Менеджеры не верят, что они будут атакованы, и не принимают адекватных мер защиты. И неважно, сколько раз им говорили об этом, они будут продолжать пребывать в своем заблуждении.
Некто проникает в телефонную систему крупного аэропорта и производит звонки на несколько тысяч долларов всего за два дня. Некто прослушивает сообщения голосовой почты сотрудников и затем использует полученную информацию в целях шантажа. Некто звонит на сервисный порт УАТС и перепрограммирует наугад функции маршрутизации вызовов. Некто регулярно звонит родственникам в Перу за счет компании.
Это всего лишь некоторые реальные способы злоупотребления телефонной системой — и все они обходятся компаниям в миллионы (и даже миллиарды) долларов в год в виде телефонных счетов, судебных издержек, ремонта, а также в результате утери промышленных секретов.
Телефонные системы и голосовая почта — не единственные уязвимые компоненты инфраструктуры. В контроле нуждаются и удаленный доступ в локальную сеть и к голосовой системе, и платформы интерактивного голосового ответа, и использование телефонных карт и сотовых телефонов. Все названные системы представляют собой объекты повышенного интереса со стороны хакеров (хотя по необъяснимым причинам они предпочитают называться кракерами), телефонных жуликов, недовольных сотрудников и не слишком умных шутников.
Возможно, вы думаете, что коды доступа надежно защищают вашу систему? Это, к сожалению, часто оказывается неверно. Вероятность правильно угадать код доступа из двух цифр (при условии, что первая цифра не может быть 0) составляет 1 из 90, из четырех цифр — 1 из 9000, а из шести цифр — 1 из 900 000. Это звучит вполне обнадеживающе. Однако все не так просто. Пароли по умолчанию (например, SUPERVISOR) часто оставляют неизменными, что значительно облегчает задачу хакера. Даже изменив исходный код, пользователи (сотрудники, технический персонал и т. д.) часто используют шаблонные пароли для облегчения их запоминания — повторяющиеся числа, геометрические фигуры на телефонной клавиатуре, разные словечки. Вероятных комбинаций относительно немного, так что автоматическому программному обеспечению взлома не составляет труда их перебрать и отгадать нужное.
Другой распространенный способ проникновения в телефонные системы состоит в следующем. Вследствие преобладания автоматизированного программного обеспечения для коммутируемого доступа/регистрации люди часто забывают пароли и коды доступа, так как им не приходится каждый раз вводить их при регистрации. Как результат, сетевые администраторы, провайдеры Internet и другие провайдеры услуг привыкают сообщать подобную информацию по телефону отчаявшимся пользователям при условии, что те предоставляют мало-мальски достаточные сведения о себе. Подобная практика весьма рискованна. Однако, даже если попытка представиться кем-то из сотрудников компании не срабатывает, то у хакера всегда остаются в распоряжении такие средства, как разбор выброшенных бумаг ("копание в мусорных баках"), фабрикация служебных разговоров или применение других уловок для получения доступа обманным путем.
ЗНАЙ ВРАГА В ЛИЦО
Однако война с хакерами еще далеко не проиграна. Вы можете немало сделать для защиты своей системы, но прежде всего вы должны знать, каковы уязвимые места и как выявить потенциальные проблемы до того, как они выйдут из-под контроля. Мы спросили у специалистов из BellSouth, Nortel, Lucent и Network Security Associates, какие признаки могут свидетельствовать о том, что ваша система оказалась атакована. Вот, что они назвали:
? звоня вечером, сотрудники не могут получить доступ к голосовой почте, потому что порты оказываются заняты;
? многие линии оказываются заняты все время, днем и ночью, тогда как типичный трафик не дает основания для подобного положения вещей;
? отчеты CDR сообщают о множестве звонков в то время, когда никто обычно не звонит, например в праздники и выходные дни;
? журналы коммутатора свидетельствуют о многочисленных неудачных попытках входа в систему;
? необъяснимые всплески использования системы;
? длительное время удержания вызовов;
? звонки по неизвестным междугородним кодам или сообщение оператора связи о появлении телефонного трафика, скажем, с Мадагаскаром;
? внезапное и необъяснимое изменение кодов голосовой почты;
? учет вызовов сообщает о переводе входящих вызовов на определенный внутренний номер, с которого они перенаправляются на неизвестный внешний номер.
ЗАЩИТА ПРОТИВ ЗЛОУПОТРЕБЛЕНИЙ
Подготовку необходимо начать с разговора с поставщиком о встроенных функциях защиты приобретенного у него коммутатора.
Прежде всего вы должны защитить прямой доступ в систему извне (Direct Inward System Access, DISA). Эта функция имеется у многих коммутаторов, с ее помощью сотрудник компании может позвонить на офисный коммутатор извне (из дома, с платного телефона и т. д.) для звонка через него на любой другой номер (в большинстве случаев это обходится дешевле, чем использование телефонных карт, LD на домашних линиях и т. п.).
К сожалению, эта возможность не только полезна для сотрудников, но и пользуется повышенным вниманием со стороны хакеров. Если вы не собираетесь использовать DISA, то прямой доступ следует блокировать. В противном же случае вам необходимо предпринять меры предосторожности. Коды следует давать только тем, кто в них действительно нуждается. Записи о вызовах требуется регулярно просматривать в целях контроля за правильностью использования DISA. Коды доступа должны составляться случайным образом, а не представлять собой даты рождения, номера домашних телефонов, номера паспортов и т. п. Коды нужно менять по возможности чаще. Кроме того, вы можете установить дополнительный уровень защиты посредством введения идентификационных кодов в дополнение к кодам доступа.
Вы можете предпринять и другие меры предосторожности для уменьшения риска взлома системы и предотвращения мошеннических междугородних звонков. Мари Лорд из Nortel советует регулярно просматривать записи CDR и отчеты о трафике не только в целях обнаружения проблем с DISA, но и на предмет выявления любых подозрительных действий. "Менеджеров следует обучить тому, как выявлять проблемы с помощью отчетов CDR".
Для предотвращения вероятного мошенничества возможности осуществления звонков с конкретных телефонов следует ограничить, если их владельцам не требуется, например, звонить по международным номерам. "Люди думают прежде всего об интересах своих сотрудников, а не о защите, поэтому их надо заставлять заниматься защитой", — добавляет она.
Лорд предостерегает от "артистов" в области социального инжиниринга — они весьма искусны в заговаривании зубов секретарям/операторам по поводу перевода их на внешние линии (или на оператора дальней связи). Некоторые из них представляются техниками или прибегают к другим уловкам для получения кодов доступа и другой информации о системе.
Чтобы не попасться на их удочку, вы должны уведомить своих сотрудников о существовании данной проблемы и о возможности подозрительных звонков. Если вы не уверены в личности техника, то спросите его имя и телефонный номер и перезвоните ему сами. Список уполномоченных техников следует всегда держать под рукой.
"Если даже атака не удалась, хакеры снова повторяют попытку полгода или год спустя, — говорит Лорд. — Некоторые менеджеры расслабляются и могут блокировать функции защиты, которые они ранее установили". Другими словами, будьте начеку всегда!
Эд Келли, специалист по защите в Lucent Technologies, советует обратить особое внимание на защиту сервисных портов. Эти порты предназначены для того, чтобы техники могли позвонить в систему для проведения настройки удаленным образом. Они пользуются не меньшим вниманием хакеров, чем DISA.
Для защиты таких портов вам необходимо хорошее устройство удаленного доступа в сеть. Обычно они помещаются в небольшом корпусе и подключаются к CDR или сервисным портам (их выпускают MicroFrame, LeeMah, DataCom, Omnitronix, Telco Research, Western Telematic и др.). Некоторые из этих устройств предназначены для таких вещей, как сбор данных CDR/SMDR, но они имеют также несколько уровней и методов мониторинга защиты и управления коммутатором. Они посылают предупреждения (через пейджер, по электронной почте, на принтер и т. п.), когда происходит нечто выходящее за рамки "нормальных" условий. Это может быть, например, звонок по конкретному междугородному коду или слишком большое число неудачных попыток входа.
Некоторые программы учета звонков имеют функции защиты либо в базовом пакете, либо в дополнительном модуле. Они позволяют блокировать звонки на определенные номера или по указанным междугородним кодам как в масштабе всей компании, так и для некоторых номеров. Программы можно также настроить на подачу предупреждений, когда какой-нибудь звонок длится слишком долго. Или если вы не любите всякие выкрутасы, то можете воспользоваться специальным, подключаемым прямо к стенной розетке оборудованием для предупреждения звонков на определенные номера для телефонов с поддержкой одной или двух линий.
"Пользователи учатся защищать себя с помощью настройки своих УАТС, — говорит Джим Хоукинс, — но защиту надо проверять и перепроверять. Администратору следует установить систему для выявления типичной картины звонков в вашей компании, причем такая система не должна быть препрограммированной, так как в этом случае она может не соответствовать вашим потребностям и картине звонков".
При принятии мер для предотвращения мошенничества с междугородними звонками он рекомендует ввести три уровня контроля. Во-первых, учет всего, что не должно происходить ни при каких обстоятельствах, например при звонке по коду "809" предупреждение отправляется на пейджер супервизора. Во-вторых, мониторинг и предотвращение (с помощью оператора) массовых обращений к системе и внезапного увеличения объема трафика. В-третьих, использование средств контроля за возможным мошенничеством с междугородными звонками в качестве монитора трафика для составления статистических отчетов на плановой основе. Эти отчеты вкупе с учетом звонков могут выявить много интересного — кто и кому производит несанкционированные звонки, какие станции и линии чаще всего используются, и в какое время и т. п., — а также воспрепятствовать мошенничеству и оптимизировать использование телефонов и линий. Сотрудников следует предупредить о введении данной системы. Конечно, им не надо будет отчитываться по каждому звонку, но они должны знать, что наниматель в курсе, куда они звонят, так что чересчур частые звонки матушке в Тмутаракань могут привести к получению ими предупреждения или счета. Счастливой охоты!
Джон Яиншигг — главный редактор Teleconnect Magazine. С ним можно связаться по адресу: johnj@teleconnect.com.Советы по покупке системы для защиты от мошенничества
При покупке системы для защиты от мошенничества с междугородними звонками мы рекомендуем обращать внимание на следующие моменты.
1. Система должна осуществлять мониторинг вызовов непрерывно, двадцать четыре часа в сутки семь дней в неделю.
2. Система должна быть настраиваема в соответствии с картиной звонков вашей компании. Она должна уметь контролировать несколько параметров, в том числе время суток и день недели. Кроме того, она не должна быть ограничена препрограммированными средствами мониторинга.
3. Система не должна выдавать ложные предупреждения. Она должна уметь доставлять предупреждения разными способами — на пейджер, по электронной почте, на принтер и т. д.
4. Некоторые системы способны отключать, например, указанные группы внешних линий при обнаружении несанкционированного звонка. Однако использовать эту возможность надо с осторожностью: если только один телефон производит несанкционированный звонок, то отключение всех остальных телефонов, подключенных к этой группе линий, может привести к непредсказуемым последствиям.
5. Система должна работать с разными коммутаторами, в особенности при наличии у вас в компании нескольких коммутаторов в разных офисах. Кроме того, она должна правильно обрабатывать разные временные зоны.
6. Многие буферные блоки и устройства удаленного доступа с контролем звонков используют просто-таки безобразное символьное программирование (например, "нажмите Ctrl-B*X5 для дампа данных" и т. п.). К счастью, остальные опираются на программы на базе Windows 95 с удобными раскрывающимися меню.
7. Некоторые из требований к предупреждению мошенничества с междугородними звонками и само ваше понимание того, что является злоупотреблением, могут измениться со временем в результате изменения интересов компании и картины трафика. Поэтому конфигурацию следует периодически проверять, чтобы убедиться, что все работает правильно и система справляется со стоящими перед ней задачами.
Эксперт сказал...
Мы обратились к Питу Шипли, гуру в области защиты, из компании Network Security Associates с вопросом о том, как защитить телефонную систему от несанкционированного доступа.
Одним из признаков присутствия кракера (Пит настаивает на употреблении термина "кракер", а не "хакер") является массовое поступление транзитных вызовов, в особенности с одного номера. В этом случае вы должны просмотреть "записи маршрута вызова". Кракер с административными привилегиями может сконфигурировать один из внутренних номеров на перевод вызовов на внешнюю линию (или он может узнать, что один из дополнительных номеров уже настроен на перевод вызовов). Затем он может позвонить на коммутатор и получить тональный сигнал за ваш счет, набрав дополнительный номер (или попросив об этом секретаря).
Другим знаком является внезапное изменение кодов голосовой почты. Получив код (он может это сделать разными способами, например посредством перебора с помощью программ генерации кодов случайным образом), кракер может воспользоваться системой голосовой почты в своих корыстных целях.
Здесь пароли и номера играют важную роль. По словам Шипли, используя программы генерации случайных чисел, кракеры могут перебрать 432 наиболее распространенных кода доступа менее чем за час. Коды доступа ни в коем случае не следует записывать (даже на бланках заказа новых ящиков голосовой почты и дополнительных номеров), а тем более выбрасывать их в корзину для бумаг. Кракеры не брезгуют и копанием в мусоре, лишь бы найти код. Шипли советует измельчать все бумаги, содержащие коды доступа и пароли.
При конфигурировании системы сервисные порты ни в коем случае не следует помещать на обычные телефонные линии, так как тогда они могут быть обнаружены кракерами с помощью программ случайного набора номера. При помещении на обычные линии порты следует скрыть за внутренними номерами, дабы их было труднее найти и взломать.
"Менеджеры не верят, что они будут атакованы, и не принимают адекватных мер защиты, — утверждает Шипли. — И неважно, сколько раз им говорили об этом, они будут продолжать пребывать в своем заблуждении".
Защита автоматических секретарей и голосовой почты
Голосовая почта отвечает на внешние звонки, предоставляет меню и средства для навигации по системе, поэтому она должна быть надежно защищена. При покупке почтовой системы вы должны поинтересоваться у поставщика ее защитой, прежде всего, возможностью украсть тональный сигнал через голосовую почту, а также оставить или прочитать сообщение из ящиков голосовой почты. Серверы должны быть защищены паролями и иметь другие функции защиты.
1. Перевод на неопределенные дополнительные номера или пункты меню автосекретаря следует блокировать. Звонящие абоненты не должны получать доступа к внешним линиям нажатием "9" или любого другого номера. Кроме того, голосовая почта должна быть настроена исключительно на ответ на звонки, а не на набор номера.
2. Дисковое пространство сервера не должно использоваться несанкционированным образом. Звонящим абонентам не следует разрешать оставлять сообщения в неинициализированных (созданных, но не используемых) почтовых ящиках. Это предотвращает использование почтовых ящиков и подслушивание конфиденциальной информации посредством ее записи в неиспользуемый почтовый ящик при прохождении через голосовую почту. Кроме того, хакеры лишаются возможности проделывать такие трюки, как оставление сообщений другим хакерам с кодами доступа к вашему коммутатору, персональной информацией о сотрудниках и т. д.
3. Отчеты, в особенности статистику трафика по портам и данные о попытках регистрации в системе, следует регулярно проверять. Если какой-либо порт постоянно занят, то это может означать, что кто-то пытается проникнуть через него в вашу систему. Система должна быть настроена таким образом, чтобы звонящие абоненты отключались, если они не могут добраться до ящика после N попыток. Большое число неудачных попыток регистрации может свидетельствовать об атаке. Кроме того, отчеты могут содержать информацию о необычных событиях, например о звонках, когда офис был закрыт и т. п.
4. Коды доступа лучше периодически менять. Они не должны быть столь простыми, что их мог бы отгадать даже ребенок, т. е. они не должны представлять собой номера почтовых ящиков (или номера ящиков в обратном порядке), последовательности типа "1-2-3-4", имена сотрудников, даты дней рождения или слова типа admin, supervisor и т. п. Кроме того, сотрудников следует предупредить, чтобы они не оставляли клочки бумаги с кодами доступа где попало.
5. Сервер голосовой почты должен иметь несколько уровней защиты доступа. Менеджерам низшего звена следует предоставить только те права, без которых они не могут обойтись. Многие системы могут быть запрограммированы на введение дополнительных кодов доступа для предоставления разрешения на осуществление каких-либо крупных высокоуровневых изменений.
6. Особое внимание следует уделять тем, кто представляется техником или использует другие уловки для получения кодов доступа либо другой информации о системе. Список всех ваших техников/VAR/контактных лиц следует всегда иметь под рукой. Если вы не уверены в ком-то, то спросите его имя и телефонный номер и лучше перезвоните сами.
7. Саму телефонную систему/систему голосовой почты следует хранить в закрытом помещении. Доступ к ней должны иметь только уполномоченные лица.
Ресурсы Internet
Информацию о защите и мошенничестве с междугородними звонками можно найти на следующих узлах:
http://www.pacbell.com/products/business/comm-mgmt/lockon/index.html ;