Возвращение в 1980-е: банки снова можно взломать с помощью звонка по телефону // 17 Февраля 2013

Рахул Саси (Rahul Sasi) из компании iSight Partners нашел подтверждения тому, что хакерские приемы из 80-х годов прошлого века по-прежнему не теряют актуальности. Как обнаружил Саси, злоумышленники могут нарушить работу голосовых систем доступа в банках и службах поддержки пользователей одним входящим звонков. Уязвимость, как заявил Саси, кроется в алгоритмах обработки звука, которые используются офисными телефонными сетями и программами голосового управления. Атака получила название «fuzzing» (фаззинг, атака методом «серого ящика»).

Как и в прошлом веке, двухтоновые мультичастотные сигналы DTMF (Dual-Tone Multi-Frequency), знакомые большинству по звукам тонового набора, остаются важной информацией для УАТС (Учрежденческая Автоматическая Телефонная Станция) и интерактивных автоответчиков IVR (Interactive Voice Response). Выясняется, что и сегодня, в 2012 году, определенные DTMF-сигналы могут вызывать серьезные сбои в работе этих систем так же, как нестандартные входные данные могут обрушить приложения, работающие на ПК или сервере.

УАТС и IVR-системы часто используются в системах банковского обслуживания по телефону, в центрах обработки вызовов и в других интерактивных системах. Некоторые сочетания DTMF-сигналов могут либо серьезно нарушить работу такой системы, либо заставить ее выдать важную информацию. Повторение таких трюков создает настоящую атаку на отказ в обслуживании, только в отношении телефонных линий, а не серверов Интернета:

Как пишет Саси в своем исследовании, если злоумышленник сможет вызвать сбой в алгоритме обработки DTMF-сигнала, это может привести к отказу всей целевой системы. Отказ некоторых таких систем может вызвать панику среди клиентов, так что серьезность атаки более чем высока. В частности, показаны способы удаленной DTMF-атаки на системы телефонного голосования, банковские системы и службы поддержки клиентов.

Результаты своего исследования Саси представил на хакерской конференции «Hack in the Box» в Малайзии, а потом планирует повторить выступление на конференциях Nullcon в Дели (Индия) и Ruxcon в Мельбурне (Австралия).

Кроме атак на отказ в обслуживании, Саси обнаружил способы телефонной атаки на кражу данных. Звучит невероятно, но Саси заявляет, что ему удалось получить ПИН-код клиента в одном из индийских банков. В ответ на DTMF-запросы система банка выдавала определенные звуковые ответы об ошибке, но в этой звуковой информации исследователю удалось найти части секретных данных.

По мнению Рахула Саси, и владельцам, и операторам голосовых систем обслуживания следует немедленно принять меры или хотя бы осознать, что их системы очень подвержены атакам. В отличие от Интернета, голосовые каналы не предлагают никаких брандмауэров или кодов проверки «являетесь ли вы человеком». Наконец, стоит заметить, что весь инструментарий DTMF-атак на голосовые системы удаленного обслуживания укладывается всего в 16 сигналов это цифры с 0 до 9, символы #, *, а также латинские буквы A, B, C и D. Сейчас Саси разрабатывает программу, которая сможет комбинировать потоки DTMF-сигналов с разной периодичностью и частотами.

По материалам сайта The Register.