fraudX

Attacken auf IP Telefonsysteme folgen einem immer gleichen oder ähnlichen Prinzip. Telefonsystem im Internet suchen, offene Ports zum System suchen, Benutzername und Passwort herausfinden.

Gegen das Suchen kann man nichts machen, aber gegen einen Brute-Force Attacke kann man sehr wohl etwas unternehmen. In der Linux Welt unter Asterisk z.B. kann man mit der Software fail2ban ziemlich gute Abhilfe schaffen. Dieses System analysiert wie viele Anfragen in welcher Zeit von einer IP Adresse kommen und sperrt die IP Adresse wenn ein vorher eingestellter Parameter erreicht wird. Leider passiert das nicht in Echtzeit sondern auf der Auswertung der Logfiles. Somit bleiben doch 2-3 Sekunden um einige Passwörter durchzuprobieren. Es ist deshalb eminent wichtig, gute resp. starke Passörter zu verwenden. Leider ist der Mensch ein nicht so zuverlässiges Wesen und ein einziger Fehler kann ausreichend sein, um einen riesigen Schaden anzurichten. fraudX hilft die Chancen für einen Schaden zu minimieren und blockiert Angreifer bereits vorher.

Call Pattern Recognition
Sollten Hacker erfolgreich einen Anschluss auf einer Telefonanlage kompromittiert haben, folgen sie meistens auch wieder einer stets ähnlichen Routine. Sie eröffnen möglichst viele Anrufe gleichzeitig auf eine internationale Rufnummern und lassen diese dann gut und gerne mal 20 Minuten oder noch länger laufen. So kann es durchaus sein, dass plötzlich 20 Anrufe a je CHF 10.- die Minute ausgelöst werden. Wenn dies nicht schnell erkannt wird, kann sich der Schaden so plötzlich ins Exorbitante steigen.

Und genau hier setzen andere Schutzmassnahmen an. Sie dienen nicht dazu, einen Angriff abzuwehren, sondern ihn möglichst schnell zu erkennen und so den Schaden möglichst gering zu halten. Sie suchen nach Unregelmässigkeiten im Anruf-Verhalten eines Kunden. So wird zum Beispiel überprüft, ob ein Kunde plötzlich deutlich mehr Anrufe zur gleichen Zeit hat als sonst. Oder ob besonders viele Anrufe zu einer ungewohnten Destination (Somalia, Litauen, Thailand, Swasiland, um nur einige zu nennen) geführt werden.

Die Implementation eines solchen Systemes stellt allerdings einen beträchtlichen Aufwand dar und muss äusserst gut durchdacht sein, um eine schnelle und saubere Erkennung zu gewährleisten.

Fazit
Dabei ist vor allem eines zu beachten: Keine Schutzmassnahme ist perfekt. Man sollte stets eine Kombination aller möglichen Massnahmen anstreben. Nur so kann optimaler Schutz gewährleistet werden.