SlideShare a Scribd company logo

Dtmf phreaking

Iftach Ian Amit
Iftach Ian Amit
1 of 15
Download to read offline
‫השימוש במכשיר טלפון בתור‬ ‫אמצעי לזיהוי לקוח במערכת‬ ‫הפיננסית‬ ‫‪Rcognation by DTMF and another‬‬ ‫‪modern phone bridge‬‬ ‫מאת: אמיתי דן-חוקר אבטחת מידע‬
‫קצת היסטוריה‬ ‫מהו פריקינג.‬ ‫‪‬‬ ‫פריצות פריקינג )‪ ( Phreaking‬בעבר.‬ ‫‪‬‬ ‫מבנקאי אישי לבנקאי טלפוני.‬ ‫‪‬‬ ‫למה בכלל צריך ללמוד היסטוריה כשבאים להגן על‬ ‫‪‬‬ ‫מערכת?‬
‫שיטות הזדהות טלפוניות‬ ‫הקשת תעודת זהות וסיסמא- זיהוי בעזרת ‪.DTMF‬‬ ‫‪‬‬ ‫זיהוי קולי.‬ ‫‪‬‬ ‫‪.DTMF signal in voip software‬‬ ‫‪‬‬
‫מה עושים עם ‪DTMF‬‬ ‫‪DTMF- Dual-Tone Multi-Frequency‬‬ ‫‪‬‬ ‫שליחת צלילים בעלי ערך מספרי.‬ ‫‪‬‬ ‫פענוח הצלילים מאפשר גישה לחשבונות‬ ‫‪‬‬ ‫הבנק דרך בנקאי טלפוני.‬ ‫הגנה על הלקוח והבנק לעומת העבר שבו הבנקאי‬ ‫‪‬‬ ‫האישי ענה לטלפון ישיר וביצע לעתים פעולות ללא‬ ‫זיהוי מלא )תוך הכרות אישית עם הלקוח(.‬ ‫חיסכון בביצוע פעולות.‬ ‫‪‬‬ ‫חיסכון בעמידה בתורים.‬ ‫‪‬‬ ‫בנקאי זמין גם לאחר שעות העבודה.‬ ‫‪‬‬
‫‪-DTMF‬חולשות‬ ‫בסניפי בנק רבים הוטמעו טלפונים לשימוש הלקוחות.‬ ‫‪‬‬ ‫כסטנדרט קיימים בטלפונים כפתורי חיוג חוזר.‬ ‫‪‬‬ ‫הלחיצה משמיעה את צלילי ההקשות האחרונות.‬ ‫‪‬‬ ‫צליל שווה מספר.‬ ‫‪‬‬ ‫מספר שווה חשבון )בנק(.‬ ‫‪‬‬ ‫כספת עם מפתח בכניסה.‬ ‫‪‬‬
‫הדגמות‬ ‫הדגמת ווידאו של פענוח ‪DTMF‬בעזרת תוכנת‬ ‫פענוח בשם ‪.DTMFdec‬‬ ‫המחשת מכשיר טלפון פיזי.‬ ‫•‬
‫דרכי תקיפה‬ ‫‪DTMF decoding by Iphone and another‬‬ ‫‪‬‬ ‫‪.smartphones‬‬ ‫תוכנות ‪ DTMF decoding‬במחשבים.‬ ‫‪‬‬ ‫מכשירים ייעודיים לפענוח- ‪Portable DTMF‬‬ ‫‪‬‬ ‫‪.decoders‬‬ ‫שידור אותות ‪DTMF‬משפופרות טלפון‬ ‫‪‬‬ ‫שהוחלפה במכשיר טלפון בבנק. שידורי‬ ‫)‬ ‫משדר מקלט,‪(..GSM,WIFI‬‬
‫תקיפות נוספות‬ ‫פענוח אותות ‪ DTMF‬ממכשירי טלפון ביתיים.‬ ‫‪‬‬ ‫פענוח האותות של תוכנות ‪ voip‬לא מוצפנות דרך‬ ‫)‬ ‫‪‬‬ ‫ה ‪.(data‬‬ ‫פענוח של תוכנות ‪voip‬מוצפנות דרך האזנה‬ ‫‪‬‬ ‫לצליל ‪ DTMF‬מלאכותי במחשב עצמו.‬ ‫פענוח אותות ‪DTMF‬ממכשיר סלולרי דרך‬ ‫‪‬‬ ‫סוס טרויאני שיודע להתמקד במספרי‬ ‫הבנקים.‬
‫שיטות הגנה‬ ‫הטענה שלי היא שניתן להמשיך להשתמש במערכות‬ ‫אלו לאחר ארגון מחדש של תפיסות האבטחה בנושא.‬ ‫הקשחת מכשירי הטלפון באופן מלא.‬ ‫‪‬‬ ‫‪Multi-factor authentication‬‬ ‫‪‬‬ ‫זיהוי בעזרת שאלות הזדהות אישיות,‪.sms‬‬ ‫‪‬‬ ‫שיתוק כפתורי החיוג החוזר באופן מיידי.‬ ‫‪‬‬ ‫מחולל ססמאות דינאמי )חומרתי/תוכנתי( כמו שקיים‬ ‫‪‬‬ ‫ב‪ PayPal‬ובאוניברסיטאות רבות.‬
‫שיטת הגנה-המשך‬ ‫פיתוח של מכשירי טלפון קוויים אלחוטיים עם הצפנה‬ ‫‪‬‬ ‫בין עמדת ההטענה לטלפון עצמו.‬ ‫הבנה תפיסתית שלצורך הגנה על כשלים שיטתיים‬ ‫‪‬‬ ‫צריך לפתח שיטות הגנה פיזיות של מכשירים‬ ‫טכנולוגיים.‬ ‫הסקת מסקנות שתמנע הטמעה מהירה של דרכי‬ ‫‪‬‬ ‫התייעלות ללא הבנה שהטמעה מהירה מידי של‬ ‫מכשיר פיזי תביא לכאב ראש לוגיסטי בזמן התיקון.‬
‫‪The flash button‬‬ ‫• כפתור ה ‪ Flash‬כמפתח למרכזייה.‬ ‫• ‪.SE and data gathering‬‬ ‫פרטי הזדהות של בנקאי.‬ ‫•‬ ‫• מהתחזות ללקוח בפרצת ‪DTMF‬להרשאות‬ ‫בנקאי.‬ ‫• טלפונים ציבוריים עם חיוג למספר מוזן מראש‬ ‫קיימים גם בקופות חולים.‬ ‫שיחות חינם.‬ ‫•‬
‫הסקת מסקנות מהמחקר‬ ‫חובת ההגנה היא של הבנק אך לא פחות מכך של‬ ‫‪‬‬ ‫הלקוח.‬ ‫צורך בשילוב של ידע בהגנת המידע הדיגיטלי ושל‬ ‫‪‬‬ ‫אבטחה פיזית של חומרות ומתחמים.‬ ‫מניעה של פגיעה של תוכנות בחומרות,ועצירת כשלי‬ ‫‪‬‬ ‫תוכנות שחומרות תוקפות אותם.‬ ‫במאה ה 12 איש אבטחת מידע,וקבט פיזי‬ ‫"‬ ‫‪‬‬ ‫צריכים להיות בעלי ידע רב תחומי.‬ ‫כשיש כשל שיטתי במוצר כדאי לחפש כשל‬ ‫‪‬‬ ‫נוסף.‬
‫דעה אישית‬ ‫יש צורך בשינוי תפיסתי ביחס להתרעות על בעיות‬ ‫‪‬‬ ‫אבטחה.‬ ‫פתיחת מחלקות פיתוח מוצרים פיננסיים בהשפעת‬ ‫‪‬‬ ‫לקוחות.‬ ‫הבנה שיש בעיות.‬ ‫‪‬‬ ‫שיתוף הציבור המקצועי והלקוחות בבניית מוצרים‬ ‫פיננסיים.‬
‫תחרות ‪X-Bank‬‬ ‫,תחרות פיתוח מוצרים פיננסיים.‬ ‫‪‬‬ ‫הבנקים ירוויחו מוצרים,שיכניסו כסף נוסף.‬ ‫‪‬‬ ‫הלקוחות ישפיעו על הבנק ויזדהו עם המותג.‬ ‫‪‬‬ ‫מי שייצור בתחרות מוצר פיננסי חדש יתוגמל ע"י‬ ‫‪‬‬ ‫הבנק בעבודה כסף או פטור מעמלות.‬ ‫יווצרו רעיונות חדשים להגנה על עמדות פיזיות‬ ‫‪‬‬ ‫לשירות עצמי)‪.(Self service machine,ATM's‬‬ ‫הכורח הוא אבי ההמצאה כך שתקיפת חומרה תביא‬ ‫‪‬‬ ‫ליצירת פתרונות.‬
‫תחרות ה ‪ X-bank‬המשך‬ ‫תחרויות מוגבלות זמן,אירועי תקיפת מערכות בנקים.‬ ‫‪‬‬ ‫האם האקרים יכולים ליצור?‬ ‫‪‬‬ ‫מה משמעות המילה האקר?‬ ‫‪‬‬ ‫האם ניסיתם להמציא פטנטים פיזיים?‬ ‫‪‬‬ ‫לאחר דיווח על בעיות אבטחת מידע האם נתתם‬ ‫‪‬‬ ‫פתרונות?‬ ‫יש שאלות?‬ ‫אמיתי דן ‪popshark1@gmail.com‬‬

Recommended

Armorizing applications
Armorizing applicationsArmorizing applications
Armorizing applicationsIftach Ian Amit
 
Hacking cyber-iamit
Hacking cyber-iamitHacking cyber-iamit
Hacking cyber-iamitIftach Ian Amit
 
Sexy defense
Sexy defenseSexy defense
Sexy defenseIftach Ian Amit
 
Cyber Terror ICT Conference
Cyber Terror ICT ConferenceCyber Terror ICT Conference
Cyber Terror ICT ConferenceIftach Ian Amit
 
Turtles dc9723
Turtles dc9723Turtles dc9723
Turtles dc9723Iftach Ian Amit
 
Encryption - Alice, Bob and co.
Encryption - Alice, Bob and co.Encryption - Alice, Bob and co.
Encryption - Alice, Bob and co.Iftach Ian Amit
 
Telecommunication basics dc9723
Telecommunication basics dc9723Telecommunication basics dc9723
Telecommunication basics dc9723Iftach Ian Amit
 
Social Media Risk Metrics
Social Media Risk MetricsSocial Media Risk Metrics
Social Media Risk MetricsIftach Ian Amit
 

Recommended

Armorizing applications
Armorizing applicationsArmorizing applications
Armorizing applicationsIftach Ian Amit
 
Hacking cyber-iamit
Hacking cyber-iamitHacking cyber-iamit
Hacking cyber-iamitIftach Ian Amit
 
Sexy defense
Sexy defenseSexy defense
Sexy defenseIftach Ian Amit
 
Cyber Terror ICT Conference
Cyber Terror ICT ConferenceCyber Terror ICT Conference
Cyber Terror ICT ConferenceIftach Ian Amit
 
Turtles dc9723
Turtles dc9723Turtles dc9723
Turtles dc9723Iftach Ian Amit
 
Encryption - Alice, Bob and co.
Encryption - Alice, Bob and co.Encryption - Alice, Bob and co.
Encryption - Alice, Bob and co.Iftach Ian Amit
 
Telecommunication basics dc9723
Telecommunication basics dc9723Telecommunication basics dc9723
Telecommunication basics dc9723Iftach Ian Amit
 
Social Media Risk Metrics
Social Media Risk MetricsSocial Media Risk Metrics
Social Media Risk MetricsIftach Ian Amit
 
אבטחת ציוד קצה נייד
אבטחת ציוד קצה ניידאבטחת ציוד קצה נייד
אבטחת ציוד קצה ניידTal Ein - Habar
 
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקיהרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקיHillel Kobrovski
 
כנס: אתגרים בחיבור משתמשים ועובדים מהבית
כנס: אתגרים בחיבור משתמשים ועובדים מהבית כנס: אתגרים בחיבור משתמשים ועובדים מהבית
כנס: אתגרים בחיבור משתמשים ועובדים מהבית Hillel Kobrovski
 
אבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אאבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אhaimkarel
 
Rt Summary Info Security 14 Nov 07
Rt Summary Info Security 14 Nov 07Rt Summary Info Security 14 Nov 07
Rt Summary Info Security 14 Nov 07STKI
 
אבטחת מידע לעובדים בארגון
אבטחת מידע לעובדים בארגוןאבטחת מידע לעובדים בארגון
אבטחת מידע לעובדים בארגוןIsraeli Internet Association technology committee
 
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהסמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהHillel Kobrovski
 
217197389 rt-mobile-security-poc-2010
217197389 rt-mobile-security-poc-2010217197389 rt-mobile-security-poc-2010
217197389 rt-mobile-security-poc-2010Inbalraanan
 
E Commerce
E CommerceE Commerce
E Commercehaimkarel
 
Wisair
WisairWisair
WisairThe Jerusalem Institute for Israel Studies
 
213071739 rt-zero-day-attacks-may-2013
213071739 rt-zero-day-attacks-may-2013213071739 rt-zero-day-attacks-may-2013
213071739 rt-zero-day-attacks-may-2013Inbalraanan
 
E Commerce And Payment Security
E Commerce And Payment SecurityE Commerce And Payment Security
E Commerce And Payment Securityhaimkarel
 
סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעסדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעHillel Kobrovski
 
Cyber Attacks
Cyber AttacksCyber Attacks
Cyber Attackshaimkarel
 
Digital first 12-04-16 - full architecture
Digital first 12-04-16 - full architectureDigital first 12-04-16 - full architecture
Digital first 12-04-16 - full architectureStrauss Strategy
 
991 blackberry warnings
991 blackberry warnings991 blackberry warnings
991 blackberry warningsKoby Shpivak - pCon - TechMap
 
993 visual communication_warnings_101210
993 visual communication_warnings_101210993 visual communication_warnings_101210
993 visual communication_warnings_101210Koby Shpivak - pCon - TechMap
 
993 visual communication
993 visual communication993 visual communication
993 visual communicationKoby Shpivak - pCon - TechMap
 
Macroscop VMS
Macroscop VMSMacroscop VMS
Macroscop VMSMacroscop
 
Block chain seminar
Block chain seminarBlock chain seminar
Block chain seminarAviad Shiber
 
Cyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVCyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVIftach Ian Amit
 
Devsecops at Cimpress
Devsecops at CimpressDevsecops at Cimpress
Devsecops at CimpressIftach Ian Amit
 

More Related Content

Similar to Dtmf phreaking

אבטחת ציוד קצה נייד
אבטחת ציוד קצה ניידאבטחת ציוד קצה נייד
אבטחת ציוד קצה ניידTal Ein - Habar
 
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקיהרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקיHillel Kobrovski
 
כנס: אתגרים בחיבור משתמשים ועובדים מהבית
כנס: אתגרים בחיבור משתמשים ועובדים מהבית כנס: אתגרים בחיבור משתמשים ועובדים מהבית
כנס: אתגרים בחיבור משתמשים ועובדים מהבית Hillel Kobrovski
 
אבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אאבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אhaimkarel
 
Rt Summary Info Security 14 Nov 07
Rt Summary Info Security 14 Nov 07Rt Summary Info Security 14 Nov 07
Rt Summary Info Security 14 Nov 07STKI
 
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהסמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהHillel Kobrovski
 
217197389 rt-mobile-security-poc-2010
217197389 rt-mobile-security-poc-2010217197389 rt-mobile-security-poc-2010
217197389 rt-mobile-security-poc-2010Inbalraanan
 
213071739 rt-zero-day-attacks-may-2013
213071739 rt-zero-day-attacks-may-2013213071739 rt-zero-day-attacks-may-2013
213071739 rt-zero-day-attacks-may-2013Inbalraanan
 
E Commerce And Payment Security
E Commerce And Payment SecurityE Commerce And Payment Security
E Commerce And Payment Securityhaimkarel
 
סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעסדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעHillel Kobrovski
 
Cyber Attacks
Cyber AttacksCyber Attacks
Cyber Attackshaimkarel
 
Digital first 12-04-16 - full architecture
Digital first 12-04-16 - full architectureDigital first 12-04-16 - full architecture
Digital first 12-04-16 - full architectureStrauss Strategy
 
Block chain seminar
Block chain seminarBlock chain seminar
Block chain seminarAviad Shiber
 

Similar to Dtmf phreaking (20)

אבטחת ציוד קצה נייד
אבטחת ציוד קצה ניידאבטחת ציוד קצה נייד
אבטחת ציוד קצה נייד
 
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקיהרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
הרצאה - מודעות אבטחת מידע והגנת סייבר לעובדים - הילל קוברובסקי
 
כנס: אתגרים בחיבור משתמשים ועובדים מהבית
כנס: אתגרים בחיבור משתמשים ועובדים מהבית כנס: אתגרים בחיבור משתמשים ועובדים מהבית
כנס: אתגרים בחיבור משתמשים ועובדים מהבית
 
אבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק אאבטחת מידע בסביבת האינטרנט חלק א
אבטחת מידע בסביבת האינטרנט חלק א
 
Rt Summary Info Security 14 Nov 07
Rt Summary Info Security 14 Nov 07Rt Summary Info Security 14 Nov 07
Rt Summary Info Security 14 Nov 07
 
אבטחת מידע לעובדים בארגון
אבטחת מידע לעובדים בארגוןאבטחת מידע לעובדים בארגון
אבטחת מידע לעובדים בארגון
 
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצהסמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
סמינר: הילל קוברובסקי - הגנת סייבר ברמת תחנת הקצה
 
217197389 rt-mobile-security-poc-2010
217197389 rt-mobile-security-poc-2010217197389 rt-mobile-security-poc-2010
217197389 rt-mobile-security-poc-2010
 
E Commerce
E CommerceE Commerce
E Commerce
 
Wisair
WisairWisair
Wisair
 
213071739 rt-zero-day-attacks-may-2013
213071739 rt-zero-day-attacks-may-2013213071739 rt-zero-day-attacks-may-2013
213071739 rt-zero-day-attacks-may-2013
 
E Commerce And Payment Security
E Commerce And Payment SecurityE Commerce And Payment Security
E Commerce And Payment Security
 
סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידעסדנת מבוא: הגנת סייבר למבקרי מערכות מידע
סדנת מבוא: הגנת סייבר למבקרי מערכות מידע
 
Cyber Attacks
Cyber AttacksCyber Attacks
Cyber Attacks
 
Digital first 12-04-16 - full architecture
Digital first 12-04-16 - full architectureDigital first 12-04-16 - full architecture
Digital first 12-04-16 - full architecture
 
991 blackberry warnings
991 blackberry warnings991 blackberry warnings
991 blackberry warnings
 
993 visual communication_warnings_101210
993 visual communication_warnings_101210993 visual communication_warnings_101210
993 visual communication_warnings_101210
 
993 visual communication
993 visual communication993 visual communication
993 visual communication
 
Macroscop VMS
Macroscop VMSMacroscop VMS
Macroscop VMS
 
Block chain seminar
Block chain seminarBlock chain seminar
Block chain seminar
 

More from Iftach Ian Amit

Cyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVCyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVIftach Ian Amit
 
BSidesTLV Closing Keynote
BSidesTLV Closing KeynoteBSidesTLV Closing Keynote
BSidesTLV Closing KeynoteIftach Ian Amit
 
From your Pocket to your Heart and Back
From your Pocket to your Heart and BackFrom your Pocket to your Heart and Back
From your Pocket to your Heart and BackIftach Ian Amit
 
Painting a Company Red and Blue
Painting a Company Red and BluePainting a Company Red and Blue
Painting a Company Red and BlueIftach Ian Amit
 
"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?Iftach Ian Amit
 
Seeing Red In Your Future?
Seeing Red In Your Future?Seeing Red In Your Future?
Seeing Red In Your Future?Iftach Ian Amit
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2Iftach Ian Amit
 
Advanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done itAdvanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done itIftach Ian Amit
 
Infecting Python Bytecode
Infecting Python BytecodeInfecting Python Bytecode
Infecting Python BytecodeIftach Ian Amit
 
Cheating in Computer Games
Cheating in Computer GamesCheating in Computer Games
Cheating in Computer GamesIftach Ian Amit
 
Stuxnet - the worm and you
Stuxnet - the worm and youStuxnet - the worm and you
Stuxnet - the worm and youIftach Ian Amit
 
Pushing in, leaving a present, and pulling out slowly without anyone noticing
Pushing in, leaving a present, and pulling out slowly without anyone noticingPushing in, leaving a present, and pulling out slowly without anyone noticing
Pushing in, leaving a present, and pulling out slowly without anyone noticingIftach Ian Amit
 
Mesh network presentation
Mesh network presentationMesh network presentation
Mesh network presentationIftach Ian Amit
 
Advanced Data Exfiltration
Advanced Data ExfiltrationAdvanced Data Exfiltration
Advanced Data ExfiltrationIftach Ian Amit
 

More from Iftach Ian Amit (20)

Cyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVCyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLV
 
Devsecops at Cimpress
Devsecops at CimpressDevsecops at Cimpress
Devsecops at Cimpress
 
BSidesTLV Closing Keynote
BSidesTLV Closing KeynoteBSidesTLV Closing Keynote
BSidesTLV Closing Keynote
 
ISTS12 Keynote
ISTS12 KeynoteISTS12 Keynote
ISTS12 Keynote
 
From your Pocket to your Heart and Back
From your Pocket to your Heart and BackFrom your Pocket to your Heart and Back
From your Pocket to your Heart and Back
 
Painting a Company Red and Blue
Painting a Company Red and BluePainting a Company Red and Blue
Painting a Company Red and Blue
 
"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?
 
Seeing Red In Your Future?
Seeing Red In Your Future?Seeing Red In Your Future?
Seeing Red In Your Future?
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2
 
Bitcoin
BitcoinBitcoin
Bitcoin
 
Cyber state
Cyber stateCyber state
Cyber state
 
Advanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done itAdvanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done it
 
Infecting Python Bytecode
Infecting Python BytecodeInfecting Python Bytecode
Infecting Python Bytecode
 
Exploiting Second life
Exploiting Second lifeExploiting Second life
Exploiting Second life
 
Cheating in Computer Games
Cheating in Computer GamesCheating in Computer Games
Cheating in Computer Games
 
Stuxnet - the worm and you
Stuxnet - the worm and youStuxnet - the worm and you
Stuxnet - the worm and you
 
Pushing in, leaving a present, and pulling out slowly without anyone noticing
Pushing in, leaving a present, and pulling out slowly without anyone noticingPushing in, leaving a present, and pulling out slowly without anyone noticing
Pushing in, leaving a present, and pulling out slowly without anyone noticing
 
Mesh network presentation
Mesh network presentationMesh network presentation
Mesh network presentation
 
Html5 hacking
Html5 hackingHtml5 hacking
Html5 hacking
 
Advanced Data Exfiltration
Advanced Data ExfiltrationAdvanced Data Exfiltration
Advanced Data Exfiltration
 

Dtmf phreaking

  • 1. ‫השימוש במכשיר טלפון בתור‬ ‫אמצעי לזיהוי לקוח במערכת‬ ‫הפיננסית‬ ‫‪Rcognation by DTMF and another‬‬ ‫‪modern phone bridge‬‬ ‫מאת: אמיתי דן-חוקר אבטחת מידע‬
  • 2. ‫קצת היסטוריה‬ ‫מהו פריקינג.‬ ‫‪‬‬ ‫פריצות פריקינג )‪ ( Phreaking‬בעבר.‬ ‫‪‬‬ ‫מבנקאי אישי לבנקאי טלפוני.‬ ‫‪‬‬ ‫למה בכלל צריך ללמוד היסטוריה כשבאים להגן על‬ ‫‪‬‬ ‫מערכת?‬
  • 3. ‫שיטות הזדהות טלפוניות‬ ‫הקשת תעודת זהות וסיסמא- זיהוי בעזרת ‪.DTMF‬‬ ‫‪‬‬ ‫זיהוי קולי.‬ ‫‪‬‬ ‫‪.DTMF signal in voip software‬‬ ‫‪‬‬
  • 4. ‫מה עושים עם ‪DTMF‬‬ ‫‪DTMF- Dual-Tone Multi-Frequency‬‬ ‫‪‬‬ ‫שליחת צלילים בעלי ערך מספרי.‬ ‫‪‬‬ ‫פענוח הצלילים מאפשר גישה לחשבונות‬ ‫‪‬‬ ‫הבנק דרך בנקאי טלפוני.‬ ‫הגנה על הלקוח והבנק לעומת העבר שבו הבנקאי‬ ‫‪‬‬ ‫האישי ענה לטלפון ישיר וביצע לעתים פעולות ללא‬ ‫זיהוי מלא )תוך הכרות אישית עם הלקוח(.‬ ‫חיסכון בביצוע פעולות.‬ ‫‪‬‬ ‫חיסכון בעמידה בתורים.‬ ‫‪‬‬ ‫בנקאי זמין גם לאחר שעות העבודה.‬ ‫‪‬‬
  • 5. ‫‪-DTMF‬חולשות‬ ‫בסניפי בנק רבים הוטמעו טלפונים לשימוש הלקוחות.‬ ‫‪‬‬ ‫כסטנדרט קיימים בטלפונים כפתורי חיוג חוזר.‬ ‫‪‬‬ ‫הלחיצה משמיעה את צלילי ההקשות האחרונות.‬ ‫‪‬‬ ‫צליל שווה מספר.‬ ‫‪‬‬ ‫מספר שווה חשבון )בנק(.‬ ‫‪‬‬ ‫כספת עם מפתח בכניסה.‬ ‫‪‬‬
  • 6. ‫הדגמות‬ ‫הדגמת ווידאו של פענוח ‪DTMF‬בעזרת תוכנת‬ ‫פענוח בשם ‪.DTMFdec‬‬ ‫המחשת מכשיר טלפון פיזי.‬ ‫•‬
  • 7. ‫דרכי תקיפה‬ ‫‪DTMF decoding by Iphone and another‬‬ ‫‪‬‬ ‫‪.smartphones‬‬ ‫תוכנות ‪ DTMF decoding‬במחשבים.‬ ‫‪‬‬ ‫מכשירים ייעודיים לפענוח- ‪Portable DTMF‬‬ ‫‪‬‬ ‫‪.decoders‬‬ ‫שידור אותות ‪DTMF‬משפופרות טלפון‬ ‫‪‬‬ ‫שהוחלפה במכשיר טלפון בבנק. שידורי‬ ‫)‬ ‫משדר מקלט,‪(..GSM,WIFI‬‬
  • 8. ‫תקיפות נוספות‬ ‫פענוח אותות ‪ DTMF‬ממכשירי טלפון ביתיים.‬ ‫‪‬‬ ‫פענוח האותות של תוכנות ‪ voip‬לא מוצפנות דרך‬ ‫)‬ ‫‪‬‬ ‫ה ‪.(data‬‬ ‫פענוח של תוכנות ‪voip‬מוצפנות דרך האזנה‬ ‫‪‬‬ ‫לצליל ‪ DTMF‬מלאכותי במחשב עצמו.‬ ‫פענוח אותות ‪DTMF‬ממכשיר סלולרי דרך‬ ‫‪‬‬ ‫סוס טרויאני שיודע להתמקד במספרי‬ ‫הבנקים.‬
  • 9. ‫שיטות הגנה‬ ‫הטענה שלי היא שניתן להמשיך להשתמש במערכות‬ ‫אלו לאחר ארגון מחדש של תפיסות האבטחה בנושא.‬ ‫הקשחת מכשירי הטלפון באופן מלא.‬ ‫‪‬‬ ‫‪Multi-factor authentication‬‬ ‫‪‬‬ ‫זיהוי בעזרת שאלות הזדהות אישיות,‪.sms‬‬ ‫‪‬‬ ‫שיתוק כפתורי החיוג החוזר באופן מיידי.‬ ‫‪‬‬ ‫מחולל ססמאות דינאמי )חומרתי/תוכנתי( כמו שקיים‬ ‫‪‬‬ ‫ב‪ PayPal‬ובאוניברסיטאות רבות.‬
  • 10. ‫שיטת הגנה-המשך‬ ‫פיתוח של מכשירי טלפון קוויים אלחוטיים עם הצפנה‬ ‫‪‬‬ ‫בין עמדת ההטענה לטלפון עצמו.‬ ‫הבנה תפיסתית שלצורך הגנה על כשלים שיטתיים‬ ‫‪‬‬ ‫צריך לפתח שיטות הגנה פיזיות של מכשירים‬ ‫טכנולוגיים.‬ ‫הסקת מסקנות שתמנע הטמעה מהירה של דרכי‬ ‫‪‬‬ ‫התייעלות ללא הבנה שהטמעה מהירה מידי של‬ ‫מכשיר פיזי תביא לכאב ראש לוגיסטי בזמן התיקון.‬
  • 11. ‫‪The flash button‬‬ ‫• כפתור ה ‪ Flash‬כמפתח למרכזייה.‬ ‫• ‪.SE and data gathering‬‬ ‫פרטי הזדהות של בנקאי.‬ ‫•‬ ‫• מהתחזות ללקוח בפרצת ‪DTMF‬להרשאות‬ ‫בנקאי.‬ ‫• טלפונים ציבוריים עם חיוג למספר מוזן מראש‬ ‫קיימים גם בקופות חולים.‬ ‫שיחות חינם.‬ ‫•‬
  • 12. ‫הסקת מסקנות מהמחקר‬ ‫חובת ההגנה היא של הבנק אך לא פחות מכך של‬ ‫‪‬‬ ‫הלקוח.‬ ‫צורך בשילוב של ידע בהגנת המידע הדיגיטלי ושל‬ ‫‪‬‬ ‫אבטחה פיזית של חומרות ומתחמים.‬ ‫מניעה של פגיעה של תוכנות בחומרות,ועצירת כשלי‬ ‫‪‬‬ ‫תוכנות שחומרות תוקפות אותם.‬ ‫במאה ה 12 איש אבטחת מידע,וקבט פיזי‬ ‫"‬ ‫‪‬‬ ‫צריכים להיות בעלי ידע רב תחומי.‬ ‫כשיש כשל שיטתי במוצר כדאי לחפש כשל‬ ‫‪‬‬ ‫נוסף.‬
  • 13. ‫דעה אישית‬ ‫יש צורך בשינוי תפיסתי ביחס להתרעות על בעיות‬ ‫‪‬‬ ‫אבטחה.‬ ‫פתיחת מחלקות פיתוח מוצרים פיננסיים בהשפעת‬ ‫‪‬‬ ‫לקוחות.‬ ‫הבנה שיש בעיות.‬ ‫‪‬‬ ‫שיתוף הציבור המקצועי והלקוחות בבניית מוצרים‬ ‫פיננסיים.‬
  • 14. ‫תחרות ‪X-Bank‬‬ ‫,תחרות פיתוח מוצרים פיננסיים.‬ ‫‪‬‬ ‫הבנקים ירוויחו מוצרים,שיכניסו כסף נוסף.‬ ‫‪‬‬ ‫הלקוחות ישפיעו על הבנק ויזדהו עם המותג.‬ ‫‪‬‬ ‫מי שייצור בתחרות מוצר פיננסי חדש יתוגמל ע"י‬ ‫‪‬‬ ‫הבנק בעבודה כסף או פטור מעמלות.‬ ‫יווצרו רעיונות חדשים להגנה על עמדות פיזיות‬ ‫‪‬‬ ‫לשירות עצמי)‪.(Self service machine,ATM's‬‬ ‫הכורח הוא אבי ההמצאה כך שתקיפת חומרה תביא‬ ‫‪‬‬ ‫ליצירת פתרונות.‬
  • 15. ‫תחרות ה ‪ X-bank‬המשך‬ ‫תחרויות מוגבלות זמן,אירועי תקיפת מערכות בנקים.‬ ‫‪‬‬ ‫האם האקרים יכולים ליצור?‬ ‫‪‬‬ ‫מה משמעות המילה האקר?‬ ‫‪‬‬ ‫האם ניסיתם להמציא פטנטים פיזיים?‬ ‫‪‬‬ ‫לאחר דיווח על בעיות אבטחת מידע האם נתתם‬ ‫‪‬‬ ‫פתרונות?‬ ‫יש שאלות?‬ ‫אמיתי דן ‪popshark1@gmail.com‬‬