Systemy wykrywania nadużyć w sieciach telekomunikacyjnych
-
- Michał Sewera,
- 01.10.2003
O problemach ochrony przed nadużyciami w sieciach teleinformatycznych można również mówić w odniesieniu do warstwy usługowej. Jest to działanie na styku techniki i prawa, realizowane "o warstwę wyżej" niż w pozostałych przypadkach. Niejednokrotnie działania całkowicie prawidłowe z punktu widzenia obsługi i bezpieczeństwa samej sieci (np. zastosowanie translacji adresów sieciowych - NAT) mogą wiązać się z naruszeniem umowy z operatorem (w tym przypadku - podpięcie wielu komputerów zamiast jednego). Wykrycie i udowodnienie takich działań jest skomplikowane, wymaga analizowania charakterystyki ruchu użytkowników (urządzenia infrastruktury mogą tu dostarczyć odpowiednich informacji źródłowych), analizy danych itp. Niektórzy operatorzy bronią się przed podziałem łącza, dając użytkownikom proste modemy zamiast ruterów (np. TP do usługi Neostrada daje modemy Sagem ze złączem USB), albo przydzielają użytkownikom losowe adresy IP. Jest to jednak tylko utrudnienie i na dobrą sprawę nie rozwiązuje problemu. Użytkownik może bowiem kupić i podłączyć alternatywne urządzenie - choćby Linksys ADSL Gateway, zawierający czteroportowy przełącznik, ruter, firewall i gniazdo do modułu WLAN (TP może wyrazić zgodę, aby osoba mająca dostęp do usługi, lecz nie będąca jej abonentem, mogła z niej korzystać. Oznacza to, że opisane wyżej podłączenie dodatkowych użytkowników może nie naruszać umowy w obrębie jednego lokalu, ale już nie w kilku).
Z doświadczeń operatorów oraz integratorów systemów teleinformatycznych wynika, iż w wielu przypadkach luki w systemach zabezpieczeń przed nadużyciami wynikają z błędnej konfiguracji lub niedbalstwa osób zarządzających infrastrukturą. Jak twierdzą specjaliści z firmy Solidex, częstym zagrożeniem jest pozostawienie standardowych haseł administratora w urządzeniach sieciowych lub wręcz ich brak. Stwarza to nie tylko zagrożenie bezpośrednie, ale również pośrednie. čle skonfigurowane urządzenia sieciowe mogą służyć jako węzły do maskowania dróg ataku.
Badania firm konsultingowych wskazują, że chociaż wiele firm ma dobre systemy zabezpieczeń, to są one niewłaściwie skonfigurowane. Niezwykle istotnym problemem konfiguracyjnym w punktach styku z sieciami zewnętrznymi jest pozostawienie protokołów dynamicznego rutingu czy też innych specyficznych protokołów pozwalających na odkrycie infrastruktury sieciowej.
Biorąc pod uwagę usługi, jako niebezpieczne uważa się obecnie protokoły, takie jak telnet, rlogin, rsh, SNMP czy SMTP. Wiele problemów wiąże się też z samym TCP - błędy implementacji stosu TCP/IP otwierają również drogę do ataków typu DoS (Denial of Service).
Aby uniknąć problemów związanych z narażaniem systemu na ewentualne nadużycia, warto stosować tzw. zasadę konfiguracji minimalnej - nie należy konfigurować serwisów, z których nie będziemy korzystali. Często ustawienia standardowe stosowanych aplikacji otwierają intruzom dostęp do naszych zasobów.
Wykrywanie nadużyć w wielu przypadkach jest procesem bardzo złożonym, wymagającym zaangażowania wielu systemów pracujących równolegle. Co więcej, trudności obliczeniowe oraz liczba danych, które należy przetworzyć, wymagają podejścia wykorzystującego nowe rozwiązania, takie jak sieci neuronowe, eksploracja baz danych itp. Niestety, i tak nie pozwala to na wykrycie wszystkich przypadków nadużyć. Cóż każdy kij ma dwa końce - z jednej strony mamy coraz bardziej zaawansowane narzędzia stosowane przez operatorów, a z drugiej, coraz sprytniejszych oszustów, którzy potrafią znaleźć nawet najmniejsze luki w systemach zabezpieczeń. Trudno więc oczekiwać spektakularnych rezultatów. Oszuści byli, są i będą. Warto jednak zadać pytanie, na ile nowe rozwiązania wpłyną na ograniczenie zakresu wyrządzonych przez nich szkód.
Czas pokaże...
Przykładem nadużycia (o którym ostatnio było głośno na polskim rynku) są tzw. dialery, czyli programy instalujące się w systemie i zmieniające numer dostępowy do Internetu (z czego użytkownik zwykle nie zdaje sobie sprawy) z np. 0202122 na 0-700 (połączenia Premium Rate, za które pobiera się znacznie wyższe opłaty niż zwykle). Jak pokazują statystyki, spora część użytkowników komutowanego dostępu do Internetu ma słabe pojęcie o zasadach jego działania, dlatego też co miesiąc niemało osób pada ofiarą dialerów.
Kto na tym zarabia?
W przypadku Telekomunikacji Polskiej specyfika tej formy nadużyć wynika z organizacji podziału zysków z tytułu połączeń na numery 0-700 (50% TP SA, 50% do podziału pomiędzy jednego z kilku operatorów 0-700 a firmę będącą dostarczycielem treści i właściwym operatorem konkretnego numeru).
Wynika z tego, że tak naprawdę jedynym poszkodowanym jest tu abonent. Oczywiście, z technicznego punktu widzenia najlepszą formą zwalczania tego typu nadużyć byłoby stworzenie możliwości bezpłatnej, prostej i łatwo dostępnej blokady połączeń na 0-700 (na życzenie abonenta).
Takie działanie ze strony Telekomunikacji Polskiej prowadziłoby jednak do odcięcia pewnej części zysków, dlatego na razie obserwujemy tzw. medialne działania zastępcze, takie jak ogłoszenie konkursu na oprogramowanie zabezpieczające. Abonenci Telekomunikacji Polskiej mogą uniknąć problemów związanych z dialerami, wykupując usługę blokady drogich połączeń (miesięczna opłata - 3,66 zł).
W kwietniu Telekomunikacja Polska przedstawiła usługodawcom audioteksowym nowe umowy, które mają regulować wszystkie sprawy związane z usługami 0-700/0-701 i zabezpieczać interesy TP oraz wszystkich użytkowników usług audioteksowych. Według TP nowe umowy sprawią, że oszustwa staną się dla nieuczciwych twórców serwisów nieopłacalne. Integralną częścią nowych umów ma być kodeks etyki - "Zasady postępowania dla dostawców usług Linia TP 0-700...". Zapisano tam warunki, jakie będą musiały spełniać usługi 0-700/0-701, świadczone przez usługodawców audioteksowych. W nowych umowach szczególny nacisk położono na:
- konieczność "autoryzowania" dialerów przez TP;
- finansową odpowiedzialność usługodawców za nieprawidłowo działające dialery;
- dodatkowe wymagania (dialery będą musiały zawierać widoczną i jednoznaczną informację o podwyższonej opłacie, nie będzie możliwe, by dialer łączył sam ponownie po rozłączeniu bez akceptacji użytkownika, konieczna też będzie informacja o sposobie ich odinstalowania).
Bardzo często ofiarami nadużyć stają się również abonenci Telekomunikacji Polskiej korzystający z usługi SDI (stałego dostępu do Internetu). Także w tym przypadku podstawowym źródłem problemów jest niewiedza użytkowników.
W ramach usługi SDI jest oferowany dostęp ze stałego adresu IP, dlatego niezabezpieczony (np. bez zainstalowanej zapory ogniowej) i namierzony przez hakera komputer staje się doskonałym celem. Ponadto nieograniczony dostęp do Internetu często jest wykorzystywany przez osoby trzecie jako doskonałe źródło ataku (można podszyć się pod adres klienta usługi SDI).
Jest to szczególnie niebezpieczne, uwzględniając regulacje prawne - TP nie odpowiada za szkody wynikłe z korzystania z Internetu (w szczególności nie zapewnia ochrony danych znajdujących się w komputerze podłączonym do terminalu SDI).
Telekomunikacja Polska zajmuje się wyłącznie nadużyciami zgłoszonymi przez administratorów, użytkowników sieci lub organy ścigania i wymiaru sprawiedliwości z klas adresów IP przydzielonych TP.
Analiza zdarzeń jest prowadzona na podstawie logów serwerów zawartych w nagłówkach pakietów.
W ciągu miesiąca TP odnotowuje średnio ok. 20 tys. zgłoszeń. W około 70% źródło ataku stanowią wyłącznie klienci usługi SDI.
Obserwuje się jednak, że wiele z tych adresów jest tzw. adresami pośrednimi, które intruz wykorzystuje w celu ukrycia rzeczywistego źródła ataku.
Zgłoszenia dotyczą szczególnie nadużyć typu spam relay i pochodzą od użytkowników oraz administratorów z kraju i z zagranicy. Spam relay polega na zdalnym nieautoryzowanym rozsyłaniu spamu z serwerów pocztowych przez nieświadomych pośredników. Większość tego typu przypadków w Polsce jest spowodowana działalnością małych firm reklamowych z USA i Kanady. Spam jest wysyłany na polskie serwery pocztowe, gdzie jest przekierowywany bez wiedzy administratorów dalej za granicę.
