[Chaos CD]
[Contrib] [Sicherheit im ISDN]    Kapitel 3: Angriffe auf den D-Kanal und die Vermittlungsstellen
[Gescannte Version] [ -- ] [ ++ ] [Suchen]  

 

Kapitel 3: Angriffe auf den D-Kanal und die Vermittlungsstellen

Kapitel 3: Angriffe auf den D-Kanal und die Vermittlungsstellen 12

Der D-Kanal und die Vermittlungsstellen

Einleitung

Im letzten Kapitel wurden die Angriffspunkte in Endgeräten und innerhalb von TK-Anlagen beschrieben. Der mögliche Schaden ist dort zunächst auf einen Benutzer beziehungsweise auf einen Betreiber beschränkt.

Der nun betrachtete D-Kanal hat eine größere Reichweite und damit ein größeres Schadenspotential.

Jeder ISDN-Anschluß verfügt neben den B-Kanälen (Nutzkanäle) auch über einen oder mehrere D-Kanäle. Über diese werden Informationen für die Steuerung der B-Kanäle übermittelt.

Der ISDN-D-Kanal

Das gesamte ISDN-Protokoll ist sauber nach dem ISO/OSI-7-Schichten-Modell aufgebaut. Die unteren drei Schichten stellen zusammen das D-Kanal-Protokoll1 dar. Die darüberliegenden Schichten sind abhängig vom verwendeten Dienst im B-Kanal. Bei der transparenten 64 kBit/sec-Datenübertragung sind sie nicht genormt, bei Diensten, für die es spezielle Endgeräte gibt (Telefax Gruppe 4, Bildtelefon etc.) müssen sie genormt sein.

Aufgaben des D-Kanals

Im heute noch bestehenden analogen Fernsprechnetz werden die Steuerungsinformationen auf zwei verschiedene Weisen ausgetauscht:

Im völlig analogen System werden Wahlinformationen und das Abheben und Auflegen des Hörers über Kurzschluß/Unterbrechung der Leitung signalisiert. Im analogen System mit digitalisierten Vermittlungsstellen kommt auch das Tonwahlverfahren zum Einsatz. Dabei wird eine zu wählende Ziffer durch die Kombination aus zwei verschiedenen Tönen dargestellt. Dies geschieht aber in jedem Fall im „Sprachkanal“ - einen anderen gibt es im analogen Netz nämlich nicht.

Wegen der damit verbundenen Nachteile hat man sich im ISDN von dieser „inband“-Signalisierung verabschiedet und ist zur „outband“-Signalisierung übergegangen. Im eigens dafür geschaffenen D-Kanal werden die Informationen zur Steuerung einer Verbindung zwischen Endgerät und Vermittlungsstelle übertragen. Daneben werden große Mengen unterschiedlicher Informationen ausgetauscht. Das hängt zum einen mit der Integration der verschiedenen Dienste2 zu einem einzigen Netz und zum anderen mit den dort zusätzlich angebotenen Komfortmerkmalen zusammen. Gemeinsam verursachen sie ein so hohes Datenaufkommen, daß man sich entschied, einen eigenen Kanal, den D-Kanal einzusetzen. Damit stehen die B-Kanäle in voller Bandbreite von 64kBit/sec für den Benutzer zur Verfügung. Außerdem können so Steuerinformationen übertragen werden, ohne gleichzeitig einen B-Kanal zu belegen.3

Aufbau des D-Kanals4

Schicht 1 - physikalische Schicht

Die „physikalische Schicht“ legt fest, wie die Signale elektrisch oder über eine Glasfaserleitung übertragen werden. Sie beschreibt, wie einzelne Bits über eine physikalische Leitung zu übertragen sind.

Schicht 2 - Sicherungsschicht

Die „Sicherungsschicht“ regelt die Paketisierung der Datenströme, die quittierte und die unquittierte Nachrichtenübermittlung und die Fehlerkorrektur. Sie ist für das wie der Steuerung zuständig und wurde in den Normen ITU-T Q.9205 und Q.9216 international festgelegt.

Schicht 3 - Vermittlungsschicht

Die „Vermittlungsschicht“ stellt einzelne Funktionen und Parameter bereit, die für die Steuerung der B-Kanäle benötigt werden. Sie wurde in ITU-T Q.9317 und Q.9328 genormt und regelt, was zur Steuerung übertragen wird. Dazu gehören zum Beispiel die gewählten Ziffern, Signalisierung ankommender Rufe und die Übertragung von Gebührendaten.

Die Nachrichten der Schicht 3 lassen sich in zwei Klassen teilen:9

Die verbindungsorientierten Nachrichten werden verwendet, um einen B-Kanal zu steuern. Dazu gehören Nachrichten für

  • Verbindungsauf- und abbau

  • allgemeine Anwendungen

  • verbindungsabhängige Dienstmerkmale10

  • die Endgeräte-Portabilität

  • Zustandsanzeige

  • Teilnehmer-zu-Teilnehmer-Information.

Die verbindungslosen Nachrichten werden unabhängig von einem B-Kanal verwendet, um Informationen zwischen Teilnehmeranschluß und Vermittlungsstelle auszutauschen. Dazu gehören Nachrichten für

  • verbindungsunabhängige Dienstmerkmale11 (z.B. Rufumleitung)

  • Dienstmerkmalabfragen

  • Editierfunktionen.

Bitfehlerrate

Durch störende Umwelteinflüsse - aber auch durch Manipulation an den Leitungen - können die Daten bei der Übertragung verfälscht werden. In der Schicht 2 des D-Kanal-Protokolls werden geeignete Maßnahmen eingesetzt, um solche Fehler zu erkennen.12

Die Schicht 1 gewährleistet nach offiziellen Aussagen ohne Fehlererkennung eine Bitfehlerrate von 10-6. Wenn doch einmal ein Fehler auftritt, wird dieser mit einer Wahrscheinlichkeit von nur 10-5 in der Schicht 2 nicht erkannt und korrigiert. Dadurch gewährleistet sie als Dienstleister für die Schicht 3 eine Bitfehlerrate von 10-11. Das heißt, in einem B-Kanal tritt im Mittel alle 15 Sekunden ein Bitfehler auf. Aber nur jeder hunderttausendste Fehler wird nicht erkannt. Bei einer Standleitung ist das im Mittel ein Bit alle 17 Tage. Diese verbleibenden Fehler müssen in einer höheren Schicht durch Prüfsummen oder ähnliches erkannt und abgefangen werden.

Übersteigt die Bitfehlerrate 10-2 über einen Zeitraum von zehn Sekunden, so schaltet die Vermittlungsstelle den betroffenen Anschluß automatisch ab. Er wird dann von einem Servicetechniker geprüft.

Reichweite des D-Kanals

Gemäß CCITT13 kann man für das D-Kanal-Protokoll folgende Einsatzgebiete unterscheiden:14

Punkt-zu-Punkt-Verbindung

Dabei wird an beiden Enden der Leitung nur je ein Endgerät angeschlossen. Die beiden haben also die Leitung exklusiv für sich. Eine solche Verbindung wird für (meist große) TK-Anlagen und für die Verbindung von Rechnernetzwerken verwendet.

Punkt-zu-Mehrpunkt-Verbindung

Dabei wird an einem Ende der Leitung nur ein Gerät angeschlossen. Das kann die Vermittlung oder eine TK-Anlage sein. Am anderen Ende können an einem passiven Bus bis zu acht Endgeräte angeschlossen werden. Da sich die Endgeräte die Leitung teilen, ist ein Unterscheidungsmechanismus notwendig: Jedes Endgerät bekommt eine eindeutige Adresse15 zugewiesen. Diese Konfiguration wird beim Basisanschluß oder innerhalb von TK-Anlagen verwendet.

Zwischen der Vermittlungsstelle und dem Endgerät

Bei beiden oben genannten Verbindungstypen kann die Ortsvermittlungsstelle des Netzbetreibers auf der einen Seite der Verbindung stehen. Sie ist immer alleine an die Leitung angeschaltet. Am anderen Ende können sich ein oder mehrere Endgeräte befinden.

Zwischen der TK-Anlage und dem Endgerät

Große TK-Anlagen sind im Prinzip ein Abbild einer (Orts-)Vermittlungsstelle. Sie können deshalb in beiden Verbindungstypen an die Stelle der Ortsvermittlung treten. Dann tritt folgende Konfiguration auf:


Hierbei gibt es auf einer Seite einer Verbindung zweimal einen D-Kanal: Zwischen der Ortsvermittlung und der TK-Anlage und zwischen der TK-Anlage und dem Endgerät. Die TK-Anlage kann entweder die D-Kanal-Pakete von der Ortsvermittlungsstelle auf den internen D-Kanal durchreichen16 oder selbst die dort benötigten Pakete generieren.17

Auf einem 16 (D16) oder 64 kBit-D-Kanal (D64)

Alle oben geschilderten Kombinationen können über einen 16 oder einen 64 kBit/sec breiten D-Kanal arbeiten. Dabei gehört zu einem Basisanschluß mit zwei B-Kanälen ein 16 kBit/sec breiter D-Kanal, zu einem Primärmultiplexanschluß mit 30 B-Kanälen einer mit 64 kBit/sec Übertragungskapazität. Diese verhältnismäßig hohe Kapazität wird aber nur selten - zum Beispiel beim Verbindungsaufbau - voll genutzt.

Deshalb ist auch die Übertragung von Nutzinformationen über den D-Kanal vorgesehen. Damit lassen sich zum Beispiel Datex-P18 oder Temex-19Anwendungen realisieren.

Innerhalb einer Kommunikationsbeziehung sind die oben genannten Konfigurationen beliebig kombinierbar. So kann beispielsweise ein Teilnehmer an einer ISDN-TK-Anlage über das ISDN einen Teilnehmer an einem Basisanschluß anwählen. Denn der D-Kanal existiert auf beiden Seiten einer Verbindung nur zwischen Benutzer und der dazugehörigen Ortsvermittlungsstelle. Er ist also kein durchgehender Kanal von einem Ende der Verbindung zum anderen. Zwischen den Vermittlungsstellen werden die Steuerungsinformationen über das Zeichengabesystem (ZGS)-7-Netz ausgetauscht. Das ZGS-7 ist Thema des nächsten Kapitels.

Ablauf eines Telefonats aus Sicht des D-Kanals

Das folgende Bild zeigt den Ablauf im D-Kanal beim Aufbau einer Verbindung zwischen zwei Teilnehmern. Zahlreiche Nachrichten werden zwischen dem A-Teilnehmer20 und seiner Vermittlungsstelle, zwischen dem B-Teilnehmer und seiner Vermittlungsstelle sowie zwischen den beteiligten Vermittlungsstellen ausgetauscht:

aus: [kah92] Seite 162

  • Der Benutzer am Endgerät A1 nimmt den Hörer ab

  • A1 sendet „SETUP“ auf dem D-Kanal

  • Seine Vermittlungsstelle ist bereit und antwortet mit „SETUP ACKnowledge“

  • gleichzeitig wird ein B-Kanal zwischen A1 und UrsprungsVSt geschaltet

  • Der Benutzer an A1 gibt nacheinander die Ziffern ein

  • Das Endgerät A1 sendet sie in „INFO“-Nachrichten verpackt

  • Wenn genügend Ziffern vorliegen, wird die Zielvermittlungsstelle informiert

  • Sie schickt ein „SETUP“ zu allen Endgeräten bei Teilnehmer B

  • Die Geräte klingeln und teilen dies der Vermittlungsstelle mit („ALERT“)

  • Am Endgerät B1 wird der Hörer abgenommen

  • Es sendet „CONNect“, um die Verbindung von der VSt anzufordern

  • Die Zielvermittlungsstelle sendet „CONNect ACKnowledge“ zu B1

  • und „RELease“ zu B2

  • B2 hört auf zu klingeln und bestätigt mit „RELease ACKnowledge“

  • Die Zielvermittlungsstelle informiert die Ursprungsvermittlungsstelle

  • Diese sendet „CONNect“ zum Endgerät A1

  • Das Antwortet mit „CONNect ACKnowledge“

  • Der B-Kanal ist nun durchgeschaltet, die beiden Endgeräte kommunizieren

Angriffe auf den D-Kanal

Durch die neue „outband“-Signalisierung21 sind einige der Angriffe auf das Telefonnetz schwieriger geworden. Im analogen Netz hatten zahlreiche Kriminelle mit dem beliebten „blue-boxing“ und mit sogenannten auto-dialern Erfolg. Das blue-boxing wird im nächsten Kapitel beschrieben, auto-dialer in Abschnitt .

Im Folgenden werden einzelne Angriffe wie Abhören und Aufschalten beschrieben.

Abhören

Im analogen Netz braucht man dafür nur einen handelsüblichen Telefonapparat, dessen Kabelenden man mit Krokodilklemmen versieht. Damit kann man sich an irgendeiner Stelle zwischen Telefonkunde und Vermittlungsstelle auf die Leitung aufschalten, mithören und auch selbst telefonieren.

Zum Aufklemmen auf einen ISDN-Anschluß braucht man wegen des dort verwendeten Echokompensationsverfahrens schon ausgefeiltere Technik

Das Echokompensationsverfahren22:

Eine zentrale Vorgabe bei der Einführung des ISDN in Deutschland war, die vorhandenen Teilnehmeranschlußleitungen weiterhin verwenden zu können. In den Zeiten der analogen Technik wurden von den Ortsvermittlungsstellen zu den Teilnehmern zwei Kupferdrähte verlegt. Damit man bei Einführung des ISDN nicht die gesamte Verkabelung erneuern mußte, hat man sich für den Einsatz des Echokompensationsverfahrens entschieden.

Beim Anschalten des Netzabschlusses23 an die Vermittlungsstelle synchronisieren sich die beiden. Ab dann zieht jede Seite vom Empfangenen Signal den gerade selbst gesendeten Teil ab und erhält so das Signal der Gegenstelle.

Das Signal, das sich gerade auf der Leitung befindet hängt also immer von dem vorher gesendeten ab - außer im Anfangszustand.

Die Einführung des Echokompensationsverfahrens ist der Grund, weshalb beim Basisanschluß auf Teilnehmerseite ein Netzabschluß installiert werden muß: Er führt die aufwendige Echokompensation durch. Ab dem NT wird die weitere Installation vieradrig ausgeführt (der sogenannte S0-Bus), so daß je zwei Adern für beide Richtungen zur Verfügung stehen.


Mit speziellen Abhöreinrichtungen kann man sich hochohmig auf die Leitung aufschalten und mithören. Um das Signal richtig interpretieren zu können, muß man die Verbindung in den Anfangszustand versetzen. Dazu kann man kurz die Leitung unterbrechen. Wenn gerade kein B-Kanal in Benutzung ist, bleibt die Unterbrechung unentdeckt.

Möglicherweise kann man sich auch aufsynchronisieren, ohne die Leitung zu unterbrechen. Da bestimmte Bitfolgen nur in einer Richtung, andere nur in der anderen Richtung auftreten und der Ablauf eines Verbindungsaufbaus genormt ist, reicht es möglicherweise, eine Weile zu lauschen, um dann alle folgenden Nachrichten verstehen zu können.

Wenn man allerdings in das Geschehen auf der Leitung aktiv eingreifen will, muß man die Leitung auftrennen und sich selbst als neues Leitungsende mit einem NT und ISDN-Endgerät oder mit einem Prüftelefon wie dem PrTel 93i24 aufschalten. Dann kann der Teilnehmer aber nicht mehr selbst kommunizieren.

Mit Hilfe noch ausgefeilterer Technik kann man sich womöglich auch in eine bestehende Verbindung hineinschalten und manipulieren. Man spielt dann nach der man-in-the-middle-Methode beiden Seiten die jeweils andere vor:

Wenn es einem Angreifer erst einmal gelungen ist, sich so zwischen Vermittlungsstelle und Teilnehmer zu schalten, kann er beliebige Pakete auf dem D-Kanal erzeugen und diese an den Teilnehmer oder die Vermittlungsstelle schicken.

In Richtung der Vermittlungsstelle kann der Angreifer alles, was auch der Teilnehmer könnte: Er kann auf dessen Kosten und unter dessen Kennung (Rufnummer) telefonieren oder Daten übertragen, Rufumleitungen einrichten oder verändern und in begrenztem Umfang den Teilnehmeranschluß umkonfigurieren.

In der anderen Richtung kann der Angreifer alles, was die Vermittlungsstelle in Richtung Teilnehmer auch kann: Er kann beispielsweise ankommende Gespräche mit beliebiger Anrufernummer erzeugen.

Darüber hinaus kann er auch Pakete schicken, die die Vermittlungsstelle nie erzeugen würde, weil sie unsinnig oder unzulässig sind. Da die Endgeräte damit nicht rechnen, kann er sie so in einen Zustand bringen, der normalerweise nicht vorgesehen ist. Damit lassen sich möglicherweise Räume oder Gespräche abhören oder Ähnliches.

Abhören des Busses

Die Verkabelung ab dem network terminator (NT) ist in Vierdraht-Technik als Bus ausgeführt. An diesen Bus werden die einzelnen Endgeräte - gegebenenfalls über einen Terminaladapter - angeschlossen.

Auf dem Bus werden die beiden B-Kanäle und der D-Kanal im Zeitscheibenverfahren übertragen. Die Endgeräte hören ständig auf dem D-Kanal mit, um für sie bestimmte Pakete zu empfangen und - beispielsweise bei einem Anruf - darauf zu reagieren.

Mit Hilfe eines modifizierten Endgeräts kann man den Bus vollständig abhören und auswerten. So ist es zum Beispiel möglich, alle kommenden und gehenden Anrufe eines Endgeräts zu protokollieren - mit Datum, Uhrzeit und vollständiger(!) Nummer des Gesprächsteilnehmers. Darüber hinaus kann man auch den Inhalt der beiden B-Kanäle abhören und aufzeichnen.

Die Firma Siemens bietet beispielsweise ein Gerät namens DataVoice25 an, mit dem bis zu 32 B-Kanäle gleichzeitig aufgezeichnet und archiviert werden können. Sein eigentliches Einsatzgebiet liegt bei Notrufabfragestellen der Polizei, der Feuerwehr und der Rettungsdienste. Doch darauf ist es natürlich nicht beschränkt. Dem Mißbrauch sind dank der digitalen Technik keine Grenzen gesetzt. Einzige Voraussetzung ist Zugriff auf den Bus zwischen dem NT und den Endgeräten.

Im Internet sind kostenlose Programme erhältlich, mit denen man den D-Kanal eines S0-Bus protokollieren kann. Man benötigt nur eine ISDN-Karte für den PC, die am betreffenden Bus angeschlossen wird. Dann werden alle kommenden und gehenden Gespräche aufgezeichnet und lassen sich mit dem PC komfortabel auswerten.

Neben diesen Angriffen auf den D-Kanal sind auch Angriffe über den D-Kanal auf die Vermittlungsstelle oder auf die daran angeschlossenen Endgeräte einzelner Anschlüsse möglich. Sie werden im Folgenden beschrieben.

Vermittlungsstellen

Im vorangegangenen Kapitel wurden die Schwachstellen in den Endgeräten und die sich daraus ergebenden Probleme behandelt. Auf diese hat der Benutzer noch gewissen Einfluß, denn er wählt die Endgeräte aus einer breiten Angebotspalette auf dem freien Markt aus. Bei Telefonanlagen ist die Wahl schon etwas eingeschränkt: Die meisten - insbesondere die größeren - TK-Anlagen funktionieren nur mit den dazugehörigen Endgeräten desselben Herstellers, weil sie proprietäre Protokollerweiterungen nutzen. Aber zumindest den Hersteller kann sich der Benutzer nach ihm wichtigen Kriterien aussuchen. Gar keinen Einfluß hat er bei den Vermittlungsstellen, an die die Endgeräte angeschlossen werden. Im Bereich der Deutschen Telekom gibt es nur zwei Typen von Teilnehmervermittlungsstellen: Die EWSD von Siemens und die S12 von SEL-Alcatel.

An welche ein Benutzer angeschlossen wird, bestimmt sein Wohn- bzw. Standort und nicht sein Wunsch.

Die Vermittlungssoftware

Die Software für die Vermittlungsstellen wird salopp als „Dinosaurier“ bezeichnet, zum einen wegen ihres Alters und zum anderen wegen ihrer Größe.

Die Software ist in ihren Grundzügen schon sehr alt und wurde über die Jahrzehnte kontinuierlich weiterentwickelt und an neue Anforderungen angepaßt. Einmal jährlich wird eine neue Softwareversion freigegeben. Die Grundlage der heutigen Vermittlungssoftware stammt zum Teil noch aus den sechziger Jahren.

Zum anderen ist sie mit vielen Millionen Zeilen Code so groß, daß sie kein einzelner Mensch mehr verstehen kann. Das bringt Probleme mit sich:

Niemand weiß genau, ob die Software fehlerfrei ist. Man kann davon ausgehen, daß sie es also nicht ist. In jedem Update sind zwar alte Fehler beseitigt, da aber gleichzeitig neue Funktionen hinzukommen, können sich auch neue Fehler einschleichen. Aber es weiß auch niemand, wann und wo ein Fehler auftreten wird und wozu dieser führt.

Mir wurde zum Beispiel berichtet, daß jemand Anfang 1997 unbeabsichtigt ein Telefongespräch einer Firma mitgehört hat, weil ihn die Vermittlungsstelle offensichtlich fälschlich auf den selben Ferngesprächskanal geschaltet hat. Man stelle sich einmal vor was passiert, wenn Kriminelle diesen Fehler gezielt reproduzieren und sich auf jede beliebige Verbindung aufschalten können.

Deshalb wäre es notwendig, die komplette Vermittlungssoftware von Grund auf mit modernen Methoden des Software-Engineerings neu zu entwickeln. Nur so besteht die Chance, sie komplett zu durchschauen und Sicherheitslücken im Design zu erkennen, bevor sie von Hackern aufgedeckt und ausgenutzt werden. Doch vor den immensen Kosten der Neuentwicklung scheuen sich die Verantwortlichen.

Das Testzentrum der Telekom in Nürnberg

Das Technologiezentrum der Deutschen Telekom unterhält in Nürnberg eine Außenstelle. Dort existiert ein kleines Abbild der Telekommunikationswelt: Von beiden in Deutschland verwendeten Vermittlungsstellentypen existiert jeweils eine Auslands-, eine Fern- und zwei Ortsvermittlungsstellen. Sie alle sind untereinander so vernetzt wie im tatsächlichen Telefonnetz. Jeweils ein Teil von ihnen läuft unter der aktuellen Softwareversion, der Rest mit der Vorgängerversion. So kann man auch das Zusammenwirken der verschiedenen Softwareversionen der beiden Hersteller testen. Das ist notwendig, weil die Software nicht in allen Vermittlungsstellen gleichzeitig ausgetauscht werden kann, so daß auch im tatsächlichen Betrieb verschiedene Versionen zusammenarbeiten müssen.

In einem Testlabor stehen den D-Kanal-Spezialisten etwa hundert Telefonapparate zur Verfügung. Darunter befinden sich sowohl digitale als auch analoge Endgeräte, die zum Teil an TK-Anlagen und zum Teil direkt angeschlossen sind. Die verwendeten TK-Anlagen verfügen sowohl über Basis- als auch über Primärmultiplexanschlüsse. Über zwei Rechner haben die Tester Zugriff auf die Konfiguration der Testvermittlungsstellen. Sie können die Berechtigungen ihrer Telefonanschlüsse verwalten und ihr Verhalten testen. Um den Ablauf im D-Kanal zu beobachten, verfügen sie über Meßplätze mit Analysesoftware, die jedes Byte im D-Kanal aufzeichnen und in Klartext übersetzen kann. Mit Hilfe der ETSI26-Spezifikationen werden neue Softwareversionen und neue Dienstmerkmale ausgiebig getestet, bevor sie in den öffentlichen Vermittlungsstellen zum Einsatz kommen. Mittels Protokollsimulatoren lassen sich auch unsinnige und unzulässige Nachrichten testen, wie sie manipulierte oder defekte Endgeräte verschicken könnten.

Damit können in Nürnberg sehr viele Konfiguration des realen Telefonnetzes nachgebildet und untersucht werden.

Schwachstellen in /Angriffe auf Vermittlungsstellen

Eindringen in die Vermittlungsstelle

In eine Vermittlungsstelle kann man auf verschiedene Weisen eindringen: Die klassische Möglichkeit ist der Einbruch in die Räume, in denen sich die Hardware befindet. Daneben kann man aber auch aus der Ferne über eine der Leitungen eindringen und Manipulationen an der Software und der Anlagenkonfiguration vornehmen.

Nach einem erfolgreichen Einbruch in die Vermittlungsstellen kann der Angreifer physikalisch an den Anschlüssen und der Hardware manipulieren. Er kann beispielsweise eine Teilnehmerbaugruppe gegen eine manipulierte austauschen, Filter außer Betrieb setzen, an der Vermittlungsstellensoftware manipulieren oder Anschlüsse umkonfigurieren.

Nach offiziellen Aussagen der Telekom sind alle Vermittlungsstellen nach Außen hin abgesichert. Nur wer eine gültige Chipkarte hat, kann sie auf normalem Wege betreten. Und jedes Eindringen, mit oder ohne Berechtigung, wird protokolliert. Gegebenenfalls wird in einer übergeordneten Stelle Alarm ausgelöst.

Zusätzlich wird jeder autorisierte Programmiervorgang zusammen mit der Benutzerkennung protokolliert und ist so nachvollziehbar.

Von jedem ISDN-Anschluß aus lassen sich mit Hilfe einer ISDN-Karte beliebige Pakete auf dem D-Kanal an die Vermittlungsstelle schicken. Damit kann man versuchen, diese in einen undefinerten Zustand zu bringen.

Doch die Vermittlungsstellensoftware prüft jedes eingehende Paket auf Gültigkeit.

Man muß also eine Lücke in der Gültigkeitsprüfung finden, die es einem noch dazu erlaubt, gezielt eine Aktion in der Vermittlungsstelle auszulösen oder diese zu veranlassen, einen Teilnehmer zu manipulieren. Denn es gibt keinen durchgehenden D-Kanal von einem Teilnehmer zum anderen.

Jede Vermittlungsstelle verfügt über Wartungszugänge. Dabei muß man unterscheiden zwischen Prüf- und Administrationszugängen:

Über einen Prüfzugang wählt sich ein Techniker ein, der bei einem Teilnehmer oder an einem Verteilerkasten mit dem Entstören eines Anschlusses beauftragt ist. Aussagen des Chaos Computer Clubs zufolge kann man sich über das Telefonnetz in den Prüfzugang einer anderen Vermittlungsstelle einwählen und für andere Teilnehmer eine solche Prüfung veranlassen. Wenn diese gerade telefonieren, wird ihre Verbindung getrennt, andernfalls werden sie von der Vermittlungsstelle angerufen. Der auslösende Anrufer kann damit kostenlos andere Telefonteilnehmer belästigen.

Nach Aussagen der Hackervereinigung „The Hacker’s Choice“27 gibt es einen weiteren Zugang für Techniker28. Dieser ist auch in anderen Ortsnetzen zu erreichen und bietet umfassendere Prüfmöglichkeiten, unter anderem auch das Aufschalten auf beliebige Verbindungen. Anders als der oben beschriebene Zugang ist dieser mit zwei vierstelligen Zahlen als Benutzerkennung und Passwort abgesichert.

Über den Administrationszugang einer Vermittlungsstelle wird diese selbst ferngesteuert. Vermittlungsstellen verfügen zwar immer auch über einen eigenen Administrationsrechner, der wird aber in den seltensten Fällen genutzt, denn sie arbeiten normalerweise unbemannt. Aus zentralen Wartungszentren können Telekom-Techniker neue Software in die Vermittlungsstelle einspielen und die Konfiguration der gesamten Anlage oder einzelner Anschlüsse verändern.

Wenn es einem Angreifer gelingt, sich in eine solche Verbindung einzuschalten, kann er mit der Vermittlungsstelle machen was er will. Wenn es ihm zusätzlich gelingt, manipulierte Software einzuspielen, kann er sich auch Hintertürchen für weitere Angriffe schaffen. Diese können dann beispielsweise über den D-Kanal erfolgen, indem er undefinierte Pakete schickt, auf die die von ihm manipulierte Software reagiert.

Der Netzbetreiber versucht sich dagegen abzusichern, indem er alle Zugriffe auf eine Vermittlungsstelle mit einer Login-Prozedur absichert und alle Veränderungen an der Konfiguration protokolliert.

Darüber hinaus soll in Zukunft der Zugriff nur noch nach Authentisierung durch eine Chipkarte möglich sein.

Ein Angreifer kann versuchen, an die Quelltexte der Vermittlungsstellensoftware der beiden Hersteller Siemens und SEL Alcatel heranzukommen, um sie zu manipulieren. Das ist aufgrund der Größe der Software allerdings für einen einzelnen Angreifer sehr schwierig.29

Alternativ kann er sich Verbündete bei den Herstellerfirmen suchen, die die gewünschten Manipulationen in die nächste Softwareversion einpflanzen. Gerade wegen der Unüberschaubarkeit haben sie gute Chancen, nicht entdeckt zu werden.

Damit lassen sich undefinierte Paket-Typen einführen, die im Normalfall nicht auftreten. Der Angreifer kann dann gezielt solche Pakete zu seiner Vermittlungsstelle schicken, und sie damit veranlassen, für ihn zu arbeiten.

Gefahrenpotential von Centrex-Teilnehmern

In den USA ist dieser Service schon lange erfolgreich, langsam setzt er sich auch in Deutschland durch: Centrex. Das Akronym steht für „Central Exchange“ und wird im Deutschen gerne als „virtuelle Nebenstellenanlage“ umschrieben.

Damit kann beispielsweise ein Unternehmen mit verschiedenen Standorten eine unternehmensweite Telefonanlage aufbauen, ohne wirklich eine Anlage zu besitzen. Alle Telefone erhalten zwei Rufnummern: Eine normale Nummer mit Vorwahl und eine Nebenstellennummer ohne Vorwahl. Über die normale Nummer können sie von jedem Telefonanschluß weltweit erreicht werden. Über die Nebenstellennummer können sie von allen Anschlüssen innerhalb ihrer Centrex-Gruppe erreicht werden. Die Gespräche innerhalb der Gruppe sind kostenlos, die anderen Gespräche werden zu normalen Tarifen berechnet. Außerdem stehen Leistungsmerkmale wie Heranholen des Rufes, automatischer Rückruf etc. innerhalb der Gruppe zur Verfügung. Eine solche Centrex-Gruppe verhält sich also wie eine TK-Anlage, die Gesprächssteuerung wird aber über die Vermittlungsstellen abgewickelt.

Damit der Kunde die Rechte der Teilnehmer in seiner Centrex-Gruppe selbst verwalten kann, muß es einen speziellen Operator-Platz geben: Das ist ein PC mit einer ISDN-Karte und spezieller Software, über die sich der Operator bei seiner Vermittlungsstelle anmeldet. Dann kann er über das Netz der Vermittlungsstellen alle Teilnehmer seiner Centrex-Gruppe verwalten. Die Kommunikation geschieht über das D-Kanal-Protokoll, das um entsprechende Merkmale erweitert werden muß.

Daraus ergeben sich zwei mögliche Angriffsstellen: Angriffe durch Centrex-Teilnehmer und Angriffe auf sie:

Ein Centrex-Operator hat einen gewissen Zugriff auf seine Vermittlungsstelle, der über den normalen Zugriff über den D-Kanal hinausgeht. Er hat das Recht, den anderen Anschlüssen in der von ihm verwalteten Centrex-Gruppe Berechtigungen zuzuweisen oder zu entziehen. Dieses Recht könnte er durch einen geeigneten Angriff auch auf normale Telefonanschlüsse außerhalb seiner Centrex-Gruppe oder auf andere Gruppen ausdehnen und sie so manipulieren.

Andererseits müssen die Berechtigungen aller Centrex-Teilnehmer durch ihren Operator aus der Ferne veränderbar sein. Daraus ergibt sich die Gefahr, daß diese Anschlüsse auch von Anderen manipulierbar sein könnten.

Doch darüber kann man erst dann Näheres sagen, wenn Centrex in Deutschland fertig eingeführt ist. Damit kann man rechnen, sobald die Hersteller der Vermittlungsstellen ihre Software dafür fertiggestellt haben.

Umkonfigurieren von Anschlüssen

Wenn es einem Angreifer gelingt, eine Vermittlungsstelle zu manipulieren, so daß er an die Konfiguration seines oder anderer Anschlüsse herankommt, kann er Rufumleitungen an anderen Anschlüssen einrichten, CLIP fest aktivieren oder den eigenen Anschluß zu einem Notruf- oder einem Katastrophenanschluß machen:

Ein Angreifer könnte an einem Anschluß im selben Ortsnetz eine Rufumleitung ins Ausland einrichten und dann zum Ortstarif dorthin telefonieren. Die teuren Auslandsgebühren bezahlt der Manipulierte.

Alternativ könnte er auch eine Rufumleitung zu einer 0190-Nummer einrichten und dann ständig den manipulierten Anschluß anwählen. Damit kann er nicht nur kostenlos telefonieren sondern selbst Geld verdienen.30

Kostenlos für den Betroffenen ist es, wenn ein Angreifer an dessen Anschluß die Rufnummernübermittlung (CLIP) fest einschaltet. Wo immer er dann anruft, wird seine Rufnummer zu sehen sein, auch wenn er das gar nicht möchte. Dieser Angriff ist eher datenschutzrechtlich relevant.

Interessanter für den Angreifer ist es, seinem eigenen Anschluß besondere Rechte einzuräumen. Im Netz der Telekom gibt es zwei besondere Typen von Anschlüssen: den Katastrophenanschluß und den Notrufanschluß:

Der Katastrophenanschluß ist ein bevorrechtigter Anschluß. Wenn eine Ortsvermittlungsstelle überlastet ist, werden die Katastrophenanschlüsse zuletzt abgeschaltet. Solche Anschlüsse werden Ärzten, Apotheken, Hilfsorganisationen, der Polizei und den Feuerwehren zugeteilt, damit diese auch im Falle einer Überlastung des Ortsnetzes noch immer telefonieren können. Daran könnte auch ein Angreifer interessiert sein, wenn er gezielt ein Ortsnetz überlastet, um Andere am Telefonieren zu hindern, selbst aber noch telefonieren will.

Der Notrufanschluß hat die sogenannte „overwrite“-Berechtigung. Wenn ein Anrufer einen solchen Anschluß wählt, wird dort immer seine Rufnummer angezeigt. Auch dann, wenn er dies ausdrücklich unterbinden will31 oder noch einen analogen T-Net-Anschluß besitzt. Die overwrite-Berechtigung wird nur Notrufabfrageplätzen der Polizei, der Feuerwehr und des Rettungsdienstes zugewiesen Doch auch Andere haben ein Interesse daran, immer zu sehen, wer sie anruft. Da der Anrufer das nicht erkennen kann, entsteht auch hier ein datenschutzrechtliches Problem.

Abhören von Gesprächen/Räumen

Wenn es einem Angreifer gelingt, eine Vermittlungsstelle in seine Gewalt zu bringen, kann er sie dazu veranlassen, D-Kanal-Pakete an einen anderen Anschluß zu schicken. Damit kann er möglicherweise Räume oder Gespräche an diesem Anschluß abhören. Ihm stehen dabei etwa die selben Möglichkeiten zur Verfügung wie beim Eindringen in eine TK-Anlage.32 Sogar dann, wenn der Angegriffene eine gut abgesicherte oder gar keine TK-Anlage betreibt.

Er kann sich auch direkt in der Vermittlungsstelle auf eine Verbindung seiner Wahl aufschalten und sie abhören oder manipulieren.

Kostenloses Telefonieren

Blueboxing

Im analogen Netz mit digitalisierten Vermittlungsstellen wird die Zeichengabe zwischen den Vermittlungsstellen über Töne durchgeführt. Dabei kommen ähnliche Töne zum Einsatz wie die, die Telefone im Mehrfrequenzwahlverfahren (MFV) erzeugen. Mit Hilfe eines manipulierten MFV-Senders, einer sogenannten „blue-box“ kann man diese Töne selbst erzeugen und damit Vermittlungsstellen manipulieren. Blue boxes wurden in großem Umfang in den USA,33 später auch in Deutschland eingesetzt, um kostenlos zu telefonieren.34

Das geht im ISDN so nicht mehr, weil die Vermittlungsstellen untereinander nicht mehr über Tonsignale kommunizieren und weil die gesamte Signalisierung außerhalb des Sprachkanals stattfindet.35

Über die Telefonanlagen von Firmen

Nahezu alle großen Firmen verfügen heute schon über eine ISDN-Anlage. Häufig ist diese auch mit einem Voice-mail-system verknüpft. Diese moderne Form des Anrufbeantworters speichert eingehende Nachrichten in einem zentralen Rechner und stellt sie dem berechtigten Benutzer zum Abruf bereit. Ob ein Benutzer berechtigt ist, entscheidet die Anlage nach Eingabe eines Passworts. Oftmals kann ein Benutzer über ein Voice-mail-system auch eine Amtsleitung bekommen, um darüber auf Firmenkosten zu telefonieren. Insbesondere bei Außendienstmitarbeitern wird diese Möglichkeit gerne genutzt. Sie wählen sich über eine kostenlose Rufnummer in die Telefonanlage ihrer Firma hinein und können dann auf Firmenkosten ihren Gesprächspartner anrufen.

Wenn es einem Angreifer gelingt, den Code eines Mitarbeiters herauszufinden, kann er ebenfalls auf diese Weise auf Firmenkosten telefonieren.36

Abschalten der Gebührenerfassung

Die Gebühren werden im ISDN auf zwei voneinander unabhängige Weisen erfaßt. Zum einen erhält der rufende Teilnehmer während37 oder am Ende38 eines Gesprächs Gebühreninformationen über den D-Kanal zugeschickt. Diese dienen aber nur der Information des Teilnehmers und sind nicht rechtsverbindlich.39 Diese zu manipulieren oder abzuschalten spart also keine Gebühren.

Zum anderen werden in der Vermittlungsstelle des Anrufers Datum, Anfangszeit, Dauer und Zielrufnummer40 eines Gesprächs gespeichert. Diese werden in der sogenannten „Nachbearbeitung“ durch ein anderes Softwarepaket ausgewertet und dem Teilnehmer in Rechnung gestellt. Die Speicherfunktion ist in der Vermittlungsstellen-Software enthalten und nach offiziellen Aussagen nicht programmgesteuert abschaltbar. Ein Angreifer muß also eine manipulierte Vermittlungsstellensoftware einspielen.41

Denial of Service durch Prüfschleifen

Jeder ISDN-Anschluß verfügt über sogenannte Prüfschleifen. Aus der Vermittlungsstelle heraus kann ein Servicetechniker zu Prüfzwecken folgende Netzbestandteile in den Schleifenzustand versetzen:

  • die Vermittlungsstelle,

  • einen eventuell vorhandenen Zwischenregenerator (ZWR) bei langen Leitungen

  • den NT beim Benutzer

  • die Terminaladapter (TA) und Endeinrichtungen (TE) beim Benutzer

Sie senden dann alle empfangenen Bits zurück an den Absender. So entstehen die sogenannten Prüfschleifen, mit deren Hilfe sich ein Fehler eingrenzen läßt.

Ein Angreifer, der Zugriff auf den Prüfschleifenmechanismus hat, kann einen beliebigen Anschluß an der Vermittlungsstelle außer Betrieb nehmen („denial of service“), indem er eine Prüfschleife aktiviert. Der Anschlußinhaber kann dann nicht mehr telefonieren.

Kostenlose Datenübertragung im D-Kanal

Gemäß ETSI-Spezifikation gibt es drei Möglichkeiten, über den D-Kanal kurze Nachrichten zwischen zwei Endgeräten auszutauschen (User-to-User-Signalling (UUS)). Im Netz der Telekom wird jedoch nur die Variante UUS-1 angeboten. Die Variante 2 ist nicht implementiert. Bei der Variante 3 können die Endgeräte während einer bestehenden Verbindung kurze Datenpakete austauschen. Sie ist zwar in der Vermittlungsstellensoftware implementiert, wird aber von der Telekom nicht angeboten.

User-To-User-Signalling 1 dient dem Austausch einer maximal 32 Byte langen Nachricht schon während des Verbindungsaufbaus. Damit kann der eine Benutzer dem anderen einen kurzen Text zusammen mit seiner Telefonnummer auf das Display schicken, ohne daß eine Verbindung aufgebaut werden muß. Für diese Nachricht entstehen auch keine Gebühren.

Findige Hardwarehersteller haben relativ schnell spezielle ISDN-Karten entwickelt, die kostenlos auch größere Datenmengen über das Telefonnetz übertragen können: Die Daten werden in 32-Byte-Blöcke segmentiert, die Zielrufnummer immer wieder angewählt und jeweils ein Block übertragen. Dann wird der Verbindungsaufbau abgebrochen und mit dem nächsten Block neu eingeleitet. Um die Geschwindigkeit noch zu erhöhen, weist die angerufene Karte das Gespräch ab, sobald sie die Daten empfangen hat. Ein Verbindungsaufbau dauert maximal 1,7 Sekunden, typisch sind etwa 1 Sekunde. Damit läßt sich eine mittlere Datenübertragungsrate von 32 Bytes/sec erreichen - kostenlos und zu jedem beliebigen ISDN-Anschluß in Deutschland.

Der Anschluß der beteiligten Teilnehmer bleibt auch weiterhin nutzbar, weil keine B-Kanäle für die Datenübertragung verwendet werden.

Diese Vorgehensweise entspricht aber nicht der vertragsgemäßen Verwendung des Telefonanschlusses und die Telekom versucht sich dagegen zu wehren. Dafür werden spezielle Steuerkanal-Überwachungen eingesetzt.42

Das Geschäft mit den 0190-Nummern

In den Jahren 1994/95 meldeten viele Zeitungen immer wieder Mißbrauch von 0190-Rufnummern zum Gebührenbetrug.

Der Inhaber einer Service-0190-Rufnummer kassiert, wenn jemand seinen Service anruft. Der Anrufer bezahlte damals43 über seine Telefonrechnung 1,15 DM an die Telekom, die zweigte davon 55 Pfennig ab und zahlte sie an den Betreiber.

Betrüger fanden verschiedene Wege, die Zahl der Anrufminuten für ihre Servicenummern in die Höhe zu treiben. Dazu gehören der Einsatz von Auto-Dialern, Rufumleitungen an fremden Anschlüssen und unbenutzte Teilnehmeranschlüsse:

Ein Auto-Dialer ist ein automatisches Wählgerät im Zigarettenschachtel-Format. Es kann bei Aktivierung vollautomatisch eine vorher eingestellte Telefonnummer anwählen. Normalerweise werden Auto-Dialer zum Beispiel in Alarmanlagen benutzt, um bei Alarmauslösung Hilfe herbeizurufen. Doch die Geräte lassen sich in Telefonnetzen mit „inband“-Signalisierung auch mißbrauchen:

Kriminelle richten einen Servicedienst ein und lassen ihn mittels Auto-Dialern manchmal nächtelang ununterbrochen anwählen. Dazu mußten sie nur den unauffälligen Auto-Dialer irgendwo an der Leitung zwischen Kunde und Vermittlungsstelle anbringen.

Im ISDN benötigt man für einen solchen Angriff aufwendigere und deshalb teurere Technik. Sie muß in der Lage sein, sich auf die Leitung aufzuschalten, die beiden B-Kanäle vom D-Kanal zu trennen und über den D-Kanal Wahlbefehle mit den richtigen Parametern an die Vermittlungsstelle zu schicken. Mit einem einfachen Auto-Dialer für 100,- Mark aus dem Katalog ist es da nicht getan.

Wenn es einem Angreifer gelingt, an einem Anschluß eine Rufumleitung zu seinem 0190-Service zu aktivieren, muß er nur noch den manipulierten Anschluß anwählen und er wird automatisch weiterverbunden. Für ihn entstehen nur die normalen Telefonkosten - im besten Fall zum Ortstarif.

Von den Gefahren bei der Rufumleitung sind nicht nur ISDN-Anschlüsse sondern in noch größerem Umfang auch die ANIS-Teilnehmer betroffen. Das sind Teilnehmer mit analogen Anschlüssen an digitalen Vermittlungsstellen44. Sie können gegen Aufpreis einige Leitungsmerkmale aus dem ISDN bekommen, darunter auch die Rufumleitung. Um eine Rufumleitung einzurichten, zu aktivieren oder zu deaktivieren, muß der Teilnehmer eine Verbindung mit der Vermittlungsstelle aufbauen45. Er tippt dann den Aktivierungscode, seine PIN und gegebenenfalls die Zielrufnummer ein. Standardmäßig ist die PIN „0000“ und nach Aussagen von Insidern haben bis heute 70% der Nutzer der Rufumleitung ihre PIN nicht geändert. Ein Angreifer kann sich auf die Leitung aufschalten und eine Rufumleitung einrichten.

1994 wurden mehrere Betrugsfälle aufgedeckt, bei denen die Betreiber der Service-Nummern Komplizen bei der Telekom hatten. Diese haben Auto-Dialer auf nicht benutzte Ports in den Vermittlungsstellen geschaltet. Dadurch entstanden Gebühren, die die Telekom an die Betreiber abführen mußte, ohne jedoch selbst Einnahmen zu haben.

Manipulation anderer Vermittlungsstellen

1 E-DSS-1 oder DSS-1: (Euro) Digital Subscriber Signalling System No. 1

2 siehe Kapitel

3 verbindungslos, siehe Abschnitt

4 vgl. z.B. [kah92] oder [ban95]

5 Q.920 (=CCITT I440): „Allgemeine Aspekte des D-Kanal-Protokolls, Schicht 2“

6 Q.921(=CCITT I441): „D-Kanal-Protokoll, Schicht 2 Spezifikation“

7 Q.931: „D-Kanal-Protokoll, Schicht 3-Spezifikation“

8 Q.932: „D-Kanal-Protok., Schicht 3, Allg. Prozeduren z. Steuern v. Dienstmerkmalen“

9 aus [kah92], Abschnitt 4.3.2.3.

10 siehe Abschnitt

11 siehe Abschnitt

12 vgl. [kah92] Abschnitte 4.2.5. und 3.8, 3.9

13 CCITT = Commité Consultatif International Télégraphique et Téléphonique

14 vgl. [kah92] Abschnitt 4.1.2 „Referenzkonfiguration für das D-Kanal-Protokoll“

15 TEI: Terminal Endpoint Identifier

16 Zu den Gefahren, die daraus entstehen siehe Abschnitt .

17 Zur Problematik des D-Kanal-Filters siehe Kapitel .

18 Paketorientierte Datenübertragung mit maximal 9600 Bit/sec

19 Fernwirken

20 A-Teilnehmer ist immer der Anrufer, B-Teilnehmer der Angerufene

21 siehe Abschnitt

22 vgl.[kah92] Abschnitt 3.3.5

23 Network Terminator (NT)

24 siehe [ost96]

25 in Siemens TelcomReport 3/96 „Manipulation ausgeschlossen“ Peter Giese und Bernd Sommer

26 ETSI = „European telecommunication standards institute“ mit Sitz in Frankreich

27 siehe [thc97]

28 SEPT (System-Externe-Prüf-Technik)

29 siehe Abschnitt

30 siehe Abschnitt

31 CLIR = Calling Line Identification Restriction

32 vgl. Kapitel

33 vgl. [hau96]

34 vgl. z.B. Chip 2/94, Focus 6/94

35 outband signalling, siehe Abschnitt

36 vgl. [hau96]

37 AOCD = Advice Of Charge During a call

38 AOCE = Advice Of Charge at the End of a call

39 sehr umstritten. Die Telekom erkennt nur ihre eigene Zählung an

40 verkürzt um die letzten drei Stellen

41 siehe Abschnitt

42 siehe Abschnitt

43 Heute gibt es verschiedene Tarife bis 3,20 DM pro Minute. Das Prinzip ist aber gleichgeblieben.

44 Ende 1997 sollen alle Anschlüsse entweder ISDN oder ANIS sein.

45 Das heißt insbesondere, er muß den Hörer abheben.

 

  [Chaos CD]
[Contrib] [Sicherheit im ISDN]    Kapitel 3: Angriffe auf den D-Kanal und die Vermittlungsstellen
[Gescannte Version] [ -- ] [ ++ ] [Suchen]