![[Neben direkten Angriffen auf TK-Anlagen sowie über Telefon- und Internet-Relays, existieren häufig weitere Zugangswege zum internen Netz: z. B. RAS/Router, Fernwartungsmodems und-programme, Terminalserver]](6-1.jpg)
Auch heute gibt es über die Telefonleitungen noch etliche Wege zu internen Systemen und Netzen
Als Namensgeber für die Hacker-Technik des Wardialing stand der Film Wargames aus dem Jahr 1983 Pate: Ein Jugendlicher findet mittels eines Carrier-Scanners über das Telefonnetz einen Zugang in die militärischen Abwehrsysteme der USA (Norad) und löst fast einen Atomkrieg aus. Zwar bedient sich der Film der klischeetypischen Übertreibungen, die beschriebene Technik entsprach jedoch der Realität. Dass auch die beschriebene Bedrohung keineswegs utopisch war und auch heute noch ist, wird durch die jahrzehntelange Nutzung des Telefonnetzes durch Hacker (sog. Phreaker) eindrucksvoll bewiesen. Telefonanlagen- und -netzsicherheit sollte daher ein elementarer Bestandteil jeder Agenda sein, die sich mit dem Schutz kritischer Infrastrukturen auseinandersetzt.
Das Telefonnetz als klassische Form der Kommunikationsanbindung ist für die Mehrheit der IT-Sicherheitsverantwortlichen angesichts des omnipräsenten Schwerpunkts Internet eher ein Randthema. Während große Budgets für die Absicherung der Internetschnittstellen zur Verfügung stehen, ist die Prüfung der Telefonnetzinfrastruktur, zum Beispiel im Rahmen eines speziellen Penetrationstests, ein Punkt, an dem man gerne spart.
Auch heute gibt es über die Telefonleitungen noch etliche
Wege zu internen Systemen und Netzen
Die Telefonleitung als Transportmedium zu Rechnersystemen wird oft als Thema aus den 80ern abgehakt, während die Medien das Internet gewissermaßen als "Pforte zur Hölle" stilisieren. Beide Einschätzungen halten einer rationalen Betrachtung und Erfahrungswerten aus Penetrationstests nicht stand. Internetanbindungen stellen eine große Angriffsfläche auf die Kommunikationsinfrastruktur von Unternehmen dar; diese werden jedoch inzwischen regelmäßig überprüft. So muss sich ein Angreifer im Regelfall mit Firewall- und IDS-Systemen, mehrstufigen Netzwerkstrukturen und speziell gehärteten Softwareinstallationen auseinandersetzen – über Erfolg oder Misserfolg eines Angriffs entscheidet daher meistens exklusives Wissen über Schwachstellen.
Die Prüfung der Telefonnebenstellen eines Unternehmens mutet hingegen manchmal an wie eine Zeitreise in die Vergangenheit: Neben den "üblichen Verdächtigen" wie Remote Access Services (RAS), Fernwartungsports und PC-Anywhere-Zugängen findet man sehr häufig uralte Unix- und VMS-Installationen, nichtdokumentierte proprietäre Systeme und obskure Terminalserver. Für einen Auditor ist es zwar sehr interessant, sich mit Systemen aus seiner Sandkastenzeit auseinanderzusetzen; ihre Sicherheit entspricht aber leider ebenfalls nur den zu damaliger Zeit üblichen Standards.
Neben der weit verbreiteten irrtümlichen Vorstellung "man müsse ja die Zugangsnummern erst einmal kennen" und einem allgemein mangelndem Gefährdungsbewusstsein trägt die häufig vorherrschende Unkenntnis über die Gesamtheit aller angebunden Systeme zu einem besonders leichten Spiel für Angreifer bei. Erklärungsversuche aus der Retrospektive zeichnen immer das gleiche Bild: Über das Telefonnetz zugängliche verwundbare Systeme sind entweder in derart gewachsenen Strukturen heimisch, dass sich niemand mehr um sie kümmern mag, oder sie fallen ganz einfach nicht in den Zuständigkeitsbereich der jeweiligen Verantwortlichen, weil es sich um Fernwartungszugänge von Dienstleistern handelt.
Was menschlich durchaus verständlich ist, hat fatale Auswirkungen auf die Sicherheit eines Unternehmens: Neben dem alten 2400-bps-Postmodem verfügen die fraglichen Systeme oft auch über eine Netzwerkkarte, die direkt ans Intranet angebunden ist. Deshalb und weil Angriffe auf das Telefonnetz im Regelfall unbemerkt bleiben, ist die Überprüfung der Telefonnetzinfrastruktur für einen Angreifer auch heute ein erster logischer Schritt.
Angriff und Telefonnetzaudit laufen gleichermaßen in vier Schritten ab und ähneln in der grundlegenden Methodik der Analyse anderer Kommunikationsschnittstellen. An erster Stelle steht die Recherche aller relevanten Rufnummern(-blöcke). In einem zweiten Schritt werden die ermittelten Anschlüsse mithilfe eines so genannten Wardialers angerufen und analysiert. Ein Wardialer oder auch Carrier-Scanner ist ein Programm, das (halb)automatisch eine große Reihe von Rufnummern anruft und die Antworten auf für einen Angreifer interessante Gegenstellen prüft.
Gefundene Gegenstellen kann man grob in analoge (Sprache, Fax, Modem) und digitale Gegenstellen unterteilen (X.75, HDLC, V.110, V.120, sonstige ISDN-Protokolle). Ein Angreifer ist in erster Linie an Gegenstellen interessiert, die durch Computersysteme kontrolliert werden, um diese dann zu manipulieren. Im Fokus stehen daher in erster Linie Datengegenstellen: analoge Modem-Connects und digitale Datendienste. Zwar gibt es auch einige tongesteuerte Computersysteme (prominente Beispiele sind hier Voice-Mailbox-Systeme und CCIT5-Vermittlungsstellen), derartige Sprachgegenstellen sind jedoch in erster Linie für die Vorbereitung oder Durchführung von Social-Engineering-Angriffen interessant.
Neben den ermittelten Verbindungstypen und -protokollen sowie potenziellen Terminalemulationen steht die Identifikation des angerufenen Systems im Vordergrund. Besonders einfach gestaltet sich dies bei Systemen, die entsprechende Banner anzeigen oder PPP-Handshakes durchführen; aber auch proprietäre Protokolle, wie sie zum Beispiel bei TK-Anlagen zum Einsatz kommen, lassen sich mit entsprechenden Erfahrungswerten leicht identifizieren.
Auf Basis der Systeminformationen können eventuell vorhandene Schutzmechanismen umgangen werden, zum Beispiel durch das Ausnutzen von Standardpasswörtern, Escape-Sequenzen, Brute-Force-Angriffen oder vom System bereitgestellten Debug-Modi. Je nach Motivation des Angreifers kann dieser sowohl die lokal bereitgestellten Ressourcen und Informationen missbrauchen oder auch die vorhanden Netzschnittstellen nutzen, um auf benachbarte Systeme und Netze zuzugreifen.
Dass Angriffe über das Telefonnetz keineswegs ausgestorben sind, dürften besonders die Betreiber von Systemen schmerzlich merken, die eine Weiterleitung über eine 0800-Servicenummer eingerichtet haben. Rufnummernbereiche mit dem 0800-Prefix, die für den Anrufer kostenlos sind, werden mithilfe von Wardialern regelmäßig international auf erreichbare Systeme gescannt. Neben der reinen Neugierde ist hier offensichtlich das Verlangen, sich einen kostenfreien Internetzugang zu verschaffen, Motor der Aktivitäten.
Außer den Kosten, die dem Betreiber alleine durch den Anruf entstehen, besteht zudem das Risiko, dass die Angreifer selbst betriebene teure Servicenummern (0190-xxx usw.) anrufen, um entsprechend zu kassieren. Diese seit den 80ern als "Supporten" bekannte Vorgehensweise verschärft sich in dem Maße, in dem mehr Schnittstellen zu IP-Netzen hergestellt werden. Den Anfang haben die inzwischen berüchtigten 0190-Dialer im Consumer-Bereich gemacht, doch auch Firmen rücken zunehmend in den Fokus: Neben der klassischen Methode, gehackte TK-Anlagen für eigene Anrufe (inkl. weiteren TK-Anlagen-Scans) zu missbrauchen, bieten sich inbesondere Telematiksysteme mit CAPI- und TAPI- Schnittstellen an (Common ISDN bzw. Telephony Application Programming Interface).
Inzwischen bietet jeder Routerhersteller bei seinen Produkten für ISDN-Basisanschlüsse (S0-Bus bzw. Basic Rate Interface, BRI) oder Primärmultiplexanschlüsse (S2M-Bus bzw. Primary Rate Interface, PRI) eine per IP steuerbare Remote-CAPI. Alleine durch diese meist ungesicherten Schnittstellen kann man leicht die Kontrolle über mehrere hundert B-Kanäle bekommen und dabei alle Anonymisierungsmöglichkeiten des Internets nutzen. Der wichtigste Kontrollmechanismus, nämlich die Verfolgbarkeit eines Missbrauchs im Telefonnetz, hört spätestens am Übergang zu anderen Netzen auf zu funktionieren. In diesem Sinne müssen auch Voice-over-IP-Gateways besonders gut geschützt werden.
Das Telefonnetz erhält in punkto Verfügbarkeit und Ausfallsicherheit üblicherweise bessere Noten als Internetanbindungen. Dass dies keineswegs so sein muss, ist lediglich den Betreibern von Notrufnummern und TED-Systemen aufgrund von Planspielen und tatsächlichen Ausfällen oder Überlastungen bekannt. Im Gegensatz zum IP-Protokoll, das als paketorientierter Dienst und durch die entsprechenden Spezifikationen designbedingt sehr fehlertolerant ist, haben Telefonverbindungen als Punkt-zu-Punkt-Verbindungen keine eingebaute Ausfallsicherheit.
Vor dem Hintergrund medienwirksamer (Distributed-)Denial-of-Service-Angriffe haben viele Unternehmen für das Internet entsprechende Redundanzen geschaffen. Bei den auch heute noch unternehmenskritischen üblichen 30–120 Telefonleitungen geht man im Regelfall jedoch immer noch davon aus, dass sie "einfach funktionieren". Diese Sichtweise lässt die möglichen Multiplikatoreffekte außer Acht, die einem Angreifer auch im Telefonnetz zur Verfügung stehen: Über ferngesteuerte Computersysteme, deren kumulierte Leitungszahl diejenige eines Unternehmens bei weitem übertrifft, ist es leicht möglich, die Kapazität des Angegriffenen auszulasten und somit das Telefonsystem effektiv zu sabotieren. Inwiefern die Software der überlasteten TK-Anlagen und Vermittlungsstellen einem massiven Ansturm von Verbindungsaufbauten überhaupt standhält, ist dabei noch nicht einmal einkalkuliert.
Klassisches Wardialing ist analog/modemorientiert und kennt grundsätzlich nur die Typen Sprache, Fax und Modem-Connect. Spätestens mit der Einführung von ISDN in Europa ergeben sich jedoch eine Vielzahl neuer Möglichkeiten: Einerseits gibt es viele neue Datentypen im B-Kanal (bearer channel, Datenkanal) und D-Kanal (delta channel, Steuerkanal), die nun auch zu überprüfen sind, und andererseits ermöglicht die Analyse des D-Kanals, beziehungswese der entsprechenden CAPI-CODE-Äquivalente, weitergehende Aussagen über die Verbindungsstatus. So können zum Beispiel administrative Einstellungen einer TK-Anlage anhand von D-Kanal-Meldungen und Timingverhalten analysiert werden.
Auch das alte Problem der Skalierbarkeit des Scanvorgangs fällt weg: Dank des schnellen ISDN-Verbindungsaufbaus und PRI-Modulen mit 30 Leitungen lassen sich selbst größte Rufnummernblöcke schnell und effizient überprüfen. Leider basieren sowohl die (zumeist in den USA entwickelten) kommerziellen Telefonnetzscanner als auch die kostenlosen Hackertools nach wie vor auf einer Modemarchitektur, da ISDN außerhalb Europas kaum verbreitet ist. Zwar ist es möglich, mittels so genannter ISDN-Modems und Fossil-oder PORT-Drivern Modemverhalten zu emulieren, dies gilt jedoch jeweils nur für ein spezifisches ISDN-Datenprotokoll und ist somit für ein Blind-Scanning nicht geeignet. Erfahrungen aus Immutec-Analysen zufolge sind jedoch bereits etwa 40 % der Datennebenstellen digital – auf ISDN-Scans kann somit bei einer Sicherheitsprüfung nicht verzichtet werden. Immutec stellt daher das selbstentwickelte Tool tmap für den nicht-kommerziellen Einsatz und für Firmen, die selbstständig ihre Telefonnetzinfrastruktur testen wollen, kostenlos zur Verfügung (vgl. Kasten).
----------Anfang Textkasten----------
Klassische Carrier-Scanner basieren auf einer Modem-Architektur und sind auf die Prüfung analoger Gegenstellen optimiert. In Ländern mit hohem ISDN-Verbreitungsgrad offenbart dies jedoch ein schwerwiegendes Prüfungsdefizit: digitale Gegenstellen können entweder gar nicht oder nur mangelhaft analysiert werden. Die immutec GmbH hat sich daher entschlossen einen eigenen Scanner zu entwickeln. Als Software-API bot sich die CAPI 2.0 an, die einen Abstraktionslayer gegenüber ISDN-Hardware und -Treibern darstellt, ohne dabei an Mächtigkeit einzubüßen.
Die Vorteile liegen auf der Hand: Neben der Unabhängigkeit von der eingesetzten Hardware erhöht sich die Skalierbarkeit beliebig: Auch 30 und mehr Kanäle sind über die CAPI-Library gleichzeitig steuerbar. Dies ist besonders bei der professionellen Auditierung großer TK-Rufnummernblöcke wichtig, wo eine Prüfung mit Modems und ihren trägen Verbindungsaufbauten einen ganzen Park von seriellen Schnittstellen und Modems erforden würde. Neben solchen rein praktischen Belangen offenbart sich die ganze Mächtigkeit von ISDN bei der Analyse des D-Steuerkanals und der entsprechenden CAPI-Codes: Durch Informationen über Leitungszustand, Antwort und Timingverhalten lassen sich zuverlässige Aussagen über TK-Anlagentyp, Rufnummernbelegungen und eventuell geschaltete CallerID-Einstellungen ermitteln.
Da tmap in erster Linie für den Gebrauch im Rahmen von Penetrationtests gedacht ist, wurde einer Skriptbarkeit des Programms gegenüber einem grafischen Benutzer-Interface der Vorzug gegeben. Zudem übernimmt tmap das Vulnerability Assessment nicht selbstständig: Gefundene Systeme müssen von Hand auditiert werden. Eine entsprechende Verwundbarkeitsdatenbank einzubauen wäre zwar möglich, da jedoch gefundene Systeme im Regelfall individuelle Schwachstellen aufweisen, ist tmap für den Scanningvorgang optimiert und überlässt die Schwachstellenanalyse dem Auditor. In diesem Sinne stand auch die Namensgebung: Der Telephone Network Mapper (tmap) ist vor allem für Leute interessant, die sich beim IP-Äquivalent nmap heimisch fühlen.
tmap ist für den nicht-kommerziellen Einsatz und für Firmen, die selbstständig ihre Telefonnetzinfrastruktur testen wollen, kostenlos in einer auf einen B-Kanal beschränkten Version erhältlich. Das Programm kann unter www.immutec.com/htm/04products/tmap.html bezogen werden.
tmap stellt im Wesentlichen zwei Scan-Modi zur Verfügung:
Darüber hinaus kennt die aktuelle Version noch einen X75-DATA-Scan für ISDN-Terminals. Neben HDLC ist X.75 das am häufigsten verwendete Protokoll; der Modus ist vor allem für die Aufzeichnung von System-Bannern interessant. Die momentan in Entwicklung befindliche tmap-Version 1.2 wird zudem weitere wichtige Protokolle enthalten. Beim Scan-Anruf spielt tmap übrigens optional eine Audiodatei ab, um einen menschlichen Teilnehmer über den Sinn des Anrufs zu informieren.
----------Ende Textkasten----------
Der beste Schutz vor nicht autorisierten Zugriffen über das Telefonnetz ist eine praktizierte Security-Policy, die das TK-Netz miteinbezieht. An erster Stelle steht dabei die Bestandsaufnahme aller Telefonnetzschnittstellen. Diese sollten dann einer gründlichen Prüfung hinsichtlich ihrer Notwendigkeit unterzogen, Wartungszugänge von Dienstleistern von den anderen Netzen isoliert werden. Für die verbleibenden Zugänge bieten sich als geeignete Sicherung lediglich Token- oder One-Time-Password-Systeme mit Verschlüsselungsmechanismen an – Telefonleitungen können generell nicht als sicheres Transportmedium angesehen werden.
So genannte ISDN-Firewall-Systeme dienen bisher in erster Linie nur dem Schutz von TK-Anlagen mit D-Kanal-Wartung: Sie werden vor die TK-Anlagen geschaltetet und filtern unerlaubte Operationen aus dem Steuerkanal. Für den Schutz der angeschlossenen Nebenstellen eignen sie sich aufgrund ihrer begrenzten Filterkriterien eher weniger. Im Übrigen leiden solche Systeme unter dem gleichen Dilemma wie Paketfilter in der IP-Welt: Sie können Datenverbindungen einschränken, legitime Systeme müssen aber nach wie vor erreichbar sein. Da beispielsweise Voice-Mailboxen, aber auch andere Telekommunikationskomponenten häufig eine Weiterschalt-Funktion besitzen, können ISDN-Firewalls den Zugriff auf zu schützende Nebenstellen jedoch nicht in jedem Fall zuverlässig unterbinden.
Selten sind die Unterschiede zwischen dem Anspruch einer Security-Policy und der Wirklichkeit einer Ist-Analyse so groß wie bei einem Telefonnetzaudit – häufig als Resultat einer hohen Fremdverantwortung und Unübersichtlichkeit der Systeme. Eine Analyse der Telefonnetzschnittstellen ist daher für jedes Unternehmen im Rahmen eines Penetrationtests oder eines Eigen-Audits äußerst empfehlenswert.
Stephan Holtwisch ist Geschäftsführer
der immutec GmbH (![[externer Link]](../../../../images/link.gif)
www.immutec.com).
© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/6, Seite 6
