.  THC Magazine #1 (Februar '96) zu lesen. Ich aktualisierte danach die
    198. 

  198.  Informationen, fuegte vieles ein und der Artikel erreichte die doppelte
    199. 

  199.  Groesse :) ... Er erschien dann im Time For a Change #4, dem amerikanischen
    200. 

  200.  Magazin von einem Kumpel, Ghost in the Machine. Fuer das 4. THC Magazine
    201. 

  201.  habe ich ihn uebersetzt, leicht aktualisiert und gekuerzt was nicht fuer
    202. 

  202.  Deutsche interessant ist, damit er mehr Leute ihn lesen und insbesondere
    203. 

  203.  Phreaker auf die Gefahr aufmerksam werden und sich ueberlegen wie sie das
    204. 

  204.  System ueberlisten koennen.
    205. 

  205. 

  206.  Das System *ist* aktiv, wie z.B. gerade ein Fall von vor 2 Wochen zeigt :
    207. 

  207.  Ein Freund hatte 0130-Scanning betrieben, so ca. 6 Stunden ueber Nacht laufen
    208. 

  208.  lassen, und als er ihn am morgen beendete bekam er nach kurzer Zeit einen
    209. 

  209.  Anruf, dass auffaellig oft von seiner Leitung aus gewaehlt wurde, der
    210. 

  210.  Anschluss sofort gesperrt und erst wieder freigeschaltet wird, nachdem er
    211. 

  211.  von einem Telekomtechniker vor Ort inspiziert wird.
    212. 

  212. 

  213.  Wer also in einer laendlichen Region wohnt hat hiermit echt Probleme, wer
    214. 

  214.  allerdings direkt in einer Grossstadt wohnt, idealerweise vielleicht noch
    215. 

  215.  angeschlossen an einer VST an dem auch viele Betriebe angeschlossen sind,
    216. 

  216.  hat da mehr Glueck.
    217. 

  217. 

  218.  Wer sich den Artikel aufmerksam durchgelesen hat wird merken, dass zugleich
    219. 

  219.  viel wie wenig drinnen steht. Es ist alles, was ich aus sensitiven Daten
    220. 

  220.  wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen-
    221. 

  221.  gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System.
    222. 

  222.  Da ich nicht weiss ob folgende 2 Dinge mit dem AcceSS 7 zu tun haben, habe
    223. 

  223.  ich sie hier reingeschrieben :
    224. 

  224.  Es ist technisch ohne Probleme moeglich herauszufinden, auch mit AcceSS 7,
    225. 

  225.  ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.)
    226. 

  226.  oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich
    227. 

  227.  nicht, wird aber schon seit laengerem bei guten PBXen gemacht.
    228. 

  228.  Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt-
    229. 

  229.  lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem
    230. 

  230.  Zusammenhang mit AcceSS 7 steht oder was genau sie macht ist mir leider
    231. 

  231.  (noch) nicht bekannt.
    232. 

  232. 

  233.  Wer noch irgendwelche Infos hat, einfach eine email senden an vh@campus.de
    234. 

  234.  und mit dem PGP key unten verschluesseln. Wer Informationen dieser Art
    235. 

  235.  zurueckhaelt schadet anderen nur, hat selbst aber keinerlei Vorteile, da
    236. 

  236.  es ja nix ist, was stirbt, wie eine C5 Nummer oder eine PBX ...
    237. 

  237. 

  238. 

  239.  Passt auf euch auf ...
    240. 

  240. 

  241.                      van Hauser / THC (vh@campus.de)
    242. 

  242. 

  243. 

  244. Type Bits/KeyID    Date       User ID
    245. 

  245. pub  1024/3B188C7D 1995/10/10 van Hauser/THC of LORE BBS
    246. 

  246. 

  247. -----BEGIN PGP PUBLIC KEY BLOCK-----
    248. 

  248. Version: 2.6.3i
    249. 

  249. 

  250. mQCNAzB6PNQAAAEEALx5p2jI/2rNF9tYandxctI6jP+ZJUcGPTs7QTFtF2c+zK9H
    251. 

  251. ElFfvsC0QkaaUJjyTq7TyII18Na1IuGj2duIHTtG1DTDOnbnZzIRsXndfjCIz5p+
    252. 

  252. Dt6UYhotbJhCQKkxuIT5F8EZpLTAL88WqaMZJ155uvSTb9uk58pv3AI7GIx9AAUT
    253. 

  253. tBp2YW4gSGF1c2VyL1RIQyBvZiBMT1JFIEJCU4kAlQMFEDJ2gzNAf3b9d/IP1QEB
    254. 

  254. 5DwD+gJRh6m4h0fVgpQJkOiuQD68lV5w8C0F5R3jk/o6Pollaf7gtVhG8BGGo5/7
    255. 

  255. /yiH40gujc82rJdmihwcKuZQtwt8X28VN8uy56SCpXD5wjjOZpq0t0qSXmhgunZ0
    256. 

  256. m7xv7R4mWRzFclsgQCMwXNgp4sXgw64bVm8FhEdkrVSO8iTyiQCVAwUQMkMhCspv
    257. 

  257. 3AI7GIx9AQFstAP+Jrg7V06FGV/sTzegFNoaSyOItkvXjctzFsXuBfta2M7EzPX3
    258. 

  258. UR3kM4/W4xE70H4XmMOJ9RmTzs+MuhSq8BtGQtYaJqGjxe/ldbvGOXRxR1rBJAKS
    259. 

  259. yDQYu0VJ/Ae8yuJcMS312jqwg8OLgYnQaqEoaRM4HEiB+hgDRqnFKpDxkhSJAJUD
    260. 

  260. BRAyQx8E5y7IvlL6xvEBAQ+bA/9baK7f3M9F5n4aASy04WHOreUNpGQ8DXgtMVq7
    261. 

  261. KVdXMIWjURsboR+wt5eJTPeL00lHS5eqmZlNzGV9hWtzAr20qrKLmvE20Ke4VPB0
    262. 

  262. a/tWXNUdvLnk4ENbTBFfMMdnlDo3hSThSMQ7yZ9UEYgighKu6l2fG5UG6D+kXFLy
    263. 

  263. iIvvlA==
    264. 

  264. =nX2w
    265. 

  265. -----END PGP PUBLIC KEY BLOCK-----
    266. 

  266. 

  267. 
    268.