Your SlideShare is downloading. ×
0
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Dtmf phreaking
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Dtmf phreaking

781

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
781
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ‫השימוש במכשיר טלפון בתור‬ ‫אמצעי לזיהוי לקוח במערכת‬ ‫הפיננסית‬ ‫‪Rcognation by DTMF and another‬‬ ‫‪modern phone bridge‬‬ ‫מאת: אמיתי דן-חוקר אבטחת מידע‬
  • 2. ‫קצת היסטוריה‬ ‫מהו פריקינג.‬ ‫‪‬‬ ‫פריצות פריקינג )‪ ( Phreaking‬בעבר.‬ ‫‪‬‬ ‫מבנקאי אישי לבנקאי טלפוני.‬ ‫‪‬‬‫למה בכלל צריך ללמוד היסטוריה כשבאים להגן על‬ ‫‪‬‬ ‫מערכת?‬
  • 3. ‫שיטות הזדהות טלפוניות‬‫הקשת תעודת זהות וסיסמא- זיהוי בעזרת ‪.DTMF‬‬ ‫‪‬‬ ‫זיהוי קולי.‬ ‫‪‬‬ ‫‪.DTMF signal in voip software‬‬ ‫‪‬‬
  • 4. ‫מה עושים עם ‪DTMF‬‬ ‫‪DTMF- Dual-Tone Multi-Frequency‬‬ ‫‪‬‬ ‫שליחת צלילים בעלי ערך מספרי.‬ ‫‪‬‬ ‫פענוח הצלילים מאפשר גישה לחשבונות‬ ‫‪‬‬ ‫הבנק דרך בנקאי טלפוני.‬‫הגנה על הלקוח והבנק לעומת העבר שבו הבנקאי‬ ‫‪‬‬‫האישי ענה לטלפון ישיר וביצע לעתים פעולות ללא‬ ‫זיהוי מלא )תוך הכרות אישית עם הלקוח(.‬ ‫חיסכון בביצוע פעולות.‬ ‫‪‬‬ ‫חיסכון בעמידה בתורים.‬ ‫‪‬‬ ‫בנקאי זמין גם לאחר שעות העבודה.‬ ‫‪‬‬
  • 5. ‫‪-DTMF‬חולשות‬‫בסניפי בנק רבים הוטמעו טלפונים לשימוש הלקוחות.‬ ‫‪‬‬ ‫כסטנדרט קיימים בטלפונים כפתורי חיוג חוזר.‬ ‫‪‬‬ ‫הלחיצה משמיעה את צלילי ההקשות האחרונות.‬ ‫‪‬‬ ‫צליל שווה מספר.‬ ‫‪‬‬ ‫מספר שווה חשבון )בנק(.‬ ‫‪‬‬ ‫כספת עם מפתח בכניסה.‬ ‫‪‬‬
  • 6. ‫הדגמות‬‫הדגמת ווידאו של פענוח ‪DTMF‬בעזרת תוכנת‬ ‫פענוח בשם ‪.DTMFdec‬‬ ‫המחשת מכשיר טלפון פיזי.‬ ‫•‬
  • 7. ‫דרכי תקיפה‬ ‫‪DTMF decoding by Iphone and another‬‬ ‫‪‬‬ ‫‪.smartphones‬‬ ‫תוכנות ‪ DTMF decoding‬במחשבים.‬ ‫‪‬‬ ‫מכשירים ייעודיים לפענוח- ‪Portable DTMF‬‬ ‫‪‬‬ ‫‪.decoders‬‬ ‫שידור אותות ‪DTMF‬משפופרות טלפון‬ ‫‪‬‬‫שהוחלפה במכשיר טלפון בבנק. שידורי‬ ‫)‬ ‫משדר מקלט,‪(..GSM,WIFI‬‬
  • 8. ‫תקיפות נוספות‬ ‫פענוח אותות ‪ DTMF‬ממכשירי טלפון ביתיים.‬ ‫‪‬‬‫פענוח האותות של תוכנות ‪ voip‬לא מוצפנות דרך‬ ‫)‬ ‫‪‬‬ ‫ה ‪.(data‬‬ ‫פענוח של תוכנות ‪voip‬מוצפנות דרך האזנה‬ ‫‪‬‬ ‫לצליל ‪ DTMF‬מלאכותי במחשב עצמו.‬ ‫פענוח אותות ‪DTMF‬ממכשיר סלולרי דרך‬ ‫‪‬‬ ‫סוס טרויאני שיודע להתמקד במספרי‬ ‫הבנקים.‬
  • 9. ‫שיטות הגנה‬ ‫הטענה שלי היא שניתן להמשיך להשתמש במערכות‬‫אלו לאחר ארגון מחדש של תפיסות האבטחה בנושא.‬ ‫הקשחת מכשירי הטלפון באופן מלא.‬ ‫‪‬‬ ‫‪Multi-factor authentication‬‬ ‫‪‬‬ ‫זיהוי בעזרת שאלות הזדהות אישיות,‪.sms‬‬ ‫‪‬‬ ‫שיתוק כפתורי החיוג החוזר באופן מיידי.‬ ‫‪‬‬‫מחולל ססמאות דינאמי )חומרתי/תוכנתי( כמו שקיים‬ ‫‪‬‬ ‫ב‪ PayPal‬ובאוניברסיטאות רבות.‬
  • 10. ‫שיטת הגנה-המשך‬‫פיתוח של מכשירי טלפון קוויים אלחוטיים עם הצפנה‬ ‫‪‬‬ ‫בין עמדת ההטענה לטלפון עצמו.‬ ‫הבנה תפיסתית שלצורך הגנה על כשלים שיטתיים‬ ‫‪‬‬ ‫צריך לפתח שיטות הגנה פיזיות של מכשירים‬ ‫טכנולוגיים.‬ ‫הסקת מסקנות שתמנע הטמעה מהירה של דרכי‬ ‫‪‬‬ ‫התייעלות ללא הבנה שהטמעה מהירה מידי של‬ ‫מכשיר פיזי תביא לכאב ראש לוגיסטי בזמן התיקון.‬
  • 11. ‫‪The flash button‬‬ ‫• כפתור ה ‪ Flash‬כמפתח למרכזייה.‬ ‫• ‪.SE and data gathering‬‬ ‫פרטי הזדהות של בנקאי.‬ ‫•‬ ‫• מהתחזות ללקוח בפרצת ‪DTMF‬להרשאות‬ ‫בנקאי.‬‫• טלפונים ציבוריים עם חיוג למספר מוזן מראש‬ ‫קיימים גם בקופות חולים.‬ ‫שיחות חינם.‬ ‫•‬
  • 12. ‫הסקת מסקנות מהמחקר‬ ‫חובת ההגנה היא של הבנק אך לא פחות מכך של‬ ‫‪‬‬ ‫הלקוח.‬ ‫צורך בשילוב של ידע בהגנת המידע הדיגיטלי ושל‬ ‫‪‬‬ ‫אבטחה פיזית של חומרות ומתחמים.‬‫מניעה של פגיעה של תוכנות בחומרות,ועצירת כשלי‬ ‫‪‬‬ ‫תוכנות שחומרות תוקפות אותם.‬ ‫במאה ה 12 איש אבטחת מידע,וקבט פיזי‬ ‫"‬ ‫‪‬‬ ‫צריכים להיות בעלי ידע רב תחומי.‬ ‫כשיש כשל שיטתי במוצר כדאי לחפש כשל‬ ‫‪‬‬ ‫נוסף.‬
  • 13. ‫דעה אישית‬‫יש צורך בשינוי תפיסתי ביחס להתרעות על בעיות‬ ‫‪‬‬ ‫אבטחה.‬‫פתיחת מחלקות פיתוח מוצרים פיננסיים בהשפעת‬ ‫‪‬‬ ‫לקוחות.‬ ‫הבנה שיש בעיות.‬ ‫‪‬‬ ‫שיתוף הציבור המקצועי והלקוחות בבניית מוצרים‬ ‫פיננסיים.‬
  • 14. ‫תחרות ‪X-Bank‬‬ ‫,תחרות פיתוח מוצרים פיננסיים.‬ ‫‪‬‬ ‫הבנקים ירוויחו מוצרים,שיכניסו כסף נוסף.‬ ‫‪‬‬ ‫הלקוחות ישפיעו על הבנק ויזדהו עם המותג.‬ ‫‪‬‬ ‫מי שייצור בתחרות מוצר פיננסי חדש יתוגמל ע"י‬ ‫‪‬‬ ‫הבנק בעבודה כסף או פטור מעמלות.‬ ‫יווצרו רעיונות חדשים להגנה על עמדות פיזיות‬ ‫‪‬‬ ‫לשירות עצמי)‪.(Self service machine,ATMs‬‬‫הכורח הוא אבי ההמצאה כך שתקיפת חומרה תביא‬ ‫‪‬‬ ‫ליצירת פתרונות.‬
  • 15. ‫תחרות ה ‪ X-bank‬המשך‬‫תחרויות מוגבלות זמן,אירועי תקיפת מערכות בנקים.‬ ‫‪‬‬ ‫האם האקרים יכולים ליצור?‬ ‫‪‬‬ ‫מה משמעות המילה האקר?‬ ‫‪‬‬ ‫האם ניסיתם להמציא פטנטים פיזיים?‬ ‫‪‬‬ ‫לאחר דיווח על בעיות אבטחת מידע האם נתתם‬ ‫‪‬‬ ‫פתרונות?‬ ‫יש שאלות?‬ ‫אמיתי דן ‪popshark1@gmail.com‬‬

×