Usługa identyfikacji numeru dzwoniącego jest bardzo pożyteczna dopóty, dopóki nie traktuje się jej jako podstawy uwierzytelniania. Podszywanie się jest możliwe w tradycyjnych sieciach głosowych, ale usługi VoIP znacznie to ułatwiają.

Usługa identyfikacji numeru dzwoniącego jest w większości sieci telekomunikacyjnych. Wygoda użycia, a także poprawa obsługi wielu serwisów telefonicznych może skusić twórców systemów audiotekstowych lub dostępowych do stosowania uwierzytelnienia opartego na caller ID. Numer dzwoniącego wyświetla się prawie zawsze (chyba że ktoś zastrzeże numer i w ten sposób uniemożliwi jego prezentację), a większość systemów od razu potrafi wykorzystać numer dostarczany przez operatora. Nie ma więc przeszkód, by wykorzystać caller ID jako element uwierzytelnienia, ale... czy na pewno jest to bezpieczne?

Stare nie znaczy bezpieczne

Usługa identyfikacji dzwoniącego jest standardem w telefonii komórkowej, ale świadczą ją także wszyscy operatorzy telefonii stacjonarnej - zarówno dla linii ISDN, jak i analogowych. Przeszkodą może być jedynie zastosowanie przez operatora urządzeń uwielokrotniających, takich jak PCM2 (częste w wielu starszych realizacjach łączy TP SA), niemniej łącza firmowe raczej nie są multipleksowane.

Stosunkowo najbezpieczniejszym zastosowaniem jest wsparcie dla pracowników teleserwisu. Gdy dzwoni klient korzystający na przykład z usług wsparcia technicznego, pracownik może ustalić niektóre informacje jeszcze przed podjęciem rozmowy. Identyfikacja numeru jest wtedy bardzo pomocna, bowiem połączenie jej z dobrą bazą wiedzy może usprawnić działanie serwisu. Gdy wiadomo, że konkretna osoba niemal zawsze korzysta tylko z pewnych zasobów, można z dużą dozą prawdopodobieństwa przydzielić taką osobę do właściwej kolejki. Gdy sprawa dotyczy obsługi klienta, pracownik może od razu ustalić, że dana osoba prawdopodobnie dzwoni z domu (lub z pracy).

Dopóki nie używa się caller ID jako podstawy uwierzytelnienia, a jedynie jako pomocnicze źródło informacji o dzwoniącym, dopóty zagrożenie jest niewielkie. Gdy komuś to jednak przyjdzie do głowy (a zaręczam, przyszło nieraz i niejednemu), powstaje bardzo poważna luka w bezpieczeństwie, którą dobrze umotywowany osobnik obeznany z podstawami socjotechniki jest w stanie wykorzystać przeciw firmie lub operatorowi serwisu.

Usługa identyfikacji numeru dzwoniącego wydaje się dość bezpieczna, gdyż publiczni operatorzy przeważnie pilnują prawidłowości prezentacji. Z punktu widzenia końcowego użytkownika numery albo wyświetlają się prawidłowo, w całości, albo wyświetla się pierwszy numer ISDN, względnie część numeru (bez ostatnich kilku cyfr). Gdy zaś numer się nie wyświetla, niektóre systemy rozróżniają brak prezentacji od zastrzeżonej prezentacji. Potrafi to nawet stary telefon Motorola D160, który wyświetla komunikat "anonim", gdy numer jest wysyłany, ale zastrzeżony, i komunikat "niedostępny" gdy identyfikacji nie ma.

Powyższe rozróżnienie jest w praktyce ważne. Jeśli operator informuje, że nie ma możliwości identyfikacji dzwoniącego, świadczy to, że centrala dzwoniącego nie obsługuje sygnalizacji SS7 - być może jest starą centralą analogową. Wszystkie służby publiczne (policja, straż pożarna, pogotowie ratunkowe itp.) korzystają z tych technologii. To dla nich przewidziana jest opcja Supervisory CLIP, pozwalająca na wyświetlanie numeru dzwoniącego nawet gdy jest on zastrzeżony. W przypadku połączenia z centrali analogowej wyświetlany jest identyfikator centrali.

W niektórych firmach dla podwyższenia bezpieczeństwa wysyłanych i odbieranych faksów stosuje się identyfikację numeru połączoną ze sprawdzaniem nagłówka dokumentu. Faks z wielu względów nie jest dokumentem, który można obdarzać wielkim zaufaniem i próby poprawienia jego bezpieczeństwa są całkiem uzasadnione. Szkopuł w tym, że sprawdzenie caller ID nadawcy wcale nie oznacza, że dokument przyszedł spod określonego numeru. Istnieją techniki podszywania się, pozwalające na prezentację u odbiorcy numeru innego niż ten, z którego nadawany jest faks.

Wiedząc to, co najmniej dziwi, że w niektórych firmach caller ID jest wykorzystywane nie do podnoszenia wiarygodności faksów, ale do... uwierzytelnienia w firmowej sieci. Z pewnością ułatwia to zdalną pracę, ale jednocześnie w prosty sposób może stać się poważnym zagrożeniem. Co prawda intruz musiałby posiąść nie tylko dane dostępowe (numer inicjujący i numer serwera dostępowego), lecz także możliwość zmiany prezentacji numeru dzwoniącego, ale nie jest to niemożliwe.

VoIP i nowe zagrożenia

Obecnie nastąpił bardzo dynamiczny rozwój telefonii internetowej - technologia VoIP zdobywa przebojem coraz nowych użytkowników. Dzięki udostępnieniu łatwego styku między łączem internetowym oraz publiczną siecią telefoniczną fałszowanie numeru wyświetlanego u odbiorcy jest zdecydowanie prostsze. Zdarzały się już przypadki wyłudzeń opierających się na podszywaniu, a przyznać trzeba, że nie jest to specjalnie trudne.

Wystarczy konto u dostawcy usługi VoIP z protokołem SIP obsługującego wysyłanie informacji caller ID (może być w Polsce - niekoniecznie trzeba w tym celu uciekać się do wykupywania usług w egzotycznym kraju), komputer z systemem Linux z programową centralką telefoniczną open source o nazwie Asterisk, telefon VoIP oraz trochę wiedzy w konfiguracji usług Asteriska.

Użycie właściwych słów kluczowych w wyszukiwarce prowadzi do stron, które bardzo szczegółowo opisują co trzeba zrobić. Gotowe dokumenty opisują krok po kroku konfigurację Asteriska, łączenie się z dostawcą usług VoIP i tak dalej. Podszywanie się jest szczególnie łatwe przy połączeniach z telefonią komórkową - kompresja ogranicza jakość połączenia i dzięki temu utrudnia rozpoznanie po głosie.

Ponadto użytkownik telefonu komórkowego zazwyczaj posiada wpisane numery do książki telefonicznej i aparat wyświetla nazwę wpisu, a nie numer, co ma znaczenie psychologiczne.

W przypadku firm stosujących wybieranie skrócone (tzw. sieć firmowa) pracownicy korzystający z połączeń wewnątrzfirmowych posługują się skróconymi numerami telefonów - najczęściej czterocyfrowymi. Wyświetlenie sfałszowanego numeru skróconego jest trudniejsze, bowiem jest on używany do taryfikacji. Niemniej znane są przypadki takich oszustw dokonywanych z powodzeniem. To samo dotyczy linii typu 0-800. Proszę zwrócić uwagę, że w przypadku sieci firmowej rozmówca jest przeważnie od razu przekonany, że dzwoni inny pracownik przedsiębiorstwa. Wprawny socjotechnik to z pewnością wykorzysta.

Nie wszyscy potrafią skonfigurować Asteriska i dla nich właśnie powstała usługa komercyjna, która umożliwia dzwonienie na wybrany numer z dowolnie ustawioną prezentacją numeru. Ponadto możliwe jest zmodyfikowanie dźwięku za pomocą technologii DSP, tak by całkowicie zmienić jego brzmienie. To wszystko zapewnia operator serwisu - wystarczy wykupić usługę i posłużyć się wybieraniem tonowym przy inicjowaniu połączenia. Na razie usługa ta jest dostępna tylko na terenie USA, ale niebawem zostaną uruchomione połączenia międzynarodowe.

Opisana wyżej usługa podszywania się to tylko zabawa, umożliwiająca zrobienie dobrego kawału znajomym. Gdyby jednak z tego skorzystał wprawny socjotechnik, realizacja przelewu za pomocą sfałszowanego faksu popartego stosownym telefonem z "prawidłową" identyfikacją prawdopodobnie by się udała. Podobnie zadziałałoby skorzystanie z infolinii stosującej caller ID do uwierzytelnienia drugiej strony. W świetle takich możliwości nieuprawniony dostęp do sieci firmowej za pomocą modemu jest naprawdę prosty.

Kilka zdrowych zasad

Jeśli identyfikacja numeru spełnia pożyteczną rolę, niech spełnia ją nadal. Warto jednak upewnić się, że firma nie polega na identyfikacji numeru jako podstawie uwierzytelnienia. Aby zabezpieczyć się przed prostymi próbami ataków socjotechnicznych, warto sporządzić spis numerów telefonów wraz ze stosownymi informacjami o ich lokalizacji. W razie jakichkolwiek wątpliwości należy przerwać połączenie pod dowolnym pretekstem i oddzwonić pod numer ze spisu telefonów. W większości przypadków wystarczy oddzwonić na numer wyświetlany, bowiem zmiana trasy połączenia wymagałaby włamania do centrali telefonicznej, co jest raczej mało prawdopodobne.

W przypadku automatycznego systemu obsługi (IVR) należy stosować uwierzytelnienie polegające na hasłach, zaś identyfikację numeru zachować do celów wczesnego wykrywania nadużyć, ewentualnie do pozycjonowania klienta w kolejkach obsługi. Nigdy nie należy stosować uwierzytelnienia opartego na identyfikacji numerów przy dostępie do sieci za pomocą serwera dostępowego odbierającego bezpośrednie połączenia modemowe. Na szczęście rozwój połączeń szerokopasmowych oraz technologii mobilnych wraz z nowymi systemami zdalnego dostępu sprawia, że bezpośrednie połączenia modemowe odchodzą do lamusa.