CCITTUeberwachung: Unterschied zwischen den Versionen

aus dem Wiki des Entropia e.V., CCC Karlsruhe
(Automagically converted by twiki2mediawiki)
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
 
== CCiTT #7 Ueberwachung ==
 
== [[Main_CCiTT|CCiTT]] #7 Ueberwachung ==


by van Hauser (mirror von http://www.kryptocrew.de/archiv/phreaking/advanced/c7ueber.txt)  
by van Hauser (mirror von http://www.kryptocrew.de/archiv/phreaking/advanced/c7ueber.txt)  
Zeile 11: Zeile 9:
dafuer alle nicht-deutsch-spezifischen Informationen entfernt.
dafuer alle nicht-deutsch-spezifischen Informationen entfernt.


== Was ist [[Main_CCiTT|CCiTT]] #7 ==
== Was ist CCiTT #7 ==


[[Main_CCiTT|CCiTT]] #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling
CCiTT #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling
System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer
System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer
Telekommunikation eingesetzt wird - wie hier in Deutschland.
Telekommunikation eingesetzt wird - wie hier in Deutschland.
Zeile 21: Zeile 19:
Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen,
Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen,
Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc.
Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc.
Dieser Datenkanal wurde seit dem [[Main_CCiTT|CCiTT]] #6 separiert, da er bis #5 zum
Dieser Datenkanal wurde seit dem CCiTT #6 separiert, da er bis #5 zum
sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter
sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter
anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige
anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige
Zeile 28: Zeile 26:
Jahr.
Jahr.


== Das deutsche Ueberwachungssystem fuer [[Main_CCiTT|CCiTT]] #7 ==
== Das deutsche Ueberwachungssystem fuer CCiTT #7 ==


Seit Anfang '96 benutzt die Deutsche Telekom AG das [[Main_CCiTT|CCiTT]] #7 Ueberwachungs-
Seit Anfang '96 benutzt die Deutsche Telekom AG das CCiTT #7 Ueberwachungs-
system von Hewlett Packard, genannt [[Main_AcceSS|AcceSS]] 7.
system von Hewlett Packard, genannt [[AcceSS]] 7.


=== Geschichte : ===
=== Geschichte ===


Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4
Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4
weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber
weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber
keines ist so erfolgreich wie das [[Main_AcceSS|AcceSS]] 7.
keines ist so erfolgreich wie das [[AcceSS]] 7.
Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber
Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber
die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen
die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen
Systems und erweiterten es.
Systems und erweiterten es.


HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom
HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom
(damals noch nicht AG :) bekannt gab, als erste europaeischer
(damals noch nicht AG :) bekannt gab, als erste europaeischer
Telekommunikationsbetreiber dieses System zu installieren.
Telekommunikationsbetreiber dieses System zu installieren.
Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96),
Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96),
Israel (Bezeq Mai '96), Bell USA (Juni '96) das [[Main_AcceSS|AcceSS]] 7.
Israel (Bezeq Mai '96), Bell USA (Juni '96) das [[AcceSS]] 7.


Im Mai '95  10 der 30 groessten Telekommunikationsanbieter der Welt, heute
Im Mai '95  10 der 30 groessten Telekommunikationsanbieter der Welt, heute
(Anfang '97) ueber 20 dieser 30 haben [[Main_AcceSS|AcceSS]] 7 installiert.
(Anfang '97) ueber 20 dieser 30 haben [[AcceSS]] 7 installiert.
Auch British Telecom, [[Main_TeleWest|TeleWest]], GTE und AT&T Wireless benutzen teile des
Auch British Telecom, [[TeleWest]], GTE und AT&T Wireless benutzen teile des
[[Main_AcceSS|AcceSS]] 7 Systems.
[[AcceSS]] 7 Systems.
 
Der Geschaeftsleiter von HP sagte dazu in einem Interview :


Der Geschaeftsleiter von HP sagte dazu in einem Interview :
<pre>  
<pre>  
"Wir schaetzen, dass ueber 90% der [[Main_CCiTT|CCiTT]] #7 Verbindungen die
"Wir schaetzen, dass ueber 90% der [[CCiTT]] #7 Verbindungen die
ueberwacht werden, durch unser System ueberwacht werden."
ueberwacht werden, durch unser System ueberwacht werden."
</pre>
</pre>
Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das
Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das
"Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken..
"Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken..
Es wurde erstamls bei den Olympischen Spielen in Atlanta von [[Main_BellSouth|BellSouth]]
Es wurde erstamls bei den Olympischen Spielen in Atlanta von [[BellSouth]]
getestet - mit hervorragendem Erfolg.
getestet - mit hervorragendem Erfolg.
HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr
HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr
als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln
als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln
um Telekommunikationsbetrug zu bekaempfen.
um Telekommunikationsbetrug zu bekaempfen.


Der Erfolg von [[Main_AcceSS|AcceSS]] 7 liegt in dem flexiblen und ausbaufaehigem Design,
Der Erfolg von [[AcceSS]] 7 liegt in dem flexiblen und ausbaufaehigem Design,
das sich nicht nur leicht in jedes bestehende [[Main_CCiTT|CCiTT]] #7 System integrieren
das sich nicht nur leicht in jedes bestehende [[CCiTT]] #7 System integrieren
laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst
laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst
werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate
werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate
nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.
nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.


=== Die Hardware : ===
=== Die Hardware ===


HP's Grundpaket sind 4  8-weg symmetrische multiprozessing (SMP)
HP's Grundpaket sind 4  8-weg symmetrische multiprozessing (SMP)
HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link.
HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link.
Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren.
Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren.
Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser
Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser
inzwischen ausgeliefert wurde ist mir nicht bekannt.
inzwischen ausgeliefert wurde ist mir nicht bekannt.


=== Die Software : ===
=== Die Software ===


Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das
Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das
HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T.
HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T.
Die Clients laufen auch auf HP-UX unter HPs [[Main_OpenView|OpenView]] X-Window System.
Die Clients laufen auch auf HP-UX unter HPs [[OpenView]] X-Window System.
Alles ist in C programmiert, die libraries, mit denen man eigene
Alles ist in C programmiert, die libraries, mit denen man eigene
Software programmieren kann fuer [[Main_AcceSS|AcceSS]] 7 ist mit installiert.
Software programmieren kann fuer [[AcceSS]] 7 ist mit installiert.
Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um
Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um
speziellen Aufgaben erfuellen zu koennen.
speziellen Aufgaben erfuellen zu koennen.


Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte
Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte
"call detail record" (CDR) fuer jeden Anruf erstellt.
"call detail record" (CDR) fuer jeden Anruf erstellt.
Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert
Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert
und in jeder gewuenschten Art & Weise verwendet werden.
und in jeder gewuenschten Art & Weise verwendet werden.
HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle,
HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle,
Verkehrskontrolle und Betrugsidentifikation.
Verkehrskontrolle und Betrugsidentifikation.


Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache
Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache
von [[Main_CCiTT|CCiTT]] #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs-
von CCiTT #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs-
analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den
analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den
Daten so ziemlich alles machen konnte.
Daten so ziemlich alles machen konnte.
In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von
In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von
Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und
Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und
Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt.
Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt.
Deshalb hier ein paar Informationen, wie das System arbeitet :
Deshalb hier ein paar Informationen, wie das System arbeitet :


=== Das Betrugs-Identifikations-Toolkit : ===
=== Das Betrugs-Identifikations-Toolkit ===


Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern
Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern
matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein
matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein
Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine
Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine
Situation diesem Szenario entspricht ("the patterns match") dann wird
Situation diesem Szenario entspricht ("the patterns match") dann wird
Alarm ausgeloest.
Alarm ausgeloest.


Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt
Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt
werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen
werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen
ins Ausland gehen als in einer Wohngegend.
ins Ausland gehen als in einer Wohngegend.


D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer
D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer
Typ von Betrug gefunden wurde.
Typ von Betrug gefunden wurde.
Alles was in ein Betrugsszenario passt und was weit von dem normalen
Alles was in ein Betrugsszenario passt und was weit von dem normalen
Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.
Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.


Betrugs-Szenarien sind :
Betrugs-Szenarien sind :
* Anrufe sehr langer Dauer
* Anrufe sehr langer Dauer
* Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend
* Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend
Zeile 131: Zeile 130:
* Das Anwaehlen vieler gebuehrenfreier Rufnummern
* Das Anwaehlen vieler gebuehrenfreier Rufnummern


Sowie spezialisierte Szenarien :
Sowie spezialisierte Szenarien :
* Anrufe zu Nummern die besonders oft missbraucht werden
* Anrufe zu Nummern die besonders oft missbraucht werden
* Verdaechtige Anwendung von "Anruf-Weiterschaltung"
* Verdaechtige Anwendung von "Anruf-Weiterschaltung"
Zeile 137: Zeile 136:
* viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen
* viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen


Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem
Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem
Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem
Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem
Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet.
Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet.
Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung,
Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung,
Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.
Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.


Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von
Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von
bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario
bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario
geraten.
geraten.


<pre>
<pre>
Zeile 151: Zeile 150:
XXXXXXXXXXXXXXXX   
XXXXXXXXXXXXXXXX   
XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX   Out-of- XXXXXXXX   Weitergehende   XX
XXXXXXXXXXXXXXXX     Out-of-           XXXXXXXX     Weitergehende     XX
XXXXXXXXXXXXXXXX  -  Pattern/  --> XXXXXXXX  -  Out-of-Pattern --> XX
XXXXXXXXXXXXXXXX  -  Pattern/  --> XXXXXXXX  -  Out-of-Pattern --> XX
XXXXXXXXXXXXXXXX   Scenario   XXXXXXXX   Szenario
XXXXXXXXXXXXXXXX     Scenario XXXXXXXX     Szenario
XXXXXXXXXXXXXXXX oder manuelle
XXXXXXXXXXXXXXXX                                     der manuelle
XXXXXXXXXXXXXXXX Pruefung (Operator)
XXXXXXXXXXXXXXXX                                     Pruefung (Operator)
XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX


Eingehende   Ueberwachungs-  Alarm des Weitergehende   BETRUGS-
Eingehende     Ueberwachungs-  Alarm des   Weitergehende       BETRUGS-
Anrufe in das   system- Ueberwach- Out-of-Pattern FAELLE
Anrufe in das       system-         Ueberwach- Out-of-Pattern     FAELLE
Ueberwachungssystem analyse unssystems Scenario oder
Ueberwachungssystem analyse         unssystems Scenario oder
manuelle Uberpruefung
manuelle Uberpruefung
</pre>
</pre>


=== Wo sind die deutschen HP [[Main_AcceSS|AcceSS]] 7 Systeme ===
=== Wo sind die deutschen HP [[AcceSS]] 7 Systeme ===


<pre>
<pre>
Deutsche Telekom AG :
Deutsche Telekom AG :
Frankfurt, Duesseldorf, Stuttgart und Nuernberg
Frankfurt, Duesseldorf, Stuttgart und Nuernberg
Control Centers in Frankfurt und Bamberg.
Control Centers in Frankfurt und Bamberg.
</pre>
</pre>
Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom
Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom
Zeile 175: Zeile 174:
angeschlossen sind.
angeschlossen sind.


== LETZTE WORTE ==
== LETZTE WORTE ==


Ein kleiner Teil der Informationen in diesem Artikel war schon im
Ein kleiner Teil der Informationen in diesem Artikel war schon im
Zeile 203: Zeile 202:
wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen-
wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen-
gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System.
gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System.
Da ich nicht weiss ob folgende 2 Dinge mit dem [[Main_AcceSS|AcceSS]] 7 zu tun haben, habe
Da ich nicht weiss ob folgende 2 Dinge mit dem [[AcceSS]] 7 zu tun haben, habe
ich sie hier reingeschrieben :
ich sie hier reingeschrieben :
Es ist technisch ohne Probleme moeglich herauszufinden, auch mit [[Main_AcceSS|AcceSS]] 7,
Es ist technisch ohne Probleme moeglich herauszufinden, auch mit [[AcceSS]] 7,
ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.)
ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.)
oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich
oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich
Zeile 211: Zeile 210:
Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt-
Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt-
lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem
lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem
Zusammenhang mit [[Main_AcceSS|AcceSS]] 7 steht oder was genau sie macht ist mir leider
Zusammenhang mit [[AcceSS]] 7 steht oder was genau sie macht ist mir leider
(noch) nicht bekannt.
(noch) nicht bekannt.


Zeile 222: Zeile 221:


van Hauser / THC (vh@campus.de) (mirror von http://www.kryptocrew.de/archiv/phreaking/advanced/c7ueber.txt)
van Hauser / THC (vh@campus.de) (mirror von http://www.kryptocrew.de/archiv/phreaking/advanced/c7ueber.txt)

Version vom 9. Januar 2005, 20:17 Uhr

CCiTT #7 Ueberwachung

by van Hauser (mirror von http://www.kryptocrew.de/archiv/phreaking/advanced/c7ueber.txt)

Wer sich wundert : Ja, dieser Text ist schon im THC-MAG #1 erschienen. Er wurde dann stark erweitert und erschien dann im Time-For-a-Change Magazin #4. Aus aktuellem Anlass, darunter, dass dieses Magazin #4 in Deutsch erscheint, wurde der Artikel uebersetzt und noch etwas erweitert, dafuer alle nicht-deutsch-spezifischen Informationen entfernt.

Was ist CCiTT #7

CCiTT #7 ist das neueste Signal-System, auch SS7 oder Common Channel Signaling System No.7 genannt. Es ist das Protokoll, das am haeufigsten in der Welt fuer Telekommunikation eingesetzt wird - wie hier in Deutschland. Es benutzt 2 Kanaele fuer die Kommunikation : Der 1. ist der Sprachkanal, also das, was der Kunde spricht (oder das Fax das er sendet). Der 2. Kanal ist der Datenkanal. Dieser ist vollkommen separiert vom Sprachkanal und enthaelt alle Gespraechsinformationen wie Rufnummer des Anrufers, Rufnummer des Angerufenen, Konferenz-Option, Call-Forwarding, R-Gespraech etc. etc. Dieser Datenkanal wurde seit dem CCiTT #6 separiert, da er bis #5 zum sogenannten "Blueboxing" missbraucht werden konnte, ausserdem erhoehte es unter anderem die Leitungsqualitaet und enthielt neue Features (Rufnummeranzeige etc). Es wird mittlerweile in allen West-Europaeischen Laendern und Nord- Amerika benutzt, und mehrere Laender steigen auch um, wie z.B. Israel letztes Jahr.

Das deutsche Ueberwachungssystem fuer CCiTT #7

Seit Anfang '96 benutzt die Deutsche Telekom AG das CCiTT #7 Ueberwachungs- system von Hewlett Packard, genannt AcceSS 7.

Geschichte

Neben dem Ueberwachungssystem von Hewlett Packard gibts noch ueber 4 weitere System, das bekannteste ist Mavin/Davon von Bellcore, aber keines ist so erfolgreich wie das AcceSS 7. Am Anfang war es nur fuer Fehler- und Leistungsanalysen gedacht, aber die Entwickler sahen die zukunfsweisenden Moeglichkeiten ihres flexiblen Systems und erweiterten es.

HPs erster grosser Erfolg war im Oktober '95, als die Deutsche Telekom (damals noch nicht AG :) bekannt gab, als erste europaeischer Telekommunikationsbetreiber dieses System zu installieren. Spaeter installierten z.B. auch Neuseeland, Finnland (Finnet Januar '96), Israel (Bezeq Mai '96), Bell USA (Juni '96) das AcceSS 7.

Im Mai '95 10 der 30 groessten Telekommunikationsanbieter der Welt, heute (Anfang '97) ueber 20 dieser 30 haben AcceSS 7 installiert. Auch British Telecom, TeleWest, GTE und AT&T Wireless benutzen teile des AcceSS 7 Systems.

Der Geschaeftsleiter von HP sagte dazu in einem Interview :

 
"Wir schaetzen, dass ueber 90% der [[CCiTT]] #7 Verbindungen die
ueberwacht werden, durch unser System ueberwacht werden."

Im Juni '96 kuendigte Hewlett Packard ein neues Toolkit an : das "Fraud Management Toolkit" um Telekommunikationsbetrug zu entdecken.. Es wurde erstamls bei den Olympischen Spielen in Atlanta von BellSouth getestet - mit hervorragendem Erfolg. HP gruendete ausserdem die "Alliance to Outfox Phone Fraud" wo mehr als 12 grosse Telekommunikationsanbieter zusammen Strategien entwickeln um Telekommunikationsbetrug zu bekaempfen.

Der Erfolg von AcceSS 7 liegt in dem flexiblen und ausbaufaehigem Design, das sich nicht nur leicht in jedes bestehende CCiTT #7 System integrieren laesst, sondern ausserdem auch leicht an Kundenbeduerfnisse angepasst werden kann. Ausserdem garantiert HP, dass die Installationszeit 3 Monate nicht ueberschreitet, was fuer die grossen Anbieter sehr wichtig ist.

Die Hardware

HP's Grundpaket sind 4 8-weg symmetrische multiprozessing (SMP) HP 9000 Model T500 Corporate Business Servers fuer einen C7 Link. Jede dieser Maschienen kann bis zu 800 Anrufe auf einmal analysieren. Im August '96 war eine Ms-Dos basierter Client angekuendigt, ob dieser inzwischen ausgeliefert wurde ist mir nicht bekannt.

Die Software

Die Server benutzen als Betriebssystem HP-UX, das normale unix OS, das HP auf seinen Rechnern benutzt; es ist basiert auf Sys V 4.0 von AT&T. Die Clients laufen auch auf HP-UX unter HPs OpenView X-Window System. Alles ist in C programmiert, die libraries, mit denen man eigene Software programmieren kann fuer AcceSS 7 ist mit installiert. Der Kunde (Telekom) kann eigene Applets und Skripts schreiben um speziellen Aufgaben erfuellen zu koennen.

Die Basis der Software ist das Daten-Sammel-Kit, das sogenannte "call detail record" (CDR) fuer jeden Anruf erstellt. Diese Detaillierten-Anruf-Datensaetze koennen von Applets analysiert und in jeder gewuenschten Art & Weise verwendet werden. HP bietet fertige Applet-Toolkits fuer Abrechnung, Abrechnungskontrolle, Verkehrskontrolle und Betrugsidentifikation.

Selbstverstaendlich ist das Betrugsidentifikations-Kit nicht die Hauptsache von CCiTT #7 Ueberwachung. Urspruenglich standen Fehler- und Leistungs- analysen im Vordergrund, aber dann bemerkten die Entwickler, das man mit den Daten so ziemlich alles machen konnte. In der heutigen Zeit spielt es eine grosse Rolle fuer die Planung von Telekommunikationsinfrastrukturen, Optimierung, Fehlerkontrolle und Marktanalysen - aber die Entdeckung von Missbrauch ist ein wichtiger Punkt. Deshalb hier ein paar Informationen, wie das System arbeitet :

Das Betrugs-Identifikations-Toolkit

Das Automatische Betrugs-Identifikations-Toolkit basiert auf "pattern matching", d.h. ein Szenario/Verhaltensmuster wird aufgestellt wie ein Betrugsfall normal aussieht und in das Toolkit eingespeisst. Wenn eine Situation diesem Szenario entspricht ("the patterns match") dann wird Alarm ausgeloest.

Jedes Szenario muss zuerst auf jeden Kommunikationsnetzwerk eingestellt werden, da z.B. in einem Gewerbegebiet eine hoehere Anzahl von Anrufen ins Ausland gehen als in einer Wohngegend.

D.h. solche Szenarien koennen erst erstellt werden, nachdem ein neuer Typ von Betrug gefunden wurde. Alles was in ein Betrugsszenario passt und was weit von dem normalen Verhalten des Kommunikationslinks abweicht, loest einen Alarm aus.

Betrugs-Szenarien sind :

  • Anrufe sehr langer Dauer
  • Wiederholte Anrufe zu einer bestimmten Nummer aus einer Gegend
  • Wiederholte Anrufe von einer Gegend zu unterschiedlichen Nummern
  • Lange/viele Anrufe von einer Nummer die nicht zahlt
  • Das Anwaehlen bestimmter definierter Rufnummern
  • Das Anwaehlen vieler gebuehrenfreier Rufnummern

Sowie spezialisierte Szenarien :

  • Anrufe zu Nummern die besonders oft missbraucht werden
  • Verdaechtige Anwendung von "Anruf-Weiterschaltung"
  • viele Anrufe insbes. Auslands-, von einem Anschluss
  • viele Anrufe innerhalb kurzer Zeit von oeffentlichen Telefonen

Ein ausgeloester Alarm bekommt eine Prioritaetsstufe und wird auf dem Bildschirm eines Operators angezeigt. Je laenger ein Alarm in einem Szenario bleibt, desto hoeher wird mit der Zeit die Prioritaet. Der Operator kann dann Aktionen einleiten wie Anschlussrueckverfolgung, Unterbrechen der Verbindung, Sperren des Anschlusses und mehr.

Integriert ist auch eine sogeannte "Blacklist", d.h. eine Liste von bekannten Kunden/Firmen die faelschlicherweise in ein solches Szenario geraten.

XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXX  
XXXXXXXXXXXXXXXX	
XXXXXXXXXXXXXXXX     Out-of-            XXXXXXXX     Weitergehende      XX
XXXXXXXXXXXXXXXX  -  Pattern/  -->	XXXXXXXX  -  Out-of-Pattern -->	XX
XXXXXXXXXXXXXXXX     Scenario		XXXXXXXX     Szenario
XXXXXXXXXXXXXXXX                                     der manuelle
XXXXXXXXXXXXXXXX                                     Pruefung (Operator)
XXXXXXXXXXXXXXXX

Eingehende	    Ueberwachungs-  Alarm des    Weitergehende       BETRUGS-
Anrufe in das       system-         Ueberwach-	 Out-of-Pattern      FAELLE
Ueberwachungssystem analyse         unssystems	 Scenario oder
																	manuelle Uberpruefung

Wo sind die deutschen HP AcceSS 7 Systeme

Deutsche Telekom AG :
 Frankfurt, Duesseldorf, Stuttgart und Nuernberg
 Control Centers in Frankfurt und Bamberg.

Wie es scheint, sind sie in das interne TCP/IP Netzwerk der Telekom angegliedert (HITNET), die nur ueber eine Firewall an dem Internet angeschlossen sind.

LETZTE WORTE

Ein kleiner Teil der Informationen in diesem Artikel war schon im THC Magazine #1 (Februar '96) zu lesen. Ich aktualisierte danach die Informationen, fuegte vieles ein und der Artikel erreichte die doppelte Groesse :) ... Er erschien dann im Time For a Change #4, dem amerikanischen Magazin von einem Kumpel, Ghost in the Machine. Fuer das 4. THC Magazine habe ich ihn uebersetzt, leicht aktualisiert und gekuerzt was nicht fuer Deutsche interessant ist, damit er mehr Leute ihn lesen und insbesondere Phreaker auf die Gefahr aufmerksam werden und sich ueberlegen wie sie das System ueberlisten koennen.

Das System *ist* aktiv, wie z.B. gerade ein Fall von vor 2 Wochen zeigt : Ein Freund hatte 0130-Scanning betrieben, so ca. 6 Stunden ueber Nacht laufen lassen, und als er ihn am morgen beendete bekam er nach kurzer Zeit einen Anruf, dass auffaellig oft von seiner Leitung aus gewaehlt wurde, der Anschluss sofort gesperrt und erst wieder freigeschaltet wird, nachdem er von einem Telekomtechniker vor Ort inspiziert wird.

Wer also in einer laendlichen Region wohnt hat hiermit echt Probleme, wer allerdings direkt in einer Grossstadt wohnt, idealerweise vielleicht noch angeschlossen an einer VST an dem auch viele Betriebe angeschlossen sind, hat da mehr Glueck.

Wer sich den Artikel aufmerksam durchgelesen hat wird merken, dass zugleich viel wie wenig drinnen steht. Es ist alles, was ich aus sensitiven Daten wie oeffentlichen Pressesachen herausfiltern konnte. Vieles ist zusammen- gereimt manches vielleicht auch falsch, aber ungefaehr so arbeitet das System. Da ich nicht weiss ob folgende 2 Dinge mit dem AcceSS 7 zu tun haben, habe ich sie hier reingeschrieben : Es ist technisch ohne Probleme moeglich herauszufinden, auch mit AcceSS 7, ob ein Anruf automatisch gemacht wurde (Fax/Modem/Schnellwahltaste/etc.) oder per Hand gewaehlt wurde. Ob das irgendwie ausgewertet wird weiss ich nicht, wird aber schon seit laengerem bei guten PBXen gemacht. Desweiteren benutzt die Telekom eine Software namens MOSES an ihren Vermitt- lungsstellen, was auch eine Ueberwachung macht. Ob sie in irgendeinem Zusammenhang mit AcceSS 7 steht oder was genau sie macht ist mir leider (noch) nicht bekannt.

Wer noch irgendwelche Infos hat, einfach eine email senden an vh@campus.de und mit dem PGP key unten verschluesseln. Wer Informationen dieser Art zurueckhaelt schadet anderen nur, hat selbst aber keinerlei Vorteile, da es ja nix ist, was stirbt, wie eine C5 Nummer oder eine PBX ...

Passt auf euch auf ...

van Hauser / THC (vh@campus.de) (mirror von http://www.kryptocrew.de/archiv/phreaking/advanced/c7ueber.txt)