Считается, что информационные технологии родились во второй половине XIX века с возникновением первого вида электрической связи — телеграфа. С тех пор телефон, радио, телевидение вошли в жизнь людей, став ее неотъемлемой частью, столь же привычной и необходимой, как утренний чай или вечерняя прогулка. Появились компьютер; Интернет, мобильный телефон. Одним из важнейших условий для существования и успешного развития информационных и телекоммуникационных систем, сетей, технологий является обеспечение их безопасности.
Когда были введены в действие первые аналоговые мобильные сети, то обеспечение безопасности в них было на очень низком уровне. По мере перехода от аналоговых к цифровым системам GSM и DAMPS менялся и характер мошенничества, поскольку нарушителям становилось все труднее (и, что более важно, дороже) перехватывать информацию и клонировать трубки. Это привело к переходу от технического мошенничества к процедурному и контрактному. Однако полностью сбрасывать со счета возможность технического мошенничества в сетях GSM нельзя, так как если перед мошенником закрыта дверь, то он будет пытаться влезть в окно.
Как свидетельствует мировая статистика, уровень потерь операторов фиксированной и мобильной связи от разного рода мошенничеств и вредительства составляет 2-6% от общего объема трафика, а по данным самих компаний, может доходить до 25%. Причем атаки мошенников направлены как против операторов, так и против абонентов. Решение проблемы безопасности в российских сетях связи осложняется широким использованием технических средств зарубежного производства, что создает возможность реализации "недекларируемых" поставщиками возможностей.
Подсчитано, что из-за мошенничества отрасль мобильной связи во всем мире теряет ежегодно около 25 млрд. USD, по информации от АО МГТС (Московской городской телефонной сети) ущерб только по Москве оценивается в пределах 3 5 млн. рублей в месяц. Ежегодные убытки операторов сотовой связи в Великобритании, Испании, Германии исчисляются миллионами евро. К сожалению, российские операторы не публикуют подобную статистику. Но масштаб цифр недополученных операторами платежей в Европе и в мире впечатляет. Поэтому обнаружение, судебное преследование и предотвращение мошенничества важно для всех операторов связи.
Для решения этих задач в сетях GSM и будущих системах UMTS необходимо принимать дополнительные меры безопасности, которые сделают их значительно менее уязвимыми.
У разных видов мошенничества есть много мелких различий, что усложняет выработку единого подхода к анализу мошенничества операторами и судебными органами. Кроме того, по проблеме "Что такое мошенничество в области компьютерных и телекоммуникационных систем?" вообще нет общепринятого мнения.
Что же такое мошенничество в сетях мобильной связи? Упрощенно его можно определить как неправомочную деятельность, которая позволяет абонентам-нарушителям получать услуги связи бесплатно. Компании иногда подсчитывают деньги, которые они теряют из-за мошенничества, определяя их как упущенные доходы. Но для обнаружения мошенничества от такого определения мало пользы, поскольку, исходя из него, мошенничество можно обнаружить только после того, как оно произошло. В действительности трудно дать точное определение того, что такое мошенничество, так как различие между мошенническим и правомочным (не мошенническим) поведением может оказаться бесконечно малым. Тем не менее мы попробуем дать определение этому явлению, исходя из примеров мошеннического поведения.
Классификация мошенничества. Поскольку мошенничества могут происходить во всем спектре услуг и применений мобильной связи, то рассмотрение каждого отдельного примера или ситуации непродуктивно. Поэтому чтобы структурировать эту проблему и сделать ее более понятной, выделим четыре основных вида мошенничества.
Контрактное мошенничество. В этой категории мошеннических действий услуги используются абонентами без какого-либо намерения платить за них. Примерами являются мошенничество с использованием заключенного контракта и мошенничество при использовании услуг льготного тарифа. Мошенничества с использованием контракта весьма многообразны, но все ситуации можно разделить на две категории. Первая — когда контракт заключается без намерения оплачивать услуги, и вторая — когда абоненты, заключившие контракт, принимают решение не оплачивать услуги в какой-то момент после начала действия контракта. В этом случае отмечается резкое изменение поведения абонента. Что касается первой категории, то для таких ситуаций нет надежных статистических данных, по которым их можно сравнивать и оценивать. Для оценки риска, связанного с такими абонентами, требуется дополнительная информация о них.
Мошенничество при использовании льготного тарифа включает два действия абонента-нарушителя: получение права пользования льготным тарифом некоторой службы и приобретение абонентом-нарушителем (или группой таких абонентов) нескольких номеров телефонов для того, чтобы звонить по номеру этой службы. В зависимости от схемы оплаты службы с льготным тарифом видоизменяются механизм мошенничества и его отличительные признаки. Если такая служба получает часть доходов от сети, то на ее номер поступают длительные повторяющиеся звонки. Если доход такой службы зависит от количества получаемых звонков, то ей поступает большое количество коротких звонков. Звонки на этот номер не будут оплачены.
Хакерское мошенничество. Все виды мошенничества этой категории дают доход мошеннику за счет проникновения в незащищенную систему и использования (либо последующей продажи) имеющихся в системе функциональных возможностей. Примерами являются использование в целях мошенничества УАТС (местной АТС) и хакерское нападение на сеть (взлом сети). В случае мошенничества в УАТС мошенник многократно звонит в УАТС, стараясь получить доступ к внешней исходящей линии. Получив такой доступ, он затем может вести дорогостоящие телефонные разговоры, оплатив только недорогой звонок за доступ к УАТС. Зачастую такие звонки увязаны с использованием клонированных телефонов, так что не оплачивается даже использование недорогой местной линии. В случае нападения на сеть осуществляются атаки на компьютерные сети через линейные модемы, которые используются для дистанционного управления или контроля работоспособности внешних линий. После успешного проникновения в модем мошенник постарается взломать сеть и сконфигурировать некоторые системные параметры для собственных нужд. Такие виды мошенничества характеризуются (в тот период, когда хакер еще только пытается получить несанкционированный доступ к сети) либо частыми короткими звонками на один и тот же номер в случае мошенничества с УАТС, либо короткими звонками на последовательные номера в случае мошенничества в сети. Именно такой режим работы следует отслеживать наиболее системно и внимательно.
При внутрикорпоративном техническом мошенничестве сотрудники компании (нарушители) могут внести изменения в определенную внутреннюю информацию, чтобы получить доступ к услугам по сниженной стоимости. Особенности использования услуг при таком мошенничестве зависят от того, как долго мошенник предполагает оставаться необнаруженным. В случае, когда мошенник считает, что мошенничество не должно быть раскрыто в течение длительного времени, для него разумнее всего демонстрировать нормальный режим использования, и тогда его деятельность не привлекает внимания. Но если мошенничество рассчитано на короткий период, то мошеннику выгоднее как можно больше пользоваться услугами до тех пор, пока их предоставление не прекратится.
Процедурное мошенничество. Все виды мошенничества этой категории включают атаки на процедурные алгоритмы, предназначенные для уменьшения риска мошенничества, и часто направлены на слабо защищенные места бизнес-процедур, используемых для предоставления доступа в систему.
Примерами таких видов мошенничества являются неправомочное использование режимов роуминга, дублирование идентификаторов телефонных карт (смарт-карт) и использование фальшивых телефонных карт.
При мошенничестве в роуминге нарушитель учитывает, что процедура биллинга может производиться по истечении длительного времени после того, как были сделаны звонки, и в этом случае абонент-нарушитель может определенное время не получать счетов из-за задержек в биллинговых операциях. Существует еще одна ситуация при мошенничествах в роуминге, когда про абонента уже может стать известно, что он мошенничает, но ошибка в алгоритме аннулирования его контракта может дать ему возможность продолжать звонить, используя роуминг.
Что касается мошенничества с телефонными картами (смарт-картами), то здесь мошенники используют слабые места в процедурах производства, распределения, активизации и вывода из обращения оплаченных телефонных карт. Если информация о предоплаченных картах становится достоянием ряда лиц, которые одновременно пытаются активизировать такие карты, то в случае, если имеется промежуток времени между кредитованием телефонного счета и выводом карты из обращения, фальшивые копии карт могут быть использованы несколькими лицами. При таком мошенничестве обычно все внешне выглядит нормально, и с ним можно бороться только ужесточением используемых процедур.
Техническое мошенничество. Все виды мошенничества этой категории включают атаки на слабые технологические участки мобильной системы. Обычно для такого мошенничества требуется наличие у нарушителей некоторых начальных технических знаний и способностей, хотя после обнаружения слабых мест системы информация о них зачастую быстро распространяется в форме, понятной и для технически необразованных людей. Примерами такого мошенничества являются клонирование трубок и внутрикорпоративное техническое мошенничество.
Давайте разберемся с широко известным и очень "популярным" клонированием телефонов. Чтобы лучше понять проблемы, связанные с клонированием, давайте вспомним, что представляют собой сотовые телефоны и как работают.
Мобильные телефоны сотовой связи фактически являются сложной миниатюрной приемо-передающей радиостанцией. Каждому сотовому телефонному аппарату присваивается свой электронный серийный номер (ESN), который кодируется в микрочипе телефона при его изготовлении и сообщается изготовителями аппаратуры специалистам, осуществляющим его обслуживание. Кроме того, некоторые изготовители указывают этот номер в руководстве для пользователя. При подключении аппарата к сотовой сети в микрочип телефона заносится еще и мобильный идентификационный номер (MIN). Вся территория, обслуживаемая сотовой системой связи, разделена на отдельные прилегающие друг к другу зоны связи или "соты". Телефонный обмен в каждой такой зоне управляется базовой станцией, способной принимать и передавать сигналы на большом количестве радиочастот. Периодически (с интервалом 30-60 минут) базовая станция излучает служебный сигнал. Приняв его, мобильный телефон автоматически добавляет к нему свои MIN- и ESN-номера и передает получившуюся кодовую комбинацию на базовую станцию. В результате этого осуществляется идентификация конкретного сотового телефона, номера счета его владельца и привязка аппарата к определенной зоне, в которой он находится в данный момент времени.
Клонирование основано на том, что абонент использует чужой идентификационный номер (а, следовательно, и счет) в корыстных целях. В связи с развитием быстродействующих цифровых сотовых технологий, способы мошенничества становятся все более изощренными, но общая схема их такова: мошенники перехватывают с помощью сканеров идентифицирующий сигнал чужого телефона, которым он отвечает на запрос базовой станции, выделяют из него идентификационные номера MIN и ESN и перепрограммируют этими номерами микрочип своего телефона. В результате, стоимость разговора с этого аппарата заносится базовой станцией на счет того абонента, у которого эти номера были украдены. Но не стоит пугаться — это только теория. На самом деле, все вышесказанное относится только к аналоговым стандартам (AMPS и NMT). В цифровых стандартах (GSM и DAMPS) базовая станция посылает случайный служебный сигнал, а телефон его шифрует и отправляет обратно. При этом, даже перехватив эту информацию, мошенники не смогут узнать код и перепрограммировать свой телефон. В апреле 1998 г. группа компьютерных экспертов из Калифорнии продемонстрировала, что ей удалось клонировать мобильный телефон стандарта GSM.
Однако владельцам сотовых телефонов пока не следует особо беспокоиться. Без физического доступа по крайней мере на несколько часов ваш аппарат никто не сможет клонировать. Клонировать телефон, перехватывая информацию в эфире, нельзя. Вот если вы потеряли свой телефон, а потом нашли (или вам его вернули) тогда будьте осторожны: не исключено, что у вашего мобильника появится двойник.
При использовании трубок-двойников возникают некоторые проблемы. Когда и мошенник (фрикер), и легальный абонент пытаются произвести звонок одновременно, тот, кто набрал номер первым, может разговаривать свободно, аппарат второго либо не найдет сеть, либо примет сигнал "номер занят". При попытке вместе ответить на входящий вызов оба аппарата сбросят звонок или вообще не будут подавать никаких сигналов. Нормально пользоваться связью можно только тогда, когда кто-то из двойников находится вне зоны покрытия или качество приема у одной из трубок на порядок выше, чем у другой. Поэтому обращайте внимание на подобные "мелочи". Но трубки-двойники не предоставляют полный контроль над телефонным номером и счетом. И тогда наиболее продвинутые фрикеры прибегают к опыту хакеров и "взламывают" системы учета клиентов, пользующихся услугами операторов сотовых сетей. Появляется "левый" абонент и его расчетный счет, к которому имеют доступ мошенники. Телефонный оператор не отличает его от остальных пользователей и полагает, что деньги на данном счету реально существуют. На самом же деле сумма — виртуальная. Это просто набор цифр. Биллинговые системы операторов ежедневно обрабатывают огромное количество информации, и в общем потоке проследить за легальностью всех операций практически невозможно. Потерянные таким образом суммы чаще всего списывают на ошибки сотрудников. Но это уже проблема для операторов, а не для абонентов, пусть сами разбираются, как им от этого защититься.
Какие выводы можно и нужно сделать любому абоненту? Прежде всего, владельцам сотовых телефонов GSM пока не следует особо беспокоиться. Дублировать SIM-карты возможно, но для этого может потребоваться физический доступ к SIM-карте на достаточно долгое время.
Для предотвращения мошенничества:
- узнайте у фирмы-производителя, какие средства против мошенничества интегрированы в ваш аппарат;
- держите документы с ESN-номером вашего телефона в надежном месте;
ежемесячно и тщательно проверяйте счета на пользование сотовой связью (это основное);
- в случае кражи или пропажи вашего сотового телефона сразу предупредите фирму, предоставляющую вам услуги сотовой связи;
- держите телефон отключенным до того момента, пока вы не решили им воспользоваться. Этот способ самый легкий и дешевый, но следует помнить, что для опытного специалиста достаточно одного вашего выхода на связь, чтобы выявить MIN/ESN номера вашего аппарата (актуально для пользователей аналоговых систем сотовой связи);
- не пользуйтесь стандартами: AMPS, АМТ, Рус-Алтай, всеми видами транковой связи — все они легко взламываются хакерами. Пользуйтесь: GSM (GSM900 и GSM1800), D-AMPS и MNT-450i (хотя он и устаревший, но имеет ряд ценных качеств).
Рядом компаний (Vodafone, Siemens, Panafon, Swisscom и др.) разрабатывался совместный проект ASPeCT (Advanced Security for Personal Communication Technologies — Усовершенствованные средства защиты для персональной связи). В проекте ASPeCT исследовались решения для следующих пяти основных задач:
- обеспечение высоконадежной защиты при переходе действующих мобильных систем к UMTS;
- разработка эффективных средств обнаружения мошенничества в UMTS;
- реализация конфигурации "доверительной третьей стороны" для конечных услуг UMTS;
- новые возможности для будущей UMTS;
- защита и целостность биллинговых операций UMTS.
Результаты, полученные в проекте ASPeCT, имеют важное практическое значение для трех областей:
- аутентификация абонентов и новый модуль защиты;
- защита платежей в мобильных сетях;
- обнаружение мошенничества в мобильных системах.
Проблема аутентификации. В проекте ASPeCT разработан новый протокол аутентификации абонентов, реализуемый в смарт-картах на базе криптоалгоритмов двух типов: а) высоконадежного и требующего для своей реализации отдельных сопроцессоров; б) простого алгоритма с использованием эллиптических кривых. Планируется также применять в UMTS биометрические алгоритмы идентификации пользователей по их речевым образам.
Предложен также новый механизм аутентификации, использующий классы защитных алгоритмов. В каждом объекте (USIM,сетевой оператор и сервис-провайдер) хранится набор возможных защитных механизмов, из которых выбирается и согласуется конкретная пара применяемых при аутентификации механизмов. Например, соглашение о роуминге запрашивается абонентом у оператора уже в начальной фазе аутентификации.
Набор защитных механизмов определяется в Классе возможных аутентификаций ACC (Authentification Capability Class), хранимом в смарт-карте USIM и определяющем допустимые механизмы защиты.
Нейронные сети для обнаружения мошенничества. Нейронные сети и экспертные составляют основу новых технологий обнаружения мошенничества. Одна из первых систем BRUTUS, разработанная в рамках проекта ASPeCT, реализует комбинацию методов детектирования мошенничества. Исходная информация для идентификации нестандартных (ошибочных или неправомочных) операций абонентов накапливается в профилях абонентов двух видов: а) долговременные профили абонентов (ДПА) и б) текущие профили абонентов (ТПА). Например, ТПА содержат агрегированные данные об использовании абонентом услуг связи за последние 24 часа: среднее время вызова, средняя и стандартная девиация длительности вызова. Эти параметры регистрируются в ТПА отдельно для местных и международных вызовов. После каждого абонентского вызова значения параметров ТПА корректируются. Параметры ДПА корректируются в начале следующего 24-часового цикла мониторинга абонентского поведения.
Обнаружение случаев (возможных) мошенничества осуществляется на основе решающих правил. Например, анализ профилей ДПА и ТПА дает вероятности вызовов абонентов в других странах (распределение вероятностей по всем странам для каждого абонента). Программа детектирования выявляет все маловероятные отклонения новых параметров ТПА от хранимых значений этих профилей. Вычисленные вероятности текущих отклонений (для данного вызова) агрегируются в соответствии с моделью регрессии и по определенному критерию выдаются на монитор диспетчера как предупреждения (аларм-сигналы) о возможном мошенничестве.
Испытания системы DRUTUS были проведены в течение 3-месячного детектирования абонентов реальной сети TACS в Великобритании. Система диагностировала профили всех 20 212 абонентов в течение этого периода. Среди этих абонентов были выявлены обычными способами 317 абонентов-мошенников, профили которых использовались как обучающиеся последовательности для настройки нейронной сети BRUTUS.
При уровне 0,02% ошибочных аларм-сигналов BRUTUS выявила 40% из 317 абонентов-мошенников. В другом испытательном тесте система выдала список 27 подозреваемых абонентов (за 40-дневный период детектирования), среди которых оказалось 3 действительных абонента-мошенника. По оценке оператора-диспетчера такое соотношение "ошибочных/подтвержденных" абонентов вполне достаточно для успешных повседневных операций выявления случаев мошенничества.
© Г.Долин, Сотовик
© СОТОВИК