• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202/06-34339533, info@burojansen.nl.
    Steun Buro Jansen & Janssen. Word donateur, NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.
  • Publicaties

  • Europa

  • Politieklachten

  • ISDN, afluisteren in het kwardraat

    In 1985 was het British Telecom die ISDN, ofwel Integrated Services Digital Network, als eerste aanbood. Met ISDN kunnen alle soorten gegevens -spraak, beeld, geluid of computerdata- met hoge snelheid digitaal verzonden worden. Vooral door de komst van Internet en de behoefte aan snellere verbindingen nam het gebruik van ISDN een hoge vlucht. Maar ook faxen, video-conferencing, thuiswerken met toegang tot het computernetwerk op je werk, apparatuurbediening op afstand (bruggen, drukpersen) of het verbinden van computernetwerken zijn toepassingen waarbij veel van ISDN gebruik gemaakt wordt. En natuurlijk wordt ISDN gebruikt voor telefonie.


    Bij analoge telefonie worden er spraaksignalen op de lijn gezet. In de telefooncentrales van de KPN, die in Nederland al enige tijd digitaal zijn, worden deze geluidssignalen gedigitaliseerd (in enen en nullen omgezet). Met een ISDN-aansluiting wordt het gesprek al digitaal aan de telefooncentrale doorgegeven. Je hebt daardoor veel minder last van interferentie en ruis.
    ISDN vertegenwoordigt een complete netwerkarchitectuur. Die architectuur betreft de protocollen, standaards, apparatuurkoppelingen, toegang tot het netwerk en overdrachtsmedia. Zo kan een ISDN-verbinding via koper- of glasvezelkabel lopen, maar ook via allerlei draadloze media gaan zoals radio, satelliet, laser, infrarood of microgolf. Aanvankelijk was het een probleem dat bij ISDN in de VS iets andere standaards gebruikt werden dan in de rest van de wereld en er per land op sommige uitvoeringsniveaus verschillen bestonden. Maar de koppelingen tussen willekeurig welke ISDN-systemen in de wereld leveren tegenwoordig geen enkel probleem meer op.
    Net als bij analoge telefonie gaat het bij ISDN om dial-up verbindingen. Dat wil zeggen dat een verbinding pas gemaakt wordt als er daadwerkelijk gegevens uitgewisseld moeten worden en dat de verbinding weer verbroken wordt als de gegevensuitwisseling weer beëindigd is. Het opbouwen van een ISDN-verbinding gaat in minder dan twee seconden. Ter vergelijking: bij het gewone telefoonnet kan een modem daar dertig tot zestig seconden over doen.

    B-kanalen en D-kanaal

    Het minimale standaardpakket heet ISDN-2 (Dit wordt ook wel Basic Rate Interface (BRI) genoemd). In Europa bestaat dit uit twee B-kanalen van 64 kbps en een D-kanaal van 16 kbps. Sommige grotere bedrijven en Internetproviders hebben één of meerdere ISDN-30 aansluitingen, bestaande uit dertig 64 kbps B-kanalen en een D-kanaal (Dit wordt een Primary Rate Interface (PRI) genoemd). Breedband ISDN (B-ISDN) dat snelheden aan kan van 150 Mbps, is nog in ontwikkeling en zal een volledig glasvezelkabelnetwerk zijn.
    De B-kanalen worden meestal gebruikt voor telefonie, Internet, video of fax. Zeg maar voor directe communicatie tussen mensen. Het D-kanaal helpt bij de opbouw en verdere besturing van een verbinding, maar heeft ook andere mogelijke toepassingen. Zo wordt het D-kanaal ook wel gebruikt voor het versturen van pincode-informatie, het op afstand bedienen van bewakingscamera’s of voor het versturen van informatie van sensoren en alarmapparatuur naar een meldkamer. Daarvoor moet men zich op speciale diensten van KPN Telecom abonneren als Digi-Access PIN of Digi-Access Alarm.
    Het is mogelijk de twee B-kanalen van ISDN-2 gelijktijdig voor twee verschillende functies te gebruiken. Je kunt dan bijvoorbeeld bellen naar je familie in het buitenland en tegelijkertijd een fax versturen. Je kunt ook de twee B-kanalen bundelen zodat je een 128 kbps verbinding kunt leggen. Dit is handig bij een verbinding met Internet.

    ANALOGE- EN ISDN-APPARATUUR

    Wie overstapt naar ISDN-2 moet een aansluiting aanvragen bij de KPN of een aan haar gelieerd bedrijf. Wat betreft je oude (analoge) apparatuur, deze moet je óf vervangen door digitale varianten óf je schaft een A/B-adapter aan.
    Een A/B-adapter kan analoge signalen, zoals spraak, omzetten naar een digitaal signaal. Met een A/B-adapter zou je zelfs je analoge modem voor de verbinding naar het Internet kunnen blijven gebruiken, maar dan moet je wel een snel modem hebben anders maak je verre van optimaal gebruik van de mogelijke bandbreedte van ISDN. Een apparaat met meerdere aansluitingen voor analoge apparaten heet ook wel A/B-centrale of ISDN-centrale.
    Je kunt ook de oude analoge telefoon, fax en modem verkopen en digitale varianten daarvan aanschaffen. In plaats van modem heb je dan een ISDN-adapter. In Europa en Japan is het standaard mogelijk acht ISDN-apparaten aan te sluiten op één ISDN-2 aansluiting.
    In een bedrijfsomgeving worden vaak ISDN-routers gebruikt. Een router is een apparaat dat binnenkomende data-stromen bekijkt en doorstuurt naar verschillende bestemmingen in een netwerk. Hiermee wordt het mogelijk alle computers die deel uitmaken van een netwerk via één ISDN- verbinding Internet toegang te verschaffen, een inbelfaciliteit te creëren voor tele- en thuiswerkers of computernetwerken op verschillende lokaties met elkaar te verbinden.
    Alle ISDN-apparatuur moet altijd het D-kanaal besturingsprotocol ondersteunen dat in de lokale KPN centrales wordt gebruikt (In Nederland heet dit DSS1, E-DSS1, ETSI of Euro-ISDN).

    APPARATEN AANSLUITEN

    Wanneer de KPN ISDN-2 komt aanleggen wordt de oude telefoonstekkerdoos in de muur vervangen door een andere, de zogenaamde NT1 (Network Terminator 1).
    Deze NT1 blijft eigendom van de KPN en bevindt zich daar waar ISDN het huis binnenkomt. Dit is het scheidingspunt tussen de KPN-infrastructuur en de randapparatuur van de gebruiker zelf. De bedrading vanaf de KPN-centrale tot de NT1 heet de U-bus. Bij een ISDN-2 aansluiting is de U-bus, net als bij analoge lijnen, gewoon tweedraads koper.
    De ISDN bekabeling is na de NT1 binnenshuis vierdraads en wordt de S-bus genoemd. Hierop worden ISDN-apparaten aangesloten. Daartoe leg je een busstructuur-netwerk aan met gewoon telefoondraad, RJ-45 pluggen en ISDN-contactstekkers, waar het aansluitsnoer van de ISDN-apparatuur wordt ingeprikt. In onderstaande figuur zie je een voorbeeld van een S-bus met een analoge telefoon en drie ISDN-telefoons.

    ISDN-CENTRALES

    ISDN-centrales zijn er in diverse soorten. In haar simpelste vorm is het niet meer dan een apparaat met meerdere A/B-aansluitingen voor analoge apparatuur. De aanschaf van zo’n ISDN-centrale is de moeite waard als je meerdere analoge apparaten hebt.
    Zo’n huiscentrale met voldoende A/B poorten en MSN’s (Multiple Sunbscriber Network), maakt dat de analoge telefoontoestellen op de slaapkamer, huiskamer, werkkamer, de modem, de fax en het antwoordapparaat op een eigen nummer kunnen reageren. MSN is de mogelijkheid om meerdere aanroepnummers, standaard tot maximaal acht, op één ISDN-aansluiting te hebben.Je zou op deze wijze bijvoorbeeld ook een eigen nummer kunnen toekennen aan elke bewoner van een studentenhuis. Een oproep van buiten, bijvoorbeeld een binnenkomende gespreksaanvraag, wordt via het D-kanaal bekendgemaakt. Analoge apparaten weten via de programmering van de A/B-poort op welk nummer ze moeten reageren: ISDN apparaten moeten zelf zijn geprogrammeerd om op het juiste nummer te reageren. Het programmeren van een ISDN centrale gaat meestal via een computer die door de seriële poort aan de centrale is gekoppeld.
    Er bestaan centrales met alleen A/B-poorten, met ook ISDN-poorten, alsmede centrales met een extra, ingebouwde S-bus waardoor het mogelijk wordt om meer dan acht ISDN-apparaten aan te sluiten. Bij dit laatste type gaat het meestal niet meer om een kleine huiscentrale maar om een bedrijfscentrale.
    ***** Afbeelding invoegen
    Afhankelijk van de door de fabrikant ingebouwde functionaliteit, kunnen de diverse merken en types ISDN-centrales meer of minder mogelijkheden van ISDN ondersteunen.

    Mogelijkheden van ISDN

     

    Afstandbediening

    De wat grotere bedrijfscentarles hebben meestal de mogelijkheid om op afstand bediend te worden.
    AOC

    (Advice of Charge). Met deze aanvullende dienst ziet de beller de kosten van het gesprek op het display van het telefoontoestel.
    MSN

    (Multiple Subscriber Network) oftewel de mogelijkheid om meerdere, tot maximaal acht, telefoonnummers op die ene ISDN-aansluiting te hebben. Niet gratis.
    CONFERENCE CALL

    Driegesprek. Als een tweede gesprek is opgebouwd of als er een tweede oproep is beantwoord, kunnen de twee tot stand gebrachte gesprekken worden gecombineerd tot een gesprek met drie personen.
    CALL HOLD / CALL WAITING

    Call Hold of Wisselgesprek. De gebruiker kan op een ISDN-telefoon een indicatie ontvangen dat er nog een inkomend gesprek is terwijl alle B-kanalen reeds zijn bezet. Met wachtstand (Call Waiting) kan een lopend gesprek even worden “geparkeerd”, zodat het nieuwe binnenkomende gesprek aangenomen kan worden. Deze dienst is minder interessant bij ISDN dan bij analoge lijnen, omdat een ISDN-lijn toch al twee gesprekken aankan. Het zou dan hoogstens om een derde gesprek gaan (of een tweede gesprek indien er bijvoorbeeld vanaf een PC ook een Internet verbinding loopt). Wisselgesprek, Wachtstand en Direct Doorschakelen worden tesamen ook wel Dienst Bereikbaarheid genoemd. De ISDN-dienst wisselgesprek moet apart worden aangevraagd.
    CALL FORWARDING UNCONDITIONAL

    Direct doorschakelen. Met deze faciliteit kan een nummer naar elders worden doorgeschakeld. Bij ISDN kan dit per MSN en per type verbinding (spraak, data) worden gekozen: alle oproepen (*210), alleen spraak/audio (*211), alleen 64k data (*212). Sommige ISDN telefooncentrales kunnen ook zelf doorschakelen naar externe nummers. Zij gebruiken hiervoor simpelweg een ander vrij B-kanaal.
    CALL FORWARDING NO REPONSE

    Doorschakelen bij geen gehoor. Met deze faciliteit kan een nummer naar elders worden doorgeschakeld. KPN’s VoiceMail maakt van deze dienst gebruik.
    CALL BUMPING

    Als beide communicatiekanalen (B-kanalen) in gebruik zijn ten behoeve van een 128K-verbinding kun je niet meer bereikt worden. Mensen die je proberen te bereiken krijgen de ingesprektoon. Als de apparatuur echter ondersteuning voor Call Bumping heeft, kan door de signalering via het D-kanaal een B-kanaal worden vrijgemaakt voor een gesprek. De data-verbinding wordt hierdoor teruggebracht tot 64 kbps.
    CLIP

    Calling Line Identification Presentation, CallerID of nummeridentificatie. Indien vanaf een ISDN-aansluiting naar een andere ISDN-aansluiting wordt gebeld, kan daar het telefoonnummer van de opbellende partij worden getoond. Dit is een gratis dienst, en zit standaard bij alle ISDN-lijnen.
    CLIR

    Calling Line Identification Restriction. De bellende partij kan verbieden dat zijn nummer zichtbaar wordt aan de andere kant (tegenhanger van CLIP).
    CCBS

    (Call Completion on Busy Subscriber). Deze dienst wordt spoedig geïntroduceerd. Als je iemand niet kunt bereiken omdat die persoon in gesprek is kun je door het indrukken van de 5 op je toestel deze dienst inschakelen. Je wordt dan teruggebeld door de centrale in het ISDN-netwerk van KPN Telecom zodra die persoon weer bereikbaar is. Neem je dan de telefoon op dan hoor je bij die persoon de telefoon overgaan.
    COLP

    Connected Line Identification Presentation. Het bereikte nummer wordt weergegeven. Dit kan een ander nummer zijn dan het gekozen nummer, bijvoorbeeld doordat er werd doorverbonden.
    COLR

    Connected Line Identification Restriction. Hiermee kan de gebelde partij voorkomen dat de bellende partij zijn nummer op het display ziet, of het nummer waarmee hij is doorverbonden.
    MCID

    Malicious Call Identification. Deze dienst dient ter identificatie van kwaadwillige oproepen. Dit is te vergelijken met de plaaggevallen-regeling in het analoge net.
    OCB

    Outgoing Call Barring. Met deze aanvullende dienst is het mogelijk om een bepaalde categorie nummers te blokkeren.
    UUS

    User to User signalling. De mogelijkheid om in het D-kanaal gegevens te versturen tussen gebruikers. Binnenkort zal deze dienst door KPN Telecom geïntroduceerd worden.
    SUB

    Sub Adressering. Met deze aanvullende dienst kan de beller achter het te bellen telefoonnummer een regel van twintig tekens meegeven. Deze regel komt bij de ontvangende partij terecht waarna deze besluit het gesprek wel of niet te accepteren. Voor wachtwoorden, PIN-codes en networkmanagementberichtjes.

    Een ISDN-centrale wordt vaak verkocht met bijbehorende telefoons en andere apparatuur. Centrale en/of apparatuur beschikken soms ook over opvallende, niet per se aan ISDN gerelateerde functies. Zo is daar soms de mogelijkheid het apparaat als babyfoon te gebruiken waardoor een ruimte elders in het gebouw te beluisteren is of er is een eigen geheugen ingebouwd voor het onthouden van nummers.

    Afluistermogelijkheden bij ISDN

    Wilde je vroeger een telefoonlijn afluisteren dan ging het er om een stukje hardware met twee klemmetjes op de juiste draadjes te zetten. Met gedigitaliseerde data is het niet meer zo simpel. Over de twee koperdraadjes gaan alle bits van de B-kanalen en het D-kanaal. Dat kan data van verschillende soorten verbindingen zijn (telefonie, video, fax) en bovendien de benodigde sturing-signalen van het D-kanaal. De apparatuur die bij de gebruiker staat is steeds geavanceerder en de oorspronkelijke communicatie wordt pas na bewerking via diverse combinaties van protocollen digitaal op de lijn gezet. Over die protocollen alleen al zijn hele bibliotheken te vullen.
    Wil je ISDN afluisteren, dan moet je dus de bits die over de twee koperdraadjes gaan en van diverse type overdrachten kunnen komen of D-kanaal communicatie betreffen, weer terug herleiden tot zinvolle data, geluid of video. Daarmee is het afluisteren van ISDN een stuk complexer en duurder geworden dan het afluisteren van de analoge telefoon. Dat betekent uiteraard niet dat het niet gebeurt. Toch is het veiligheidsbewustzijn zodra het om ISDN gaat, ver te zoeken. Controle checks of specifieke beveiliging blijken eerder uitzondering dan regel.
    Voor een afluisteraar is de eerste stap een protocol-analyser. Zo’n apparaat plus bijbehorende software is voor iets meer dan twintigduizend gulden vrij op de markt verkrijgbaar. Het gaat dan niet eens om specifieke afluisterapparatuur, maar om testapparatuur. Een protocol-analyser laat zich gemakkelijk in het ISDN-netwerk koppelen, is niet traceerbaar, op afstand te bedienen via een PC en kent alle bekende protocollen. Ze is te verstoppen bij je thuis in dubbele plafonds, kelders of andere plekken, maar ook in schakelkasten of in de KPN-centrales. Het enige wat nodig is, is fysieke toegang tot het ISDN-net.
    Zo’n protocol-analyser kopieert de bits, analyseert de data en detecteert de gebruikte protocollen. Als eenmaal de protocollen geïdentificeerd zijn is de tweede stap voor een afluisteraar de bitrij met behulp van diezelfde gedetecteerde protocollen weer terug te vertalen naar betekenisvolle gegevens. Voor fax-data kun je daartoe een fax gebruiken, voor modemverkeer een modem en voor een telefoongesprek een telefoon. Het is niet moeilijk voorstelbaar dat er een apparaat bestaat dat beide bovenstaande stappen kan nemen en bijvoorbeeld bij de KPN-centrale staat om met jouw communicatie mee te luisteren.
    De enige beveiliging hiertegen is het versleutelen van de gegevens. Hiertoe zijn specifieke apparaten te koop die spraak, fax, video of dataverkeer kunnen versleutelen. Het nadeel is alleen dat vaak niet controleerbaar is hoe goed ze zijn omdat de gebruikte crypto-algoritmen geheim zijn en nooit met zekerheid te zeggen is of de fabrikant geen achterdeurtjes heeft ingebouwd. Ook softwarematig is versleuteling te verwezenlijken.

    D-Kanaal  Manipulaties

    Het afluisteren van ruimtes

    Het D-kanaal is een potentieel zwakke schakel vanuit het oogpunt van beveiliging. Over dit kanaal gaan in ieder geval de sturingssignalen die een communicatie tot stand laten komen of beëindigen, maar het kan ook bitcombinaties bevatten die op afstand bepaalde functies van aangesloten apparaten inschakelen of de informatie van de sensoren van je inbraakbeveiliging. En dit D-kanaal is standaard niet beveiligd.
    In theorie is het mogelijk op afstand bedienbare ISDN-apparaten te manipuleren via het D-kanaal, vanaf elk punt in het ISDN-netwerk waar ook ter wereld. Stel je hebt een antwoordapparaat met afstandsbediening of een ISDN-telefoon met babyfoon-functie. Deze handige features waarmee apparatuur dikwijls aangeprezen wordt, maken het mogelijk de microfoon softwarematig in te schakelen terwijl de hoorn op de haak ligt. Zonder dat je er weet van hebt kunnen de gesprekken in de ruimte waar het apparaat zich bevindt meegeluisterd worden. Ook vóór het ISDN-tijdperk kon bij telefoons via frequency-flooding(1) de microfoon van het toestel op afstand ingeschakeld worden, terwijl de hoorn gewoon op de haak lag. Bij ISDN-telefoons is een vergelijkbare truc in veel gevallen dus nog eenvoudiger. Als enige bescherming kan de eindgebruiker een viercijferige pincode gebruiken. Om de afluisteraar nog enig werk te geven moet dan op z’n minst die code regelmatig veranderd worden.
    In sommige landen bestaan voorschriften waar apparatuur aan moet voldoen als de babyfoon-functie wordt ingeschakeld. De apparatuur moet een waarschuwingstoon uitzenden. De toonhoogte en duur van het signaal kunnen echter nogal verschillen en bijvoorbeeld een kort signaal van tien khz is nauwelijks waarneembaar.

    Andere D-kanaal manipulaties

    Veel bedrijven vinden de configuratie van hun uitgebreide ISDN-centrale te ingewikkeld en hebben dit via onderhoudscontracten uitbesteed aan de leverancier of een andere dienstverlener. Bijna al die grote en middelgrote ISDN-centrales zijn op afstand te bedienen. Het bedrijf dat de centrale onderhoudt kan zo de software-upgrades voor de centrale of monitoring van voorkomende problemen op afstand uitvoeren. Voor de afstandsbediening moet een wachtwoord gegeven worden. Kwaadwillenden bij zulke onderhoudsbedrijven zouden normale functies, zoals het driegesprek, ongemerkt kunnen inschakelen en zo een gesprek kunnen meeluisteren. Als de code die het mogelijk maakt de apparatuur op afstand te bedienen zwak is, is dat ook weer een interessante uitdaging voor andere partijen.
    De fabrikanten die ISDN centrales verkopen vertellen het altijd mooi en er worden voorbeeldige veiligheidsmaatregelen voorgehouden. Zij praten bijvoorbeeld over lange codes voor afstandsbediening die random gemaakt worden en versleuteld worden opgeslagen, en over centrales die alarm slaan na een beperkt aantal verkeerde inlog-pogingen. In de praktijk blijkt het echter niet zelden standaardcodes te betreffen die bij vele technici in het bedrijf van de fabrikant en/of het onderhoudsbedrijf bekend zijn en soms zelfs ook daarbuiten.
    Van wat oudere Philips Octopus centrales, die nu niet meer verkocht worden maar nog wel bij diverse klanten kunnen staan, is ontdekt dat bepaalde configuratiemogelijkheden via het D-kanaal mogelijk waren zonder dat om een afstandsbedieningscode werd gevraagd en zonder dat het alarm afging dat de centrale tegen ongeoorloofde D-kanaal manipulaties moest beschermen. De centrale accepteerde bepaalde opdrachten via de interne S-bus. Philips vervangt overigens deze centrales kosteloos tegen nieuwere modellen.
    Een inbraak op de centrale via de afstandsbedieningsmogelijkheid is relatief gezien gemakkelijk omdat deze zonder ingrijpen op het fysieke net kan plaatsvinden. Wie eenmaal binnen is kan de centrale naar believen herconfigureren. Een indringer kan daarbij andere doeleinden hebben dan afluisteren en bijvoorbeeld bepaalde diensten blokkeren of telefoonnummers van bellers achterhalen. Een andere optie is het via de centrale doorschakelen van een telefoonnummer naar een ander nummer in het buitenland. Vergelijkbaar met *21, maar dan op afstand te activeren en bovendien ook naar het buitenland of dure 0900-nummers door te schakelen. De inbreker draait het lokale nummer en wordt verbonden met tante Beb in Nieuw Zeeland. De lange afstandskosten zijn dan uiteraard voor het gedupeerde bedrijf.

    D-Kanaal beveiliging

    De gevoeligheid van ISDN-apparatuur hangt enerzijds af van het systeem zelf (hardware en/of software) en anderzijds van de configuratie. Op beide punten zitten vaak fouten in ISDN-apparatuur. Bovendien, de wel ingebouwde beschermingsmogelijkheden blijven dikwijls onbenut omdat mensen ze niet kennen of niet goed gebruiken.
    Wat betreft grote ISDN-bedrijfscentrales is de hack-mogelijkheid in de praktijk hoog te noemen. De integriteit en veiligheid van de software die op dit moment voor ISDN-centrales wordt gebruikt is namelijk nauwelijks vast te stellen. De reactie van die software op bepaalde D-kanaal commando’s is daardoor moeilijk te achterhalen.
    Om deze reden heeft de Duitse BSI (Bundesambt für Sicherheit, de instantie die verantwoordelijk is voor het certificeren van hardware- en softwarestandaarden met betrekking tot beveiliging) opdracht gegeven voor de ontwikkeling van een D-kanaal firewall. Zo’n firewall moet ongewenst gebruik van het D-kanaal voorkomen en achterdeurtjes in ISDN-apparatuur dichten. Het wordt gemaakt door SIT, een dochter van Rohde & Schwartz en als volgt aangeprezen: Unauthorized attempts to use features and services are countered by the D-channel filter with a link cleardown (disconnect or release) and are recorded, according to the user-defined settings. The same happens when unknown and unauthorized protocol elements or protocol sequences are detected. In addition to the recording of any attempt of intrusion, a permanent optical alarm is provided and an acoustic interval alarm is output. All administration procedures are recorded.(2)
    Dit D-kanaal filter maakt gebruik van nummeridentificatie (CLIP) om in- en externe nummers te checken en controleert welke diensten en functionaliteiten aangesproken worden.
    Hoe veilig zo’n D-kanaal filter is hangt deels af van de vraag hoe sterk CLIP als identificatiemechanisme is. Een indringer zou tenslotte ook kunnen proberen zich als iemand anders voor te doen. Dit wordt CLIP-spoofing genoemd. Dit is theoretisch mogelijk omdat in de praktijk in sommige telecommunicatieknooppunten nog wel eens informatie verloren gaat. In die knooppunten vindt protocol-omzetting plaats naar CCITT7; het protocol dat voor communicatie tussen dergelijke knooppunten gebruikt wordt. Bij een vals aanroepnummer geeft CLIP een waarschuwing mee en juist deze aanwijzing kan bij sommige wat oudere knooppunten tijdens de protocol-omzetting verloren gaan. In zo’n geval kan de indringer zich dus toch een geloofwaardige identiteit aanmeten.
    Hoewel zo’n aanval niet eenvoudig is, en vele knooppunten het bedrog zullen merken en de ware identiteit van de indringer kunnen achterhalen, is nummeridentificatie als enige beveiliging van het D-kanaal dus niet perfect.

    Veiligheidsmaatregelen voor ISDN-centrales en apparatuur

    Data Protect (3) is een door ex-hackers opgezet bedrijf dat zich onder andere met de beveiliging van ISDN-centrales bezig houdt. Op de door hen beveiligde centrales laten zij regelmatig een scanner los die alle aangesloten nummers afbelt en alle fax-, data- en spraaktoestellen classificeert. Indien een persoon telefonisch reageert dan wordt een standaard boodschap afgespeeld. Eventueel kunnen met behulp van referentieopnames van kantoormedewerkers de antwoordende personen geverifieerd worden door vergelijking van het Spraak Frequentie Spectrum.
    Voor een doorsnee bedrijf gaan zulke maatregelen natuurlijk te ver. Gelukkig kom je ook een eind met minder ingrijpende maatregelen.

    • Vraag een schriftelijke bevestiging van de leverancier dat er geen verborgen functionaliteiten zijn.
    • Verander direct alle standaard wachtwoorden voor afstandsbediening en configuratie van de apparatuur.
    • Verander regelmatig het wachtwoord en zorg ervoor dat niet meer mensen dan noodzakelijk dit wachtwoord kennen.
    • Wordt de apparatuur op afstand bediend, spreek dan specifieke tijden af voor het onderhoud en blokkeer de functionaliteit voor overige tijden.
    • Laat de centrale ­indien mogelijk- terugbellen naar het bedrijf dat de centrale onderhoud alvorens onderhoudswerkzaamheden plaats kunnen vinden.
    • Definieer alle functionaliteiten die gebruikers mogen gebruiken.
    • Zorg dat geen enkele netwerkcomputer via modem of ISDN-kaart met de telefooncentrale is verbonden. Zet zulke PC’s op een lijn die buiten de centrale om gaat.
    • Versleutel de ISDN-data naar en van de Internet-provider.

     

    Noten:

    1. Zie ‘De muren hebben oren’ blz 36 Hoofdstuk Telefoonverkeer

    2. http://www.rsd.de/PRODUKT/249e.htm

    3. http://www.dataprotect.com/
    Bronnen:

    CCC-congres te Berlijn. Voordracht ISDN Grundlagen 27/12/1998/Hacko (http://presse.ccc.de/0018/)

    C’T 4/1999 Norbert Luckhardt, Offen für alles, Lauschangriffe auf und über ISDN

    Net Investor 8/1998 Joe Schmiet, Datenklau per ISDN

    ISDN Protocol Analysers

    http://www.advantest.co.jp

    http://www.mergetech.com/

    http://www.testsolutionstech.com/

    http://www.wg.com/products/domino/domino_isdn.html

    http://www.mms.de/~hacko/d-tracy (software)

    Crypto voor ISDN

    http://www.byte.com/art/9609/sec16/art1.htm