יום שבת, 26 בפברואר 2011

DTMF to hack finance systems



26/02/11


פרצת אבטחה במערכות שונות המשתמשות במערכת DTMF לזיהוי לקוח

מוגש על ידי אמיתי דן
בשנת 2008 איתרתי בעיה המאפשרת לבצע פענוח לצלילי ה DTMF של הטלפון בבנקים ובמערכות המשתמשות בזיהוי לקוח דרך צלילי הטלפון.

הפירצה מתבצעת ע"י פענוח צלילי הטלפון הנמצא בבנק לשרות הלקוחות לצורך שיחה עם בנקאי טלפוני (טלבנק),וזאת בעזרת מפענחים אשר מזהים את צלילי החיוג הנשמרים במכשיר הטלפון (DTMF decoder)
ומזהים אותם כספרות שהן תעודת הזהות והסיסמה של הלקוח.

בשלב זה כל שנותר הוא להיכנס לחשבונות הלקוחות.

בעיה זו מאפשרת לאדם זר להשתמש במכשירי הבנק הנמצאים בסניף הפיזי לצורך חדירה לחשבונות הלקוחות בבנקים.

כיום עקב הקדמה הטכנולוגית כבר אין צורך כבעבר ברכישת תוכנה יקרה או מפענח פיזי נייד,וניתן גם בעזרת מכשיר אייפון שהינו מכשיר די פופולרי לבצע פענוח של צלילי הטלפון ולאחר מכן חדירה לשרות (בנק) תוך הזדהות בשם הלקוח. (תוכנה זולה בapp-store בשם Dtmfdec הנה דוגמה לכך).

הפתרון הראשון שלי היה לבצע נטרול של כפתור החיוג החוזר.

בגדול אני חושב שצריכה להיות הסתכלות מחודשת על נושא השימוש בטכנולוגית ה DTMF כשיטה לזיהוי לקוחות.
 
ע"י החלפת פומית מכשיר הטלפון בבנק שמשמש את הלקוח באחרת זהה חיצונית עם משדר מובנה, ומקלט במיקום מרוחק, ניתן בקלות לנתר הסיקור ההזדהות ואת ללא הגעה פיזית לבנק וזאת בשונה מהשיטה הקודמת שהזכרתי.
 
אני בטוח שידוע לכם על משדרים שמודבקים לכספומטים לצורך שיכפול כרטיס אשראי,אך פענוח של אותות DTMF הנו זול יותר,פשוט יותר לביצוע,ובעל נקודות רבות הנגישות לפענוח קל ומהיר.
אזכיר בקצרה ארבע מהן:

1.
פענוח ישירות מהמכשיר בבנק בעזרת הצמדה של מפענח נייד חיצוני.

2.
פענוח בעזרת החלפה חד פעמית של פומית מכשיר הטלפון תוך שימוש במשדרים מסוגים שונים לצורך קליטת האותות או השיחות כולן . לדוגמה:בניית מכשיר סלולרי פנימי,משדר אודיו פשוט,מפענח מובנה עם יכולת לשלוח מספרים מעובדים.

3.
פענוח האותות על ידי ניתור אותות הטלפונים האלחוטיים בעזרת סורק תדרים,וזאת יחד עם חיבור שלו אל מחשב ותוכנת DTMF decoder.

4.
ניתור של אותות wifi ואינטרנט ופענוח של תעבורת הנתונים המתבצעת דרך תוכנות voip כגון Google talk ו Skype.
כפי שהדגמתי ניתן לבצע פענוח DTMF בעזרת דרכים מגוונות,חלקן מוכרות וחלקן פחות

לדעתי ניתן להמשיך בשימוש בשיטה זו של התקשרות לבנקאי מרוחק לאחר הטמעת מערכת מקיפה של זיהוי לקוחות בעזרת הטלפון.

אני ממליץ בין היתר היתר על שימוש במחולל ססמאות דינמי כפי שנמצא בשימוש
באוניברסיטאות ובחברת PayPal ,שימוש מוגבר בשאלות הזדהות בזמן ההתחברות,הטמעת מערכת לזיהוי קול המתקשר,ולסיום הקשחת מכשיר הטלפון בבנק לדגם ללא אופציה להחלפת השפופרת.



מחקר זה מוגש על ידי אמיתי דן

המצור הדיגיטלי של טינדר על רצועת עזה והאזורים שמעבר לקו הירוק, ומה הקשר לצפון קוריאה?

For my English reader: I've found that Passport  feature which is part of Tinder Plus services , is not supported in Gaza and behind ...