2012-05-01

Affair Athens hay như thế nào Mỹ Spies trên tất cả mọi người

(Original English: <  http://spectrum.ieee.org/telecom/security/the-athens-affair/1  >)
Làm thế nào một số tin tặc cực kỳ thông minh kéo ra trong giờ giải lao trong tế bào mạng táo bạo nhất từ ​​trước đến nay
Vassilis Prevelakis, Diomidis Spinellis / tháng 7 năm 2007
Ngày 09 tháng ba 2005, kỹ sư điện tử 38 tuổi người Hy Lạp tên là Costas Tsalikidis đã được tìm thấy treo cổ trong căn hộ loft Athens của mình, tự tử. Nó sẽ chứng minh là chỉ đơn thuần là người đầu tiên tin tức về một vụ bê bối sẽ quậy nổi bùn Hy Lạp trong nhiều tháng.
Ngày hôm sau, Thủ tướng Hy Lạp đã cho biết, điện thoại di động của mình đã được nghe trộm, cũng như những người của thị trưởng thành phố Athens và ít nhất 100 chức sắc cao cấp khác, bao gồm một nhân viên của Đại sứ quán Mỹ.
Các nạn nhân là khách hàng của Athens dựa trên Vodafone-Panafon, thường được gọi là Vodafone Hy Lạp, nhà cung cấp dịch vụ di động lớn nhất của đất nước; Tsalikidis chịu trách nhiệm quy hoạch mạng lưới tại công ty. Một kết nối dường như rõ ràng. Với danh sách của người dân và vị trí của họ tại thời điểm của việc khai thác, chúng tôi chỉ có thể tưởng tượng cuộc thảo luận chính trị và ngoại giao nhạy cảm, giao dịch kinh doanh cao cổ phần, hoặc thậm chí hôn nhân indiscretions có thể đã được thường xuyên nghe, và rất có thể, ghi lại.
Ngay cả trước khi chết của Tsalikidis, các nhà điều tra đã tìm thấy cài đặt phần mềm lừa đảo trên mạng điện thoại Vodafone Hy Lạp do các bên không rõ. Một số người cực kỳ hiểu biết, hoặc thâm nhập vào mạng từ bên ngoài hoặc phá vỡ nó từ bên trong, sự trợ giúp của một đại lý hoặc nốt ruồi. Trong cả hai trường hợp, phần mềm tại trung tâm của hệ thống điện thoại, các nhà điều tra sau đó phát hiện, đã được lập trình lại với một sự khéo léo và tinh tế hiếm khi nhìn thấy trước hoặc từ.
Một nghiên cứu của vụ Athens, chắc chắn vụ tai tiếng kỳ lạ và đáng xấu hổ nhất bao giờ hết để nhấn chìm một nhà cung cấp dịch vụ điện thoại di động, làm sáng tỏ đáng kể về các biện pháp mạng có thể và nên làm để giảm thiểu tính dễ tổn thương của họ để tin tặc và nốt ruồi.
Nó cũng là một cơ hội hiếm có để có được một cái nhìn thoáng qua của một trong những khó nắm bắt nhất của tội phạm tin. Thâm nhập mạng lưới chủ yếu của bất cứ loại nào là cực kỳ phổ biến. Họ rất khó để kéo giảm, và bình đẳng để điều tra.
Ngay cả trong số các tội phạm xâm nhập lớn, Athens vụ đứng ra bởi vì nó có thể có liên quan đến bí mật nhà nước, và nó nhắm mục tiêu cá nhân-một sự kết hợp đó, nếu nó đã từng xảy ra trước đây, đã không được tiết lộ công khai. Sự xâm nhập nổi tiếng nhất để thỏa hiệp bí mật nhà nước của "trứng cúc cu", một tên ban cho bởi người quản trị mạng quỷ quyệt, người thành công theo đuổi một lập trình viên người Đức vào năm 1986. Các lập trình viên đã được bán bí mật về chiến lược Sáng kiến ​​Quốc phòng Hoa Kỳ ("Star Wars") KGB của Liên Xô.Nhưng không giống như trứng của Cuckoo, vụ Athens nhắm mục tiêu các cuộc hội thoại cụ thể, cao đặt quan chức chính phủ và quân sự. Với sự dễ dàng với các cuộc đàm thoại có thể đã được ghi nhận, nó thường được người ta tin rằng họ. Nhưng không ai tìm thấy bất kỳ bản ghi âm, và chúng ta không biết bao nhiều các cuộc gọi đã được ghi lại, hoặc thậm chí lắng nghe, bởi các thủ phạm. Mặc dù phạm vi hoạt động là một không rõ mức độ lớn, đó là công bằng để nói rằng không có tội phạm máy tính khác trong hồ sơ đã có tiềm năng nắm bắt thông tin về công việc của nhà nước.
Link: <http://spectrum.ieee.org/static/athens-affair-timeline>
Trong khi điều này là sự xâm nhập lớn đầu tiên liên quan đến điện thoại di động, chương trình không phụ thuộc vào tính chất của mạng không dây. Về cơ bản, các tin tặc đã đột nhập vào một mạng điện thoại và phá vỡ nó được xây dựng trong các tính năng nghe lén cho các mục đích riêng của họ. Điều đó có thể có được thực hiện với bất kỳ tài khoản điện thoại, không chỉ những người di động. Tuy nhiên, có một số yếu tố của hệ thống Vodafone Hy Lạp độc đáo và rất quan trọng để các tội phạm được kéo ra.
Chúng tôi vẫn không biết những người cam kết tội phạm này. Một lý do lớn là dựa trên Vương quốc Anh Vodafone Group, một trong những nhà cung cấp dịch vụ di động lớn nhất trên thế giới, bobbled xử lý của một số tập tin đăng nhập quan trọng. Nó cũng phản xạ loại bỏ các phần mềm lừa đảo, thay vì để cho nó tiếp tục chạy, tới hạn các thủ phạm xâm nhập của họ đã được phát hiện và đem lại cho họ một cơ hội để chạy cho trang bìa. Công ty đã bị phạt 76 triệu trong Tháng Mười Hai vừa qua.
Để mảnh với nhau câu chuyện này, chúng tôi đã mải mê nghiên cứu thông qua hàng trăm trang của đọng, được thực hiện bởi các ủy ban quốc hội Hy Lạp điều tra vụ việc, thu được thông qua một sự tự do thông tin yêu cầu đệ trình với Quốc hội Hy Lạp. Chúng tôi cũng đọc qua hàng trăm trang tài liệu và hồ sơ khác, bổ sung thông tin công bố công khai và các cuộc phỏng vấn với các chuyên gia độc lập và các nguồn liên quan đến vụ án. Những gì nổi lên được các chi tiết kỹ thuật, nếu không phải là động lực, xâm nhập máy tính devilishly thông minh và phức tạp.
Nghe lén điện thoại di động đã bắt đầu đôi khi trong cơn sốt chạy chạy đến năm 2004 Tháng Tám Thế vận hội Olympic tại Athens. Nó vẫn không bị phát hiện cho đến khi 24 tháng một năm 2005, khi một trong những điện thoại Vodafone thiết bị chuyển mạch tạo ra một chuỗi các thông báo lỗi chỉ ra rằng các tin nhắn văn bản có nguồn gốc từ một nhà điều hành điện thoại di động đã đi chưa được thực hiện. Chuyển đổi là một thành phần máy tính kiểm soát của một mạng điện thoại kết nối hai đường dây điện thoại để hoàn thành một cuộc gọi điện thoại. Để chẩn đoán thất bại, mà dường như rất khác thường nhưng hợp lý vô thưởng vô phạt vào thời điểm đó, Vodafone đã liên lạc với nhà sản xuất các thiết bị chuyển mạch, các nhà sản xuất thiết bị viễn thông Thụy Điển Ericsson.
Bây giờ chúng ta biết rằng các phần mềm bất hợp pháp cấy ghép, mà cuối cùng đã được tìm thấy trong tổng số bốn thiết bị chuyển mạch Hy Lạp của Vodafone, tạo ra dòng song song của giọng nói được số hóa cho các cuộc gọi điện thoại khai thác. Một dòng suối là một trong những bình thường, giữa hai bên gọi điện thoại. Các dòng khác, một bản sao chính xác, đã được đạo diễn điện thoại di động khác, cho phép các tappers lắng nghe trong các cuộc đàm thoại trên điện thoại di động, và có lẽ cũng để ghi lại chúng. Phần mềm cũng chuyển vị trí và thông tin khác về những cuộc gọi điện thoại cho các thiết bị cầm tay bóng qua tin nhắn văn bản tự động.
Năm tuần sau khi thất bại nhắn tin đầu tiên, vào ngày 04 tháng 3 năm 2005, Ericsson đã cảnh báo Vodafone phần mềm trái phép đã được cài đặt trong hai cơ quan Trung ương của Vodafone. Ba ngày sau đó, Vodafone kỹ thuật phân lập mã lừa đảo. Ngày hôm sau, ngày 08 tháng 3, Giám đốc điều hành của Vodafone Hy Lạp, Giorgos Koronias, yêu cầu kỹ thuật để loại bỏ các phần mềm.
Sau đó, các sự kiện đã lần lượt chết người. Ngày 09 tháng 3, Tsalikidis, người bị kết hôn trong ba tháng, đã được tìm thấy treo cổ trong căn hộ của mình. Không ai biết liệu rõ ràng tự tử của ông đã được liên quan đến vụ án, nhưng nhiều nhà quan sát đã suy đoán rằng đó là.
Ngày hôm sau khi cơ thể của Tsalikidis được phát hiện, Giám đốc điều hành Koronias gặp với giám đốc của văn phòng chính trị của Thủ tướng Hy Lạp. Yiannis Angelou, và Bộ trưởng trật tự công cộng, Giorgos Voulgarakis. Koronias nói với họ rằng phần mềm giả mạo đã sử dụng các cơ chế nghe trộm các thiết bị chuyển mạch kỹ thuật số của Vodafone hợp pháp để khai thác khoảng 100 điện thoại và bàn giao một danh sách các số nghe trộm. Bên cạnh đó thủ tướng và vợ ông, điện thoại thuộc các Bộ trưởng quốc phòng, đối ngoại, và công lý, thị trưởng thành phố Athens, và ủy viên Liên minh châu Âu Hy Lạp đã được tất cả các thỏa hiệp. Những người khác thuộc về các thành viên của tổ chức quyền công dân, hoạt động hòa bình, và các nhóm antiglobalization, nhân viên cao cấp tại Bộ Quốc phòng, thứ tự công cộng, Merchant Marine, và Ngoại giao, đảng cầm quyền Dân chủ mới, nhân viên Hải quân Hy Lạp nói chung, và một Hy Lạp Mỹ nhân viên tại Đại sứ quán Hoa Kỳ tại Athens.
Trong tuần phát hiện ban đầu của chương trình khai thác, chính phủ Hy Lạp và các cơ quan độc lập đưa ra năm điều tra khác nhau nhằm mục đích trả lời ba câu hỏi chính: Ai chịu trách nhiệm cho bugging?Tsalikidis của cái chết liên quan đến vụ bê bối này không? Và làm thế nào thủ phạm kéo ra kế hoạch táo bạo này?
Để hiểu làm thế nào một người nào đó bí mật có thể nghe các cuộc đàm thoại của các quan chức cao cấp nhất của Hy Lạp, chúng ta phải nhìn vào cơ sở hạ tầng mà làm cho nó có thể.
Đầu tiên, xem xét làm thế nào một cuộc gọi điện thoại, máy của bạn hoặc một thủ tướng, được hoàn thành. Lâu trước khi bạn quay số trên thiết bị cầm tay của bạn, điện thoại di động của bạn đã được liên lạc với các trạm gốc di động gần đó. Một trong những trạm, thường là gần nhất, đã đồng ý là trung gian giữa điện thoại và mạng lưới như một toàn thể. Điện thoại cầm tay của bạn chuyển đổi từ của bạn thành một dòng dữ liệu kỹ thuật số được gửi để thu phát tại các trạm cơ sở.


Các hoạt động của trạm cơ sở được điều chỉnh bởi một bộ điều khiển trạm cơ sở, một máy tính chuyên dùng trong các trạm cấp phát các kênh phát thanh và giúp phối hợp handovers giữa thu phát dưới sự kiểm soát của nó.
Điều khiển lần lượt liên lạc với một trung tâm chuyển mạch di động cuộc gọi điện thoại và kết nối họ để gọi người nhận trong cùng một trung tâm chuyển mạch, trung tâm chuyển mạch khác trong công ty, hoặc trao đổi đặc biệt đóng vai trò là cửa ngõ để các mạng nước ngoài, định tuyến cuộc gọi vào mạng điện thoại khác (điện thoại di động hoặc cố định).Các trung tâm chuyển mạch di động là đặc biệt quan trọng đối với vụ Athens vì họ tổ chức các phần mềm khai thác điện thoại lừa đảo, và nó là ở đó mà nghe trộm có nguồn gốc. Họ là những lựa chọn hợp lý, bởi vì họ đang ở trung tâm của mạng, những kẻ xâm nhập cần thiết để tiếp nhận chỉ là một vài trong số họ để thực hiện cuộc tấn công của họ.
Cả hai bộ điều khiển trạm cơ sở và các trung tâm chuyển mạch được xây dựng xung quanh một máy tính lớn, được biết đến như là một chuyển đổi, có khả năng tạo ra một con đường thông tin liên lạc chuyên dụng giữa một chiếc điện thoại trong mạng của nó và, về nguyên tắc, bất kỳ điện thoại khác trên thế giới. Thiết bị chuyển mạch là holdovers từ những năm 1970, một thời đại khi máy tính mạnh mẽ đầy phòng và được xây dựng xung quanh phần cứng và phần mềm sở hữu độc quyền. Mặc dù các máy tính nhỏ hơn ngày nay, kiến ​​trúc cơ bản của hệ thống phần lớn vẫn không thay đổi.
Giống như hầu hết các công ty điện thoại, Vodafone Hy Lạp sử dụng cùng một loại máy tính cho cả hai điện thoại di động của các trung tâm chuyển mạch và trạm cơ sở của dòng điều khiển AXE-Ericsson của các thiết bị chuyển mạch. Một bộ xử lý trung tâm điều phối hoạt động của chuyển đổi và chỉ đạo việc chuyển đổi để thiết lập một đường dẫn lời nói hay dữ liệu từ một điện thoại khác và sau đó định tuyến cuộc gọi thông qua nó. Các bản ghi của các hoạt động mạng và hồ sơ thanh toán được lưu trữ trên đĩa bằng cách một đơn vị riêng biệt, được gọi là một bộ xử lý quản lý.
Chìa khóa để hiểu hack ở trung tâm của vụ Athens được biết làm thế nào AXE Ericsson cho phép hợp pháp ngăn chặn những gì được phổ biến được gọi là Mặc dù các chi tiết khác nhau từ nước này sang nước khác "nghe trộm điện thoại.", Ở Hy Lạp, như trong hầu hết các nơi, quá trình bắt đầu khi một quan chức thực thi pháp luật đi vào tòa án và có được một bảo đảm, mà sau đó được trình bày cho công ty điện thoại mà khách hàng là để được khai thác.
Ngày nay, tất cả nghe trộm điện thoại được thực hiện tại văn phòng trung tâm. Trong trao đổi AXE thiết bị điều khiển từ xa hệ thống phụ, hoặc RES, thực hiện các máy điện thoại bằng cách giám sát các dòng suối giọng nói và dữ liệu của các cuộc gọi chuyển. Nó là một hệ thống phụ phần mềm thường được sử dụng để nghe trộm điện thoại, mà chỉ có cán bộ pháp luật có nghĩa vụ phải có quyền truy cập. Khi điện thoại wiretapped làm cho một cuộc gọi, RES bản sao các cuộc trò chuyện vào một luồng dữ liệu thứ hai và chuyển hướng sao chép vào một đường dây điện thoại được sử dụng bởi các quan chức thực thi pháp luật.
Ericsson tùy chọn cung cấp một hệ thống quản lý đánh chặn (IMS), qua đó chặn cuộc gọi hợp pháp được thành lập và quản lý. Khi một lệnh của tòa án được trình bày để các công ty điện thoại, hoạt động của nó bắt đầu đánh chặn bằng cách điền vào một hộp thoại trong các phần mềm IMS. IMS tùy chọn trong giao diện điều hành và RES trong trao đổi đều có chứa một danh sách nghe trộm điện thoại: yêu cầu nghe trộm điện thoại trong trường hợp, IMS vòi nước thực tế trong các RES. Nghe trộm điện thoại chỉ IMS bắt đầu hoạt động trong các RES, do đó, nghe trộm điện thoại trong RES mà không có một yêu cầu cho một vòi nước trong IMS là một chỉ số khá tốt mà một máy trái phép đã xảy ra. Thủ tục kiểm toán có thể được sử dụng để tìm thấy bất kỳ sự khác biệt giữa chúng.
Nó chỉ ra Vodafone đã không mua các tùy chọn đánh chặn hợp pháp tại thời điểm nghe trộm điện thoại bất hợp pháp, và IMS điện thoại khai thác phần mềm quản lý đã không được cài đặt trên hệ thống của Vodafone. Tuy nhiên, vào đầu năm 2003, Vodafone kỹ thuật nâng cấp các thiết bị chuyển mạch Hy Lạp phát hành R9.1 của bộ ứng dụng phần mềm AXE. Nâng cấp bao gồm các phần mềm RES, theo một lá thư từ Ericsson đi kèm với việc nâng cấp. Vì vậy, sau khi nâng cấp, hệ thống Vodafone có chứa mã phần mềm cần thiết để đánh chặn các cuộc gọi bằng cách sử dụng các RES, mặc dù nó thiếu giao diện người dùng cao cấp trong IMS thường được sử dụng để tạo điều kiện ngăn chặn như vậy.
Đó là trường hợp lẻ sẽ ra ngoài chơi một vai trò trong việc để các tin tặc Athens bất hợp pháp lắng nghe trong các cuộc gọi và thoát khỏi phát hiện trong nhiều tháng và tháng.
Nó đã lừa đảo và một số lập trình nghiêm trọng sườn để thao tác các chức năng chặn cuộc gọi hợp pháp tại các trung tâm chuyển mạch di động của Vodafone. Nhiệm vụ của những kẻ xâm nhập đã được đặc biệt phức tạp bởi vì họ cần thiết để cài đặt và vận hành phần mềm nghe lén các trao đổi mà không bị phát hiện bởi Vodafone hoặc các quản trị viên hệ thống Ericsson. Theo thời gian những kẻ xâm nhập truy cập vào phần mềm lừa đảo để cập nhật danh sách các số theo dõi và điện thoại bóng. Những hoạt động này đã được giữ tất cả các bản ghi, trong khi bản thân phần mềm là vô hình để các quản trị viên hệ thống tiến hành các hoạt động bảo trì thường xuyên. Những kẻ xâm nhập đã đạt được tất cả những mục tiêu này.
Họ đã lợi dụng thực tế là AXE cho phép phần mềm mới được cài đặt mà không cần khởi động lại hệ thống, một tính năng quan trọng khi bất kỳ sự gián đoạn ngắt kết nối cuộc gọi điện thoại, mất tin nhắn văn bản, và đưa ra các dịch vụ khẩn cấp không thể truy cập. Để cho một cuộc trao đổi AXE chạy liên tục trong nhiều thập kỷ, nhiều người trong số họ, phần mềm của Ericsson sử dụng một số kỹ thuật để xử lý thất bại và nâng cấp phần mềm của một trao đổi mà không đình chỉ hoạt động của nó. Những kỹ thuật này cho phép các bản vá lỗi trực tiếp của mã nạp trong bộ xử lý trung tâm, có hiệu lực thay đổi hệ thống hoạt động trên bay.
Hệ thống GSM hiện đại, chẳng hạn như của Vodafone, bảo đảm kết nối không dây với một cơ chế mã hóa phức tạp. Một cuộc gọi đến điện thoại di động khác sẽ được tái-mã hóa giữa điện thoại di động từ xa và trạm cơ sở gần nhất của nó, nhưng nó không được bảo vệ trong khi nó đi qua mạng lõi của nhà cung cấp. Vì lý do này và dễ dàng theo dõi các cuộc gọi từ sự thoải mái của hang ổ của thủ phạm của việc nghe trộm điện thoại Vodafone đã tấn công các thiết bị chuyển mạch cốt lõi của mạng Vodafone. Mã hóa thông tin liên lạc từ khi bắt đầu của chuỗi cuối cùng là ngân hàng, ví dụ, không-làm cho nó rất khó khăn để thực hiện nghe trộm điện thoại của pháp luật.


Để đơn giản hóa việc bảo trì phần mềm, AXE có những quy định chi tiết trực tiếp vá cho phần mềm chạy trên bộ vi xử lý trung tâm của nó. Mã hiện tại của AXE được cấu trúc xung quanh khối độc lập, hoặc các mô-đun chương trình, được lưu trữ trong bộ nhớ của bộ xử lý trung tâm.Việc phát hành được sử dụng trong năm 2004 bao gồm khoảng 1.760 khối. Mỗi chứa một "khu vực chỉnh sửa", sử dụng bất cứ khi nào phần mềm được cập nhật với một miếng vá.
Hãy nói rằng bạn đang vá mã để buộc các máy tính để làm một chức năng mới, Z, trong các tình huống nơi mà nó đã được thực hiện một chức năng khác nhau, Y. Vì vậy, ví dụ, nơi mà các phần mềm ban đầu đã có một hướng dẫn, "Nếu X, sau đó Y "phần mềm vá nói, có hiệu lực," Nếu X, sau đó đi để điều chỉnh vị trí của L. khu vực "Phần mềm này đi vào vị trí L và thực hiện những hướng dẫn được tìm thấy ở đó, có nghĩa là, Z. Nói cách khác, một bản vá phần mềm hoạt động bằng cách thay thế một hướng dẫn tại các khu vực của mã này được cố định với một hướng dẫn chuyển hướng chương trình đến một vị trí bộ nhớ trong khu vực sửa chữa có chứa phiên bản mới của mã này.
Thách thức phải đối mặt với những kẻ xâm nhập là sử dụng khả năng của RES nhân bản và chuyển hướng các bit của một dòng cuộc gọi mà không cần sử dụng các giao diện hộp thoại-IMS, trong đó sẽ tạo ra các bản ghi có thể kiểm tra các hoạt động của họ. Những kẻ xâm nhập kéo giảm giá này bằng cách cài đặt một loạt các bản vá lỗi đến 29 khối riêng biệt của mã, theo Ericsson viên chức điều trần trước ủy ban quốc hội Hy Lạp điều tra việc nghe trộm điện thoại. Phần mềm lừa đảo này sửa đổi phần mềm xử lý trung tâm trực tiếp bắt đầu 1 nghe trộm điện thoại, sử dụng khả năng của RES. Tốt nhất của tất cả, đối với họ, các vòi nước không thể nhìn thấy các nhà khai thác, bởi vì IMS và giao diện người dùng của nó không được sử dụng.
Phiên bản đầy đủ của phần mềm sẽ ghi lại số điện thoại được khai thác trong một đăng ký chính thức trong trao đổi. Và, như chúng tôi ghi nhận, một kiểm toán sau đó có thể tìm thấy một sự khác biệt giữa các con số theo dõi bởi việc trao đổi và đảm bảo hoạt động trong các IMS. Tuy nhiên, phần mềm lừa đảo bỏ qua các IMS Thay vào đó, nó khéo léo lưu trữ các số nghe trộm hai dữ liệu các khu vực là một phần của không gian bộ nhớ của các phần mềm lừa đảo, mà là trong bộ nhớ của chuyển đổi, nhưng bị cô lập và không thực hiện được biết đến với phần còn lại của switch.
Điều đó tự nó đặt các phần mềm lừa đảo một chặng đường dài hướng tới việc thoát khỏi phát hiện. Tuy nhiên, thủ phạm giấu bài hát của riêng mình trong một số cách khác. Có một loạt các tình huống kỹ thuật Vodafone có thể đã phát hiện ra các thay đổi các khối phần mềm của AXE. Ví dụ, họ có thể đưa ra một danh sách của tất cả các khối, trong đó sẽ hiển thị tất cả các tiến trình đang hoạt động chỉ trong vòng AXE-tương tự như sản lượng công việc quản lý trong Microsoft Windows hoặc tình trạng quá trình (ps) sản lượng trong Unix. Sau đó, họ sẽ thấy rằng một số quy trình hoạt động, mặc dù họ không cần phải có được.Tuy nhiên, phần mềm lừa đảo dường như thay đổi các lệnh rằng danh sách các khối hoạt động trong một cách mà bỏ qua các khối, nhất định những người có liên quan ngăn chặn, từ bất kỳ danh sách như vậy.
Ngoài ra, phần mềm lừa đảo có thể đã được phát hiện trong một phần mềm nâng cấp hoặc ngay cả khi Vodafone kỹ thuật cài đặt một bản vá nhỏ. Đó là tiêu chuẩn thực hành trong ngành công nghiệp viễn thông cho các kỹ thuật để xác minh nội dung khối hiện có trước khi thực hiện một nâng cấp hoặc bản vá lỗi. Chúng tôi không biết lý do tại sao các phần mềm lừa đảo đã không được phát hiện theo cách này, nhưng chúng tôi nghi ngờ rằng các phần mềm cũng sửa đổi các hoạt động của lệnh được sử dụng để in các tổng kiểm tra mã để tạo ra một loại chữ ký chống lại sự toàn vẹn của các khối hiện có có thể được xác nhận. Một cách này hay cách khác, các khối đã xuất hiện không thay đổi gì để các nhà khai thác.
Cuối cùng, phần mềm bao gồm một cửa sau để cho phép thủ phạm để kiểm soát nó trong tương lai. Điều này cũng được khéo léo xây dựng để tránh bị phát hiện. Báo cáo của Cơ quan Hy Lạp cho các An ninh Thông tin và Truyền thông và bảo mật (các từ viết tắt tiếng Hy Lạp là ADAE) chỉ ra rằng các phần mềm lừa đảo thay đổi lệnh các của trao đổi phân tích cú pháp-1 thói quen mà chấp nhận lệnh từ 1 người quản trị hệ thống tình trạng, do đó, rằng lệnh vô thưởng vô phạt theo sáu không gian sẽ tắt nhật ký giao dịch trao đổi, báo động liên kết với Chấm dứt hoạt của nó, và cho phép thực hiện các lệnh liên quan với các hệ thống phụ đánh chặn hợp pháp. Trong thực tế, đó là một tín hiệu để cho phép các hoạt động liên quan đến việc nghe trộm điện thoại nhưng không để lại dấu vết của họ. Nó cũng bổ sung thêm một tên người dùng mới và mật khẩu để hệ thống có thể được sử dụng để có được quyền truy cập để trao đổi.
Phần mềm không chỉ làm thay đổi hoạt động hệ thống mã mà còn ẩn bài nhạc của mình được gọi là "rootkit" Thuật ngữ này được biết là công chúng nếu ở tất cả vì một trong những hãng thu âm Sony BMG Music Entertainment bao gồm trên một số đĩa nhạc phát hành vào năm 2005.Rootkit Sony bị giới hạn sao chép các đĩa CD, nó độn thổ vào hệ điều hành Windows trên máy tính và sau đó giấu sự tồn tại của nó từ chủ sở hữu. (Sony đã ngừng sử dụng rootkit bởi vì một sự phản đối kịch liệt công chúng.) Các chuyên gia bảo mật cũng đã phát hiện rootkit cho các hệ thống điều hành có mục đích chung, chẳng hạn như Linux, Windows, và Solaris, nhưng kiến ​​thức của chúng tôi đây là lần đầu tiên một rootkit đã được quan sát trên một hệ thống đặc biệt mục đích, trong trường hợp này một điện thoại Ericsson chuyển đổi.
Với tất cả các luận điệu lẩn tránh tinh vi này, sau đó là phần mềm lừa đảo cuối cùng phát hiện ra? Ngày 24 tháng một năm 2005, thủ phạm đã cập nhật phần mềm của họ trồng. Đó nâng cấp can thiệp với chuyển tiếp các tin nhắn văn bản, mà đã chưa được thực hiện. Những tin nhắn văn bản chưa được thực hiện, lần lượt, kích hoạt một báo cáo thất bại tự động.
Tại thời điểm này, tin tặc khả năng để giữ cho các thay đổi của họ để chuyển AXE phần mềm phù hợp với bí mật gặp gỡ các giới hạn của họ, vì nó hầu như không thể che giấu bí mật trong hệ thống của người khác.
AXE, giống như hầu hết các hệ thống phần mềm lớn, các bản ghi tất cả các cách thức hoạt động mạng. Quản trị hệ thống có thể xem lại các file log, và bất kỳ sự kiện nào mà họ không thể giải thích là sử dụng thông thường có thể được điều tra.
Nó không thể để phóng đại tầm quan trọng của đăng nhập. Ví dụ, trong xâm nhập trứng Cuckoo năm 1986, các quản trị viên mạng lưới ranh mãnh, Clifford Stoll, được yêu cầu điều tra lỗi kế toán 75 cent. Stoll đã dành 10 tháng cho các hacker, những người đã thâm nhập sâu vào mạng lưới của Phòng thí nghiệm quốc gia Lawrence Livermore, phòng thí nghiệm vũ khí hạt nhân của Mỹ ở California. Phần lớn thời gian đó ông đã dành những cô cậu bé qua hàng ngàn trang báo cáo đăng nhập.
AXE, như hệ thống tinh vi nhất hiện nay, có thể giúp các nhà khai thác tìm nuggets của thông tin hữu ích trong các bản ghi cồng kềnh nó tạo ra. Nó được lập trình để báo cáo hoạt động bất thường ngày của riêng mình, trong các hình thức báo cáo lỗi hay thất bại. Ngoài ra, khoảng thời gian thường xuyên, trung tâm chuyển mạch tạo ra một bản chụp của chính nó-một bản sao, hoặc đổ, tất cả các chương trình và dữ liệu của nó.
Bãi được phổ biến nhất là tư vấn cho mục đích phục hồi và chẩn đoán, nhưng họ có thể được sử dụng trong điều tra an ninh. Vì vậy, khi các điều tra viên của Ericsson được gọi là tại vì những tin nhắn văn bản chưa được thực hiện, điều đầu tiên họ làm là xem xét chặt chẽ tại các bãi định kỳ. Họ tìm thấy hai lĩnh vực có chứa tất cả các số điện thoại đang được theo dõi và lấy ra một danh sách của họ.
Các nhà điều tra đã kiểm tra các bãi kỹ hơn và tìm thấy các chương trình giả mạo. Những gì họ tìm thấy mặc dù là dưới hình thức mã thực thi, nói cách khác, mã trong ngôn ngữ nhị phân mà bộ vi xử lý trực tiếp thực hiện. Mã thực thi là những gì kết quả khi một trình biên dịch phần mềm chuyển nguồn mã trong trường hợp của AXE, các chương trình bằng văn bản trong Plex ngôn ngữ vào máy tính mã nhị phân mà một bộ xử lý máy tính thực hiện. Vì vậy, các nhà điều tra sửa chữa xây dựng lại một xấp xỉ của các tập tin Plex nguồn gốc mà những kẻ xâm nhập phát triển. Hóa ra là tương đương với khoảng 6.500 dòng mã, một phần đáng kể đáng ngạc nhiên của phần mềm.
Các nhà nghiên cứu chạy các mô-đun trong môi trường mô phỏng để hiểu rõ hơn về hành vi của họ. Kết quả của nỗ lực này tất cả các điều tra là phát hiện của khu vực dữ liệu giữ số lượng khai thác và tem thời gian chặn gần đây.
Với thông tin này trên tay, các nhà điều tra có thể quay trở lại và nhìn vào bãi trước đó để thiết lập khoảng thời gian trong thời gian đó, nghe trộm điện thoại đã có hiệu lực và có được danh sách đầy đủ các số chặn và gọi dữ liệu cho khai thác các cuộc hội thoại, người gọi là người, khi , và trong bao lâu. (Các cuộc hội thoại thực tế đã không được lưu trữ trong các bản ghi.)
Trong khi hack phức tạp, các vòi nước tự đơn giản. Khi thủ tướng, ví dụ, bắt đầu hoặc nhận được một cuộc gọi trên điện thoại di động của mình, việc trao đổi sẽ thiết lập cùng một loại kết nối được sử dụng trong một hợp pháp nghe trộm điện thoại kết nối với một số bóng cho phép nó để lắng nghe cuộc trò chuyện.
Tạo ra các phần mềm lừa đảo để nó sẽ vẫn không bị phát hiện yêu cầu rất nhiều chuyên môn trong việc viết mã AXE, một khả năng bí truyền đó không phải là dễ dàng có sẵn trong hầu hết các nơi. Nhưng khi nó xảy ra, trong 15 năm qua, một phần đáng kể phát triển phần mềm của Ericsson cho AXE đã được thực hiện theo hợp đồng do một công ty Hy Lạp có trụ sở tại Athens, Intracom Telecom, một phần của Intracom Holdings. Cần biết làm thế nào là có sẵn tại địa phương và được lan truyền trên một số lượng lớn của các nhà phát triển Intracom hiện tại và quá khứ. Vì vậy, điều này có thể có được một công việc bên trong?
Các giai đoạn đầu của sự xâm nhập sẽ dễ dàng hơn nhiều để kéo với sự hỗ trợ của một người nào đó bên trong Vodafone, nhưng không có bằng chứng kết luận để hỗ trợ cho kịch bản. Xâm nhập các có thể được thực hiện từ xa và, thực sự, theo 1 báo cáo nhà nước, trong trường hợp các tin nhắn văn bản không thành công nơi các thời gian chính xác của sự kiện được biết đến, những người cuối cùng truy cập trao đổi đã được ban hành huy hiệu của khách truy cập.
Tương tự như vậy, chúng tôi không bao giờ có thể biết liệu Tsalikidis có bất cứ điều gì để làm với việc nghe trộm điện thoại. Nhiều nhà quan sát đã tìm thấy thời gian của cái chết của ông đánh giá cao gợi ý, nhưng cho đến ngày nay không có kết nối đã được phát hiện. Cũng không quan sát có thể làm nhiều hơn so với suy đoán động cơ của các xâm nhập. [Sidebar, "An Job Bên trong?" Tóm tắt các diễn đàn của đầu cơ hàng đầu thế giới, chúng tôi không có thể xác nhận cũng không bác bỏ các lý thuyết trình bày]
Cũng như chúng ta có thể không phải bây giờ biết đối với một số người đứng đằng sau vụ Athens hoặc động cơ của họ, chúng tôi chỉ có thể suy đoán về cách tiếp cận khác nhau mà những kẻ xâm nhập có thể đã theo sau để thực hiện cuộc tấn công của họ. Đó là bởi vì vật liệu quan trọng đã bị mất hoặc không bao giờ được thu thập. Ví dụ, trong tháng 7 năm 2005, trong khi cuộc điều tra đang diễn ra, Vodafone nâng cấp hai trong số ba máy chủ được sử dụng để truy cập hệ thống quản lý ngoại hối. Nâng cấp này bị xóa sổ các bản ghi truy cập và, trái với chính sách công ty, không có sao lưu đã được giữ lại. Một thời gian sau đó duy trì thời gian sáu tháng cho khách truy cập đăng ký trong cuốn sách mất hiệu lực, và Vodafone đã phá hủy những cuốn sách tương ứng với thời kỳ mà các phần mềm lừa đảo đã được sửa đổi, kích hoạt các lỗi văn bản, tin nhắn.
Dấu vết của việc cài đặt phần mềm lừa đảo có thể đã được ghi nhận vào các bản ghi giao dịch trao đổi. Tuy nhiên, do một lượng ít ỏi các không gian lưu trữ trong các hệ thống quản lý trao đổi, các bản ghi đã được lưu giữ cho chỉ có năm ngày, bởi vì Vodafone xem xét dữ liệu thanh toán, cạnh tranh cho cùng một không gian, rất nhiều quan trọng hơn. Điều quan trọng nhất, Vodafone Chấm dứt hoạt của phần mềm lừa đảo trên 07 Tháng 3 2005 gần như chắc chắn cảnh báo các âm mưu, tạo cho họ một cơ hội để tắt điện thoại bóng. Là một nhà điều tra kết quả đã bỏ lỡ cơ hội của triangulating vị trí của các điện thoại bóng và đánh bắt các thủ phạm trong hành động.
Vì vậy, vụ này có thể dạy cho chúng tôi về làm thế nào để bảo vệ các mạng điện thoại?
Một khi xâm nhập được phát hiện, Vodafone đã để cân bằng nhu cầu tiếp tục hoạt động của mạng lưới với sự phát hiện và truy tố của các bên có tội. Thật không may, các phản ứng của Vodafone và thực thi pháp luật Hy Lạp đều không đầy đủ. Thông qua hành động của Vodafone, dữ liệu quan trọng bị mất hoặc bị phá hủy, trong khi các thủ phạm không chỉ nhận được một cảnh báo rằng kế hoạch của họ đã được phát hiện nhưng cũng có đủ thời gian biến mất.
Trong ngành công nghiệp viễn thông, phổ biến thực hành tốt nhất yêu cầu rằng chính sách của nhà điều hành bao gồm các thủ tục để đáp ứng 1 xâm nhập, như một virus tấn công: giữ lại tất cả dữ liệu, Cô lập của hệ thống đó đang bị phá vỡ vào càng nhiều càng tốt, phối hợp hoạt động của pháp luật thực thi.
Hy Lạp liên bang viễn thông quy định cũng xác định rằng các nhà khai thác có chính sách an ninh chi tiết các biện pháp mà họ sẽ thực hiện để đảm bảo bí mật thông tin liên lạc của khách hàng và sự riêng tư của người sử dụng mạng. Tuy nhiên, phản ứng của Vodafone cho biết rằng các chính sách như vậy, nếu chúng tồn tại, đã được bỏ qua. Nếu không có cuộc họp báo và điều tra công cộng, thực thi pháp luật có thể đã theo dõi hành vi của các điện thoại di động bóng lén lút. Nhật ký hàng hải vật lý của du khách đã bị mất và các bản ghi dữ liệu đã bị phá hủy.Ngoài ra, không phải cơ quan thực thi pháp luật cũng không ADAE, an ninh độc lập và quyền riêng tư, đã được liên lạc trực tiếp. Thay vào đó, Vodafone Hy Lạp truyền đạt thông qua một kênh chính trị văn phòng thủ tướng. Cần lưu ý ADAE là một tổ chức khá mới vào thời điểm đó, thành lập năm 2003.
Phản ứng của các quan chức thực thi pháp luật Hy Lạp cũng để lại rất nhiều để được mong muốn. Cảnh sát có thể có bằng chứng bảo đảm bằng cách bắt đầu dâng nước tất cả các thiết bị viễn thông và máy tính liên quan đến vụ việc của Vodafone. Thay vào đó, nó xuất hiện lo ngại về sự gián đoạn hoạt động của mạng điện thoại di động dẫn đầu các cơ quan có thẩm quyền để có một phương pháp tiếp cận ánh sáng tay cơ bản phỏng vấn các nhân viên và thu thập thông tin được cung cấp bởi Vodafone mà cuối cùng dẫn đến sự mất mát bằng chứng pháp y. Cuối cùng, họ bắt đầu san lấp mặt bằng những lời buộc tội tại nhà điều hành (Vodafone) và nhà cung cấp (Ericsson), biến nạn nhân thành bị cáo và mất thiện chí của họ, trong đó tiếp tục cản trở điều tra của họ.
Tất nhiên, ở các nước nơi mà tội phạm công nghệ cao như vậy là rất hiếm, nó là bất hợp lý để mong đợi để tìm thấy một nhóm crack các nhà điều tra. Một lực lượng triển khai nhanh chóng có thể được thiết lập để xử lý sự cố cao cấp và kỹ thuật cao như vậy? Chúng tôi muốn tổ chức cảnh sát quốc tế Interpol tạo ra một đội phản ứng cyberforensics rằng các nước có thể gọi để xử lý sự cố như vậy.
Trao đổi điện thoại đã phát triển trong những thập kỷ qua vào các hệ thống dựa trên phần mềm, và do đó nhiệm vụ phân tích các lỗ hổng đã trở nên rất khó khăn. Ngay cả khi tính năng phần mềm mới, chẳng hạn như hội nghị truyền hình, tính di động số, và xác định người gọi, đã được nạp vào giao lưu, các phần mềm cũ vẫn còn tại chỗ. Tương tác phức tạp giữa các hệ thống con và mã hóa phong cách baroque (một số người trong số họ tàn dư của chương trình được viết cách đây 20 hoặc 30 năm) làm tiêu tan các nhà phát triển và kiểm toán viên như nhau.
Tuy nhiên, cơ chế bảo vệ hiệu quả chống lại virus, sâu, và rootkit phụ thuộc chủ yếu vào phân tích chuyên sâu có thể xâm nhập mã nguồn trong tất cả các tính không đồng nhất baroque. Ví dụ, một phân tích thống kê của các bản ghi cuộc gọi có thể cho thấy một mối tương quan giữa các cuộc gọi đến các số có bóng tối và các cuộc gọi đến các số theo dõi. Điện thoại công ty đã thực hiện phân tích sâu rộng về các loại dữ liệu để phát hiện các xu hướng của khách hàng. Nhưng từ quan điểm bảo mật, phân tích này được thực hiện vì những lý do sai và sai người tiếp thị như trái ngược đối với an ninh. Đào tạo nhân viên an ninh để sử dụng những công cụ này và cho phép họ truy cập vào những dữ liệu này, phân tích xu hướng khách hàng có thể trở thành một hiệu quả biện pháp đối phó chống lại phần mềm lừa đảo.
Các manh mối bổ sung có thể được phát hiện bằng cách kết hợp các bản ghi cuộc gọi được tạo ra bởi việc trao đổi với thanh toán và thông tin kế toán. Làm như vậy, mặc dù, liên quan đến việc hợp nhất dữ liệu riêng biệt đặt hiện đang thuộc sở hữu của các thực thể khác nhau trong tổ chức viễn thông.
Quốc phòng khác là thường xuyên kiểm toán của các loại cho phép Ericsson để khám phá những phần mềm lừa đảo bằng cách rà soát các bãi off-line. Tuy nhiên, trong trường hợp này, cũng như trong trường hợp phân tích dữ liệu, chúng tôi phải chắc chắn rằng bất kỳ phần mềm lừa đảo không thể sửa đổi các thông tin được lưu trữ trong các bản ghi hoặc các bãi, chẳng hạn như bằng cách sử dụng một máy tính giám sát riêng biệt chạy phần mềm riêng của mình.
Hệ thống kỹ thuật số tạo ra khối lượng lớn thông tin. Ericsson và Vodafone Hy Lạp đã có trong tầm tay của họ tất cả các thông tin cần thiết để khám phá ra sự xâm nhập của mạng Vodafone lâu trước khi một tin nhắn văn bản chưa được thực hiện gửi cho họ tìm kiếm. Cũng như trong các ngành công nghiệp khác, thách thức hiện nay là để đến với cách sử dụng thông tin này. Nếu một công ty kỹ thuật và lực lượng cảnh sát của một quốc gia không thể đáp ứng thách thức này, một đội phản ứng có thể cần phải được tạo ra.
Nó là đặc biệt quan trọng là không để biến các điều tra vào một cuộc săn đuổi. Đặc biệt là trong trường hợp thủ phạm không được xác định, nó thường chính trị thiết thực để sử dụng các nhà điều hành viễn thông như là một vật tế thần thuận tiện. Điều này chỉ khuyến khích các nhà khai thác và nhân viên của họ để đánh sự cố dưới thảm, và biến chúng thành kẻ thù của việc thực thi pháp luật. Thay vì tìm kiếm một người nào đó để đổ lỗi và trừng phạt, nó là tốt hơn để xác định chính xác những gì đã đi sai và làm thế nào nó có thể được cố định, không chỉ cho nhà điều hành cụ thể, nhưng đối với ngành công nghiệp như một toàn thể.
Chỉ đơn thuần là nói hoặc thậm chí legislating rằng các nhà cung cấp hệ thống và các nhà khai thác mạng không nên cho phép một cái gì đó như thế này xảy ra là vô nghĩa, bởi vì có rất ít có thể được thực hiện để các công ty này sau khi thực tế. Thay vào đó, biện pháp chủ động nên được thực hiện để đảm bảo rằng hệ thống như vậy được phát triển và hoạt động một cách an toàn. Có lẽ chúng ta có thể mượn một vài trang từ an toàn hàng không, nơi mà cả hai nhà sản xuất máy bay và các hãng hàng không được giám sát chặt chẽ của các cơ quan quốc gia và quốc tế để đảm bảo sự an toàn của hành khách hãng hàng không.
Các bài viết Wikipedia http://en.wikipedia.org/wiki/Greek_telephone_tapping_case_2004-2005 chứa các liên kết bổ sung cho báo chí những câu chuyện và vật liệu nền.
Ericsson hướng dẫn sử dụng Hệ thống Quản lý của Đánh chặn người sử dụng (được đánh dấu bí mật) có sẵn trên web thông qua tìm kiếm Google: http://www.google.com/search?q=IMS+ericsson+manual hoặc tạihttp://cryptome.org/ericsson -ims.htm 

No comments:

Post a Comment