Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...HackIT Ukraine
В рамках своего выступления я расскажу о современных способах атак на мобильные сети, таких как эксплуатирование уязвимостей SS7-сетей и подмена базовой станции. К сожалению, разрабочики «сотовой связи» в 80-е годы прошлого века думали о качестве, о стоимости, о доступности, но не о безопасности создаваемой системы. Не многие знают, что сегодня любой грамотный хакер может получить доступ к вашим звонкам, СМС и отслеживать ваше местонахождение. Целью подобных атак является получение данных о звонках и СМС, их содержание, определение местонахождения и отслеживание передвижения абонента. Кроме сбора информации, подобные атаки часто применяются злоумышленниками для получения доступа к банковским аккаунтам жертвы, либо к конфиденциальной информации, например, мессенджерам, привязанным к мобильному номеру. Если мне дадут разрешение, я бы хотел продемонстрировать одну из атак на посетителях конференции. Если атака путем подмены базовой станции требует нахождения в одной соте с отлеживаемым абонентом, то эксплуатирование уязвимостей SS7-сетей можно проводить даже с территории другого государства. И если простой пользователь не сможет никак лично предотвратить эксплуатацию уязвимостей в SS7-сетях, то он подмены базовой станции разработан эффективные инструменты защиты, о которых я и расскажу в своем выступление. В завершение выступления мне бы хотелось поговорить о защищенных альтернативах SS7-сетей.
Управление коммуникациями является основой большинства операций учреждения. Это влияет на уровень доходов, на уровень безопасности, перенаселенность и оказывает
непосредственное влияние на благополучие заключенных, их друзей, членов их семьи и персонала. IV ² S система управления вызовами является сердцем системы управления операциями компании Bynet. Система предоставляет клиентам компании преимущества использования централизованной цифровой сети, сети, которая обладает
такими достоинствами как: повышенная гибкость, более жесткий контроль, эффективность и удобство, высокая доступность, повышение способности борьбы с преступностью, aварийное восстановление.
Kickoff deck for a large enterprise wide security vulnerability assessment. The presentation has been sanitized and is intended for demonstration purposes only. From August 2008
This document discusses computer forensics as it relates to investigating a Windows system for a pharmaceutical company. It covers gathering volatile system data through the use of tools run from a trusted CD, acquiring memory and filesystem images over the network, and analyzing these images to identify files, registry entries, and other artifacts that can provide a timeline of system activity and detect any unauthorized use. The goal is to preserve forensic evidence in a way that is admissible in court.
This document discusses memory forensics and incident response. It notes that 46-58% of large organizational losses are due to insider threats, even though identifying offenders and recovering assets from insider incidents should be easier. However, in 40% of insider incidents, those responsible are never identified due to insufficient evidence. This is often because 61% of businesses do not have access to forensic technology or procedures. The document then outlines best practices for incident response, including collecting volatile memory data and using tools like Volatility to analyze RAM and identify intrusions. It also discusses challenges like anti-forensics programs and using direct memory access via FireWire to bypass passwords and collect passwords from memory.
This document discusses analyzing the contents of RAM on a Windows machine for forensic purposes. It explains that RAM contains valuable evidence about running processes, open files and registry handles, network information, passwords, and hidden data. The document outlines techniques for acquiring memory dumps, enumerating processes, investigating suspicious files and registry keys, and analyzing network connections and encryption keys from volatile memory. It also mentions tools that can be used for memory analysis, such as Memdump, Procenum, Volatility Framework, and commercial tools like Memoryze.
This document discusses techniques for exploiting DLL hijacking vulnerabilities remotely through user interaction. It argues that DLL hijacking is still a viable attack vector despite protections like DEP and ASLR. It proposes manipulating the current directory to execute exploits and hiding DLLs in archives, email attachments, and browser redressing to trigger exploits without appearing suspicious. While not suitable for mass attacks, it concludes DLL hijacking enables rapid targeted attacks by abusing existing vulnerabilities.
This document provides instructions and code examples for using offensive programming techniques, including bash scripting, Perl programming, buffer overflow exploits, and JavaScript exploits. It includes a keylogger bash script, a Perl script to access an exploits archive, a C code example for a buffer overflow, and a JavaScript code example to steal login credentials. The goal is to educate on how hackers use these programming languages and exploits to carry out offensive security attacks.
Unmasking Careto through Memory Forensics (video in description)Andrew Case
My presentation from SecTor 2014 on analyzing the sophisticated Careto malware with memory forensics & Volatility
Video here: http://2014.video.sector.ca/video/110388398
Volatility is an open source memory forensics tool that analyzes RAM dumps to detect malware. It supports Windows, Linux, Mac and Android and uses plugins to parse memory images and extract useful information. Some key things Volatility can do include detecting injected code, unpacked files, hooks, and kernel driver modifications left by malware in memory. It allows analyzing ransomware locked systems, unpacking encrypted files, and dumping executable content of running processes for further reverse engineering.
Secugenius provides malware protection through email security, web security, and malware analysis. They analyze malware to determine the impact on infected systems and generate detection signatures. Secugenius analysts can also reverse engineer malware to understand the author's capabilities and intentions at a deeper level.
Дмитрий Момот - Современные способы атак на сотовые сети, их последствия и пр...HackIT Ukraine
В рамках своего выступления я расскажу о современных способах атак на мобильные сети, таких как эксплуатирование уязвимостей SS7-сетей и подмена базовой станции. К сожалению, разрабочики «сотовой связи» в 80-е годы прошлого века думали о качестве, о стоимости, о доступности, но не о безопасности создаваемой системы. Не многие знают, что сегодня любой грамотный хакер может получить доступ к вашим звонкам, СМС и отслеживать ваше местонахождение. Целью подобных атак является получение данных о звонках и СМС, их содержание, определение местонахождения и отслеживание передвижения абонента. Кроме сбора информации, подобные атаки часто применяются злоумышленниками для получения доступа к банковским аккаунтам жертвы, либо к конфиденциальной информации, например, мессенджерам, привязанным к мобильному номеру. Если мне дадут разрешение, я бы хотел продемонстрировать одну из атак на посетителях конференции. Если атака путем подмены базовой станции требует нахождения в одной соте с отлеживаемым абонентом, то эксплуатирование уязвимостей SS7-сетей можно проводить даже с территории другого государства. И если простой пользователь не сможет никак лично предотвратить эксплуатацию уязвимостей в SS7-сетях, то он подмены базовой станции разработан эффективные инструменты защиты, о которых я и расскажу в своем выступление. В завершение выступления мне бы хотелось поговорить о защищенных альтернативах SS7-сетей.
Управление коммуникациями является основой большинства операций учреждения. Это влияет на уровень доходов, на уровень безопасности, перенаселенность и оказывает
непосредственное влияние на благополучие заключенных, их друзей, членов их семьи и персонала. IV ² S система управления вызовами является сердцем системы управления операциями компании Bynet. Система предоставляет клиентам компании преимущества использования централизованной цифровой сети, сети, которая обладает
такими достоинствами как: повышенная гибкость, более жесткий контроль, эффективность и удобство, высокая доступность, повышение способности борьбы с преступностью, aварийное восстановление.
Kickoff deck for a large enterprise wide security vulnerability assessment. The presentation has been sanitized and is intended for demonstration purposes only. From August 2008
This document discusses computer forensics as it relates to investigating a Windows system for a pharmaceutical company. It covers gathering volatile system data through the use of tools run from a trusted CD, acquiring memory and filesystem images over the network, and analyzing these images to identify files, registry entries, and other artifacts that can provide a timeline of system activity and detect any unauthorized use. The goal is to preserve forensic evidence in a way that is admissible in court.
This document discusses memory forensics and incident response. It notes that 46-58% of large organizational losses are due to insider threats, even though identifying offenders and recovering assets from insider incidents should be easier. However, in 40% of insider incidents, those responsible are never identified due to insufficient evidence. This is often because 61% of businesses do not have access to forensic technology or procedures. The document then outlines best practices for incident response, including collecting volatile memory data and using tools like Volatility to analyze RAM and identify intrusions. It also discusses challenges like anti-forensics programs and using direct memory access via FireWire to bypass passwords and collect passwords from memory.
This document discusses analyzing the contents of RAM on a Windows machine for forensic purposes. It explains that RAM contains valuable evidence about running processes, open files and registry handles, network information, passwords, and hidden data. The document outlines techniques for acquiring memory dumps, enumerating processes, investigating suspicious files and registry keys, and analyzing network connections and encryption keys from volatile memory. It also mentions tools that can be used for memory analysis, such as Memdump, Procenum, Volatility Framework, and commercial tools like Memoryze.
This document discusses techniques for exploiting DLL hijacking vulnerabilities remotely through user interaction. It argues that DLL hijacking is still a viable attack vector despite protections like DEP and ASLR. It proposes manipulating the current directory to execute exploits and hiding DLLs in archives, email attachments, and browser redressing to trigger exploits without appearing suspicious. While not suitable for mass attacks, it concludes DLL hijacking enables rapid targeted attacks by abusing existing vulnerabilities.
This document provides instructions and code examples for using offensive programming techniques, including bash scripting, Perl programming, buffer overflow exploits, and JavaScript exploits. It includes a keylogger bash script, a Perl script to access an exploits archive, a C code example for a buffer overflow, and a JavaScript code example to steal login credentials. The goal is to educate on how hackers use these programming languages and exploits to carry out offensive security attacks.
Unmasking Careto through Memory Forensics (video in description)Andrew Case
My presentation from SecTor 2014 on analyzing the sophisticated Careto malware with memory forensics & Volatility
Video here: http://2014.video.sector.ca/video/110388398
Volatility is an open source memory forensics tool that analyzes RAM dumps to detect malware. It supports Windows, Linux, Mac and Android and uses plugins to parse memory images and extract useful information. Some key things Volatility can do include detecting injected code, unpacked files, hooks, and kernel driver modifications left by malware in memory. It allows analyzing ransomware locked systems, unpacking encrypted files, and dumping executable content of running processes for further reverse engineering.
Secugenius provides malware protection through email security, web security, and malware analysis. They analyze malware to determine the impact on infected systems and generate detection signatures. Secugenius analysts can also reverse engineer malware to understand the author's capabilities and intentions at a deeper level.
Windows FE (Forensic Environment) allows forensic examiners to boot an evidence machine to Windows instead of Linux or other operating systems. This allows examiners to use their familiar Windows-based forensic tools rather than needing to learn Linux applications. Windows FE is based on Windows PE (Preinstallation Environment) but is designed for forensic analysis, where Windows PE is for system preparation and installation. Booting to Windows FE preserves evidence better than hardware write blocking and allows examiners to efficiently image, triage, and examine evidence machines using their preferred Windows software tools.
This document discusses various topics in digital and computer forensics. It introduces computer forensics and some key concepts like evidence of every action and absence of evidence can be evidence. It then discusses extracting information from Windows memory like login credentials, processes, and registry keys. Specific tools used for memory and registry analysis are also mentioned. Finally, it discusses network forensic processes like capturing traffic, analyzing logs and devices, and tools used for network traffic analysis.
This document provides an overview of the Volatility memory forensics framework. It discusses the Volatility Foundation, which supports development of the open-source Volatility tool. It highlights new features in Volatility 2.4, including improved support for Windows, Linux, MacOS, and analyzing application artifacts from programs like Chrome, Firefox, and Notepad. It outlines the Volatility roadmap and concludes by discussing the 2014 Volatility Plugin Contest winners, whose new plugins will enhance Volatility's capabilities.
Digital forensics research: The next 10 yearsMehedi Hasan
Today’s Golden Age of computer forensics is quickly coming to an end. Without a clear strategy for enabling research efforts that build upon one another, forensic research will fall behind the market, tools will become increasingly obsolete, and law enforcement, military and other users of computer forensics products will be unable to rely on the results of forensic analysis. This article summarizes current forensic research directions and argues that to move forward the community needs to adopt standardized, modular approaches for data representation and forensic processing.
@2010 Digital Forensic Research Workshop. Published by Elsevier Ltd. All rights reserved
The Practice of Cyber Crime InvestigationsAlbert Hui
Albert Hui is an experienced cybersecurity expert who has worked with law enforcement and in the private sector. He discusses the practice of cyber crime investigations and common techniques used. These include gathering digital evidence, forensic analysis, incident response, and using methodologies like Locard's Exchange Principle and the case theory approach to form hypotheses and test them. Red flags and artifacts are investigated using these methods to find potential intrusions, malware, or fraudulent activities. The goal is to identify bad actors and gather evidence for legal actions or risk mitigation. In-depth domain knowledge is crucial for effective cyber investigations.
Cyber Threat Intelligence: What do we Want? The Incident Response and Technol...Albert Hui
Introduces "Hui's Hierarchy of CTIs", a reference model upon which cyber threat intelligence (CTI) can be classified, a 5W1H model for CTI contexts, and illustrates through examples what CTIs IR and TRM will find useful.
Презентация Александра Сауленко, руководителя отдела внедрения компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Сетевая безопасность устройствами нового поколения NGFW и защита рабочих станций и серверов защитой от эксплойтов нового поколения в ЦОД и на периметре
Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIPPositive Hack Days
Интегрированные услуги операторов связи и технологии Unified Communications обещают быструю окупаемость и серьезные удобства. Однако практика показывает, что сервисы VOIP и IPPBX могут доставить массу проблем, прежде всего связных с информационной безопасностью и фродом. С какими проблемами информационная безопасность компании можно столкнуться при использовании Unified Communications? Взломать VOIP/PBX/MGW за 60 секунд: возможно ли? Планируется обсуждение эффективных методов обеспечения безопасности Unified Communications.
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
Тестирование на проникновение сетей телекоммуникационных компаний является одной из наиболее сложных, но и интересных задач подобного рода. Миллионы IP-адресов, десятки тысяч узлов, сотни Web-серверов всего лишь месяц времени. Какие вызовы ожидают аудитора при тестировании сети телекома? На что стоит обратить внимание? Как наиболее эффективно использовать отведенное на работу время? Почему абонент опасней хакера? Почему подрядчик опасней абонента? Как связать уязвимость и финансовые потери? Об этом, а также о самых показательных и забавных случаях тестирования на проникновения телекоммуникационных сетей будет рассказано в докладе Сергея Гордейчика.
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
1. Основные понятия и определения: продукт, пакет, связи между ними.
2. Как узнать, какие изменения произошли в продукте?
3. Проблемы changelog и release note.
4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
1. Обзор Windows Docker (кратко)
2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc)
3. Примеры Dockerfile (выложенные на github)
4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
1. Проблемы в построении CI процессов в компании
2. Структура типовой сборки
3. Пример реализации типовой сборки
4. Плюсы и минусы от использования типовой сборки
1. Что такое BI. Зачем он нужен.
2. Что такое Qlik View / Sense
3. Способ интеграции. Как это работает.
4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды.
5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений?
На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей.
К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных.
Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
The document discusses preventing attacks in ASP.NET Core. It provides an overview of topics like preventing open redirect attacks, cross-site request forgery (CSRF), cross-site scripting (XSS) attacks, using and architecture of cookies, data protection, session management, and content security policy (CSP). The speaker is an independent developer and consultant who will discuss built-in mechanisms in ASP.NET Core for addressing these security issues.
2. Эпиграф:
«…Русскоязычные хакеры в прошлом году заняли второе место в мире по
доходам, получив около $4,5 млрд, - это примерно треть рынка компьютерных
преступлений. А сам рынок перестал быть вотчиной технарей - на него пришли
инвесторы…»
http://www.comnews.ru/node/63540
Vedomosti.ru, 24.04.2012
3. МИРОВЫЕ HACK-ТЕНДЕНЦИИ
Направленные атаки Готовые наборы для атак
Рост мобильных угроз
Злоумышленники атакуют Широкую популярность
конкретные коммерческие получили готовые наборы для
организации под заказ атак, позволяющие
взламывать системы не
обладая специальными
знаниями
Развитие соц. сетей Сокрытие своих следов
Развитие мобильного
Интернета вызвало рост в
разработке вирусов для
мобильных устройств
Соц. сети существенно
упростили злоумышленникам Все чаще злоумышленники
задачу поиска информации о скрывают свои следы, а не
цели атаки афишируют факты своих
4. ПОТЕРИ ОПЕРАТОРОВ СВЯЗИ ОТ
МОШЕННИКОВ
По данным международной ассоциации по
противодействию фроду на сетях связи –
CFCA за 2011 год общемировые потери
операторов связи от мошеннических действий
составили $40,1 млрд.*
В среднем потери оператора от мошенников
составляют 1,88% годового дохода.
Основные риски операторов связи:
•$4,96 млрд. – взлом АТС , IP-PBX клиентов и VoIP-шлюзов
•$4,32 млрд. – кража/взлом учетных данных абонентов
•$3,84 млрд. – мошенничество с платными (PRS) номерами
•$2,88 млрд. – GSM-шлюзы и фрод на интерконнекте
•$2,40 млрд. – мошенничество с кредитными картами
* - «2011 Global Fraud Loss Survey», Communications Fraud Control Association -
CFCA 4
5. УСЛУГИ СВЯЗИ , ВЗЛОМ И МОШЕННИЧЕСТВО
Большой рост спектра услуг и сервисов связи, различных видов
абонентского оборудования привел к появлению новых уязвимостей и
схем мошенничества.
Хакеры сосредоточили свои усилия на взлом и проникновение в сети связи
операторов, а также абонентское оборудование с целью совершения
мошеннических действий (фрода).
IPTV
WiMax
VoIP
Fix network
IP Core Network
Mobile network
LTE 3G WiFi
6. ВВЕДЕНИЕ
ТЕРМИНОЛОГИЯ
ТЕРМИНЫ:
3. Фродстер (хакер*) – злоумышленник, физическое или юридическое лицо
(группа лиц), действия которого приводят к мошенничеству и получению
неправомерного доступа к ресурсам и услугам связи компании и
абонентов.
10. Цели фродстера - использование услуг оператора связи без оплаты или
с извлечением выгоды при оплате, кража финансовых средств с
лицевых счетов абонентов.
12. Инцидент (ИБ, фрода)* – произошедшее событие, нарушающее
определенные правила, последствия которого привели или могли бы
привести к финансовому ущербу оператора связи и абонентов.
* - в контексте данной презентации
7. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Взломы IP-PBX, которые резко выросли по сравнению с традиционными
взломами PBX (уязвимости DISA) на TDM-сетях, стали возможными
благодаря появлению конвергентных услуг VoIP-телефонии и
незащищенностью их протоколов (H.323, sip).
Известные способы взлома и уязвимости VoIP:
• Caller ID spoofing,
• Sip redirect / autohack,
• Call hijacking.
8. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Основной причиной взломов IP-PBX являются:
• применение «бесплатного» программного обеспечения IP-PBX, имеющего
большое количество уязвимостей документированных в сети Интернет,
• использование в IP-PBX «слабых паролей» на административных
интерфейсах и sip-аккаунтах для абонентов,
• отказ от использования sip-аутентификации и защищенной версии
протокола sip-ssl,
• использование настроек и паролей по умолчанию.
9. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Например, фродстер для реализации указанных уязвимостей
может использовать программу взлома - sipautohack
10. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Подобрав с помощью sip-autohack пароль к sip-аккаунту, фродстер
получает доступ к IP-PBX для бесплатного совершения звонков.
11. ВЗЛОМВЗЛОМ IP-PBX (НЕБЕЗОПАСНЫЙ VOIP)
Либо фродстер напрямую направляет и перепродает через
взломанную IP-PBX коммерческий VoIP-трафик (VoIP Toll Fraud)
12. ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)
Повседневный реальный инцидент ИБ при предоставлении услуг
телефонии – TDOS, когда в отношении клиентов организуется массовая
телефонная атака по заказу конкурентов или других злоумышленников.
Целями фродстера являются в основном номера VIP-клиентов (VIP-
персоны, колл-центры банков, торговых сетей), которым при spam-
звонке проигрывается автоинформатор мошеннического характера или
генерируется поток входящих spam-звонков для того, чтобы абоненту не
могли дозвонится. Оператор и абонент при такой атаке терпят убытки
из-за имиджевых рисков, а также недополучают доход от своих
клиентов, которые не смогли дозвонится.
13. ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)
Данный инцидент ИБ очень актуален в настоящее время для всех
операторов в мире, т.к. нет эффективных средств защиты от DDOS и
TDOS.
В США ФБР присвоило этому инциденту статус национальной угрозы.
14. ТЕЛЕФОННЫЙ DENIAL-OF-SERVICE (TDOS)
Использование Skype-bot сетей позволяет сейчас фродстерам
организовывать не только известные Интернет DDOS-атаки, но и TDOS-
атаки (spam-calls) с целю извлечения финансовой выгоды от жертв атаки.
INTERNET
Mobile
SS7
15. НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА
(ISUP-ШЛЮЗЫ)
ПРЕДПОСЫЛКИ ФРОДА:
-существенное различие в тарифах за терминацию международного
трафика между TDM-операторами и VoIP-биржами трафика
http://voipexchange.ru , http://voipinfo.ru , http://voip-list.com .
- отсутствие нормативных ограничений в приказах Минсвязи по порядку
пропуска трафика №97 и №98 по терминации голосового трафика с сетей
передачи данных (Интернет) на телефонные сети общего пользования
(PSTN).
СПОСОБ РЕАЛИЗАЦИИ:
Злоумышленник заключает договор с МТС на услуги местной связи по
безлимитному тарифу арендуя у МТС канал связи, к которому
подключает свое оборудование, реализующее стык между Интернет и
сетью МТС.
Далее злоумышленник регистрируется на VoIP-бирже трафика и
объявляет о возможности оказания услуг по терминации трафика на сеть
МТС по определенному выгодному тарифу.
VoIP-биржа размещает заявленные услуги по терминации трафика на
рынке «серого» трафика таким же злоумышленникам или «серым»
дилерам, которые таким же образом присоединены к местным сетям
связи в различных странах мира.
16. НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА
(ISUP-ШЛЮЗЫ)
Фродстер предлагает терминацию трафика (покупает
трафик) на VoIP-бирже трафика
16
17. НЕЛЕГАЛЬНАЯ ТЕРМИНАЦИЯ ТРАФИКА
(ISUP-ШЛЮЗЫ)
Трафик с VoIP-биржи терминируется на сеть оператора-жертвы
через ISUP-шлюзы
Оператор-жертва
Риск ИБ - нелегальное
ISUP-шлюз
подключение к периметру сети
Междунар-ый Подмена АОН +7 123 4567890
трафик
Истинный АОН +995 123 4567890
18. FAS-ФРОД
Фродстер организовывает закольцовывание трафика через VoIP-биржи
добавляя ложную длительность (false answer supervision) или
осуществляя позднее завершение вызова (later disconnect) к каждому
звонку, используя особенности протоколов VoIP и настройки
оборудования Риск ИБ –
несанкционированное
Frankfur
t вмешательство в
сигнализацию
New York VOIP-биржа Arbinet Stockholm
London FAS-
machine
Петля трафика
Fraudster Vistim-operator
switch
19. SMS-ФРОД
1. Вывод средств с лицевого счета абонента:
1.1. Рассылка абонентам SMSMMS-сообщений с ссылкой на вредоносное
приложение и текстом убеждающим абонента перейти по ней:
При переходе на ссылку происходит автоматическая установка java-вируса,
который в скрытом режиме отправляет SMS-сообщения с телефона
жертвы на дорогостоящий короткий номер,
20. SMS-ФРОД
1. Вывод средств с лицевого счета абонента:
1.2. Посещение абонентом web-сайта, который размещается
злоумышленниками.
Абонента при работе в сети Интернете, методами социальной инженерии
убеждают скачать вредоносное приложение для мобильного устройства.
21. SMS-ФРОД
1. Вывод средств с лицевого счета абонента:
1.3 Заражение персонального компьютера пользователя вирусом Win-Lock,
блокирующего компьютер. Для разблокировки мошенники требуют
отправить SMS-сообщение на дорогостоящий короткий номер.
22. SMS-ФРОД
2. Несанкционированная подписка абонента на платные рассылки
или подписка с нарушением условий предоставления услуг.
2.1 Клиент вводит на Интернет-сайте номер своего сотового телефона и
код активации, чтобы получить бесплатный пробный день (неделю)
подписки на какую-либо услугу (прогноз погоды, котировки валют, сеть
салонов парфюмерии, гороскопы и т.п.). Информация о том, как
отписаться от этой платной услуги, представлена на сайте в неявном виде
(мелким шрифтом или незаметным баннером).
2.2 Контент-провайдер подписывает абонента на платные рассылки
самостоятельно, без ведома абонента.
23. НЕЛЕГАЛЬНОЕ ИСПОЛЬЗОВАНИЕ
SMS-СЕРВИСОВ ОПЕРАТОРА
Основные виды инцидентов, связанных с SMS-услугами
•Flooding SMS
•Faking SMS
•Spoofing SMS
24. ЗАКЛЮЧЕНИЕ
ОБЩИЕ ТЕНДЕНЦИИ ПО ВОПРОСАМ
БЕЗОПАСНОСТИ И ФРОДА НА СЕТЯХ СВЯЗИ:
По данным международного форума * по противодействию фроду на сетях связи
– FIINA в 2012 году операторы связи должны уделять внимание следующим
вопросам безопасности и противодействию фроду на сетях связи:
- безопасность PBX и их настроек
- выявление и противодействие FAS-фроду
- проверка и тестирование сетей связи с помощью SIM Multiplexing
technology, методами прямого тестирования и прозвонами
- инспекция пакетного трафика на сигнатуры фрода
- исследование безопасности и возможного мошенничества с
Фемтосотами
- выявление уязвимостей и защита новых платформ мобильных
телефонов и КПК.
* - «FIINA Technical SC 2012 priorities», Forum for International Irregular Network
Access - FIINA