Onderzoeker hackt en ontregelt telefooncentrale via dtmf

Een beveiligingsonderzoeker claimt dat hij erin is geslaagd om telefooncentrales plat te leggen door misbruik van het dtmf-systeem. Ook zou hij erin zijn geslaagd om bij een Indiase bank pincodes van klanten buit te maken.

De onderzoeker, Rahul Sasi, maakte voor zijn aanval gebruik van het dtmf-systeem, dat vooral wordt gebruikt voor telefoonmenu's. Dtmf werkt met tonen, samengesteld uit signalen op twee frequenties, die door een telefooncentrale worden vertaald in cijfers, bepaalde tekens en de letters 'a' tot en met 'd'. Bij die vertaalslag gaat het mis, ontdekte Sasi. De telefooncentrales controleren de input niet goed genoeg, schrijft SC Magazine.

Welke systemen precies kwetsbaar zijn, is onbekend, maar Sasi zegt erin te zijn geslaagd om 'bijna alle' pbx- en ivr-apparatuur te laten crashen door dtmf-tonen in een bepaalde volgorde te verzenden. De apparatuur kon deze input niet aan. Om de centrales te laten crashen, gebruikte Sasi een principe dat bekendstaat als fuzzing en dat ook veel op software wordt toegepast: het verzenden van een grote hoeveelheid gegevens naar een applicatie, in de hoop dat een bepaalde combinatie de applicatie, of in dit geval de centrale, doet crashen.

Dtmf wordt onder andere gebruikt voor telebankieren en Sasi zegt bij een Indiase bank via een buffer overflow pincodes van klanten te hebben kunnen ontfutselen. Een buffer overflow is eveneens een kwetsbaarheid die in software voorkomt. Er wordt dan meer data naar het geheugen geschreven dan waarvoor ruimte is gereserveerd, waardoor een aanvaller bijvoorbeeld gegevens naar uitvoerbaar geheugen kan schrijven. Dat maakt het uitvoeren van eigen code mogelijk, al is dat in dit geval beperkt, omdat dtmf niet genoeg karakters ondersteunt om eigen code te verzenden. Hoe Sasi er dan toch in is geslaagd, is onduidelijk. Volgens Sasi is ook sql-injectie mogelijk.

Sasi presenteerde zijn bevindingen op de Hack in the Box-beveiligingsconferentie in Kuala Lumpur, waarvan elk jaar ook een Nederlandse editie wordt gehouden. Volgens de onderzoeker gaan organisaties er ten onrechte vanuit dat telefooncentrales veilig zijn, terwijl ze bijvoorbeeld niet over een firewall beschikken. Toen nog veel gebruik werd gemaakt van telefooncellen, werd dtmf misbruikt om gratis te kunnen bellen.

Door Joost Schellevis

Redacteur

Feedback • 19-09-2012 12:28 55

19-09-2012 • 12:28

55

Lees meer

App voor skippen telefoonmenu's komt uit voor Android
App voor skippen telefoonmenu's komt uit voor Android Nieuws van 20 maart 2014
Hacker bemachtigt inloggegevens Heroes of Newerth
Hacker bemachtigt inloggegevens Heroes of Newerth Nieuws van 18 december 2012
Jailbreak voor iOS 5.1.1 vrijgegeven
Jailbreak voor iOS 5.1.1 vrijgegeven Nieuws van 25 mei 2012
'Crytek-titel Ryse verschijnt op nieuwe Xbox'
'Crytek-titel Ryse verschijnt op nieuwe Xbox' Nieuws van 10 december 2011
Nieuwe creditcard-beveiliging is te omzeilen
Nieuwe creditcard-beveiliging is te omzeilen Nieuws van 20 mei 2011
Meer producten en artikelen
Politiek en recht Privacy Beveiliging Telecom

Reacties (55)

-Moderatie-faq
55
54
35
6
0
11
Wijzig sortering

Sorteer op:

Weergave:
Pogostokje 19 september 2012 13:24
DTMF is niks bijzonders, iedereen die de laatste 15 jaar een vaste telefoonlijn thuis heeft gebruikt die kent het systeem: je gebruikt het van origine om nummers mee te bellen. Alternatief kun je er ook IVR systemen van invoer mee voorzien, elke telefoon die je nu koopt geeft die DTMF toontjes. Het artikel doet ten onrechte een beetje voorkomen alsof DTMF iets heel bijzonders is.

Gelukkig staat er een link in naar een SC Magazine waar dan een soort 'showcase' filmpje staat van deze hacker. Dat geeft denk ik een beetje het niveau van het "onderzoek" aan. Je ziet daar een toetsenbordje van een SIP phone die verbindt naar de localhost, een eigen systeem dus van de "hacker". Daar zit dan een eigengebouwd super knullig systeem achter dat met text-to-speech een pincode accepteert en herhaalt. Dat systeem laat dan stom toevallig een foutmelding horen als je er iets niet-numerieks in stopt zoals een sterretje of hekje.
Ik vind het maar een matige proof of concept. Zo'n knullig systeem heb ik nog nooit in het echt gehoord. Daarnaast, een buffer overflow ... ik zou niet weten hoe je dat moest doen maar stel dat het je lukt dan vereist dat je op zijn minst enige kennis hebt van het OS en de gebruikte CPU van het IVR systeem in kwestie. Daarvan zijn er behoorlijk wat verschillende. De IVR systemen die ik ken (waaronder die van de grote nederlandse banken), laten zich echt niet foppen door een extra sterretje of andere lange invoer....

[Reactie gewijzigd door Pogostokje op 24 juli 2024 23:41]

ViperXL @Pogostokje19 september 2012 13:46
Het is vaak maar gokken wat er gebeurd, gewoon series met DTMF invoeren en afwachten. Als ik zie wat er geprobeerd word op mijn eigen PBX is het vaak random invoer. Als je bij het management of user-GUI kunt zou eventueel SQL-injecties een betere gok zijn dan via het telefoonsysteem zelf. Ik geloof wel dat de bekendere PBAX leveranciers geleert hebben van phreakers aangezien dat vroeger toch een hot-topic was in de hackers-scene.
Aanwezig @Pogostokje19 september 2012 13:49
Dtmf werkt met tonen, samengesteld uit signalen op twee frequenties, die door een telefooncentrale worden vertaald in cijfers, bepaalde tekens en de letters 'a' tot en met 'd'. Bij die vertaalslag gaat het mis,
Nee artikel pakt werking van dtmf ten behoeve van de uitleg over de hack.

Bij de vertaalslag zitten er kennelijk bugs dat bepaalde toon combinaties zich voordoen als karakters dat normaliter niet geaccepteerd zou worden. Klinkt plausible.

Verder zal het geen high-end hardware zijn waar het meestal op draait. Waarschijnlijk een goedkope zuinige ARM dat werkt voor waar het voor bedoeld is. Denial of service/buffer overflow is dan ook niet echt een achievement
Audi-Arjan 19 september 2012 12:31
Vind dit twijfelachtig.
Er zijn nauwelijks details bekend gemaakt over het hoe en wat.
Sasi zal met iets meer bewijs moeten komen.
Verwijderd @Audi-Arjan19 september 2012 12:38
dit werkte in de jaren 90 ook met 0800-0101 toen 06-0101 (kpn operator)
je kon het systeem fuzzen en dan kreeg je een dialtoon en kon je gratis bellen , misschien gebruiken ze in india deze oude software nog.
mux @Verwijderd19 september 2012 12:49
Yep, er bestonden zelfs prachtige zelfbouw-'hotboxes' waarmee je bij elke telefoon gratis kon bellen. Was een hele hackerscene omheen in die tijd. Leuk dat deze 'geschiedenis' zich nu weer herhaalt.
ViperXL @mux19 september 2012 12:54
phreakers ook wel genoemd ;) maar die scene is best geslonken maar zeker nog niet verdwenen. Kijk maar hoe massaal P(A)BX'en aangevallen worden, op het "analoge" net komt het bijna niet meer voor.

Oeps, Sakete kent het ook nog :Y)

[Reactie gewijzigd door ViperXL op 24 juli 2024 23:41]

hatex @ViperXL19 september 2012 13:27
Ahhh oude tijden herleven : http://www.hacktic.nl/
Hamiko @hatex19 september 2012 15:22
Tikkeren, iemand? Zo noemden wij het heel snel achter elkaar 10 -15 keer induwen van verbrekingsknop in een openbare telefooncel. Daarna gewenste nummer draaien en presto, je kon je oma in Suriname bellen - gratis.
JAVE @ViperXL19 september 2012 13:33
Heh. blueboxing. Had ik op de C64 al programma's voor.
Bellen naar een oude centrale, operator lijn starten, en dan doorbellen naar de USA.
Kon je nog muntjes terug laten geven uit telefooncellen ook :-)
Verwijderd @ViperXL19 september 2012 13:46
Yep hacktic.
met o.a deze man Billsf (RIP) http://rop.gonggri.jp/?p=633

EN wie kent deze nog????

http://www.hacktic.nl/magazine/1633.htm
Snowmiss @Verwijderd19 september 2012 15:50
Inderdaad, ik heb als student ook vaak gratis naar huis gebeld vanuit de telefooncel op de UT.
ameesters @Audi-Arjan19 september 2012 12:46
ik snap dat niet van mensen, als een "hacker" alles online zet word er moord en brand geroepen dat het andere hackers nu wel erg makkelijk word gemaakt. Doet die dat niet dan is het "Twijfelachtig".

Dit soort gray-hats mogen er meer zijn van mij, dit zijn hackers die veelal hun bevindingen alleen tonen aan de beheerders van het getroffen platform, en alleen bij dovenmans oren aan de bel gaan trekken, of zoals dit, aantonen dat je nooit iets zomaar als veilig mag beschouwen!

Goed werk van deze jongen!
Audi-Arjan @ameesters19 september 2012 14:21
Als je dingen roept moet je het ook kunnen bewijzen vind ik.
Maar wellicht wordt hij gerecrute door een grote PBX leverancier en wordt het een
white-hatter.

grey hat vind ik uberhaupt twijfelachtig. Dat is soms wel goed en soms niet alleen in welke percentages??
ameesters @Audi-Arjan19 september 2012 14:33
bij de vraag die je stelt kan ik alleen af gaan van mijn eigen ervaring met het "gray hatten",
Voor het bedrijf waar ik werk heb ik toestemming om security audits te doen op ons netwerk, alleen loopt onze software soms over in een systeem van een 3de partij. Hierin kom ik dus in een grijze zone van wat "wel toegestaan is" en "niet toegestaan is".

Een gray hat gaat dus rustig de zone in van "niet toegestaan", zoals ik ook doe. Natuurlijk wel in mijn achterhoofd houdend dat er wel concecuenties aan vast kunnen zitten.

Maar bij ondekking van een beveiligings risico heb ik nog nooit een 3de partij boos aan de lijn gehad. Hierbij wel van belang om te zeggen dat ik nooit ergens schade heb aangericht, wat de samenwerkings verband natuurlijk verbeterd.

Het grote nadeel is wel dat de desbetreffende systeem beheerders en/of programmeurs wel vaak erg op hun teentjes getrapt zijn, of dat hun managers hun waarschuwt/ontslaat.

Dit is natuurlijk erg lastig om uit te drukken in een percentage.
Audi-Arjan @ameesters19 september 2012 15:42
In jouw geval blijf je dus aan de positieve zijde.
Je zegt zelf dat je niks doet.

In het geval van meneer Sasi heeft hij pincodes van een bank ontfutseld.
Dan ben je dus aan de verkeerde kant bezig.

Dat bedoel ik er dus mee.

Vind het prima dat hij de methode vind om het te doen, maar meld dat dan.
Ga dan niet eerst pincode ontfutselen (en wat nog meer) en dan zeggen dat het kan.

Welicht heeft deze meneer zich allang verrijkt met de de gevonden hack.
defixje @Audi-Arjan19 september 2012 12:39
Hij heeft dit toch gewoon aangetoond tijdens die conferentie ? Wat jij wilt horen is gewoon te gevoelige informatie. Ik vind het juist beter dat deze informatie voorlopig niet uitlekt. Wie weet wat er allemaal kan gebeuren als Jan-en-alleman dit gaat proberen bij hun bank enz.
tinzarian @defixje19 september 2012 13:29
Sasi presenteerde zijn bevindingen
Hij heeft verteld dat ie het edaan heeft, hij heeft geen demonstratie geggeven of zo
Verwijderd @tinzarian19 september 2012 16:22
Ik had hier ook koude-fusie draaien, in mijn kelder- kan hem alleen niet meer aanzetten, want hij doet het even niet meer. :')

Seeing is believing. En zelfs wat je ziet, kan nog misleiding zijn. ;)
mhkool @Audi-Arjan19 september 2012 13:37
Het is gebruikelijk om nou juist niet met allerlei details te komen zolang de bug nog niet opgelost is om het kwaadwillige hackers niet makkelijker te maken.

Details voor het gewone publiek zoals jij en ik komen normaliter pas nadat er en fix is.
Verwijderd @mhkool19 september 2012 14:03
Nu is de vraag of deze indiaase bank niet gewoon het oude systeem van KPN in der tijd heeft over genomen.
zou mij niets verbazen als ze dat zouden hebben door verkocht aan india of dat het het zelfde systeem is.
als een glijkwaardig systeem in nl in 1992 http://www.hacktic.nl/magazine/1633.htm niet zo hard was gekraakt had het jaren mee gekunt.
kzin @Audi-Arjan19 september 2012 13:42
Kevin Mitnick gebruikte ook al dtmf tonen. dtmf is een dubbeltoon systeem (dat hoor je ook). Er zijn 4 hoge tonen, en 4 lage tonen. Samen levert dit 16 combinaties op. Telefoons gebruiken daarvan maar 9, maar dat wil niet zeggen dat die andere niet mogelijk zijn. Hoe de centrale er op reageert hangt af van het feit of ze een doel hebben, en of de programmeur rekening heeft gehouden met de resterende dubbeltonen. Sasi lijkt aangetoond te hebben dat sommige centrales er niet altijd rekening mee houden.

notthematrix geeft al aan dat je het hier ooit kon gebruiken om een operator kiestoon mee te genereren. Dit was bedoeld om operators/service mensen van centrales kostenloos te laten bellen. In Amerika waren er ook tonen/codes waarmee je niet alleen een telefoonnummer kon bellen, maar waarmee je ook een centrale in een andere plaats kon bereiken. Je kreeg dan ook weer een kiestoon, en kon verder naar de volgende centrale. Dit was bedoeld om storingen te kunnen opzoeken.
.oisyn Moderator Devschuur®
@kzin19 september 2012 14:05
Telefoons gebruiken daarvan maar 9
12. 0 t/m 9, hekje en sterretje.
Verwijderd @Audi-Arjan19 september 2012 12:40
Tja. Ook hier geld; eerst zien, dan geloven :+
MeTheOne2008 19 september 2012 12:40
yes hacktik we kent het nog (good old xs4all , toen ze nog iets voorstelden)

ik denk trouwens dat de stap dtmf codes en pincode uitlezen nog wel iets genuanceerder ligt, Maar iemand uit india je weet nooit wat daar waar van is, de oudste mens leefde daar toch ook, (deze wist alleen niet meer wanneer hij precies geboren was ) LOL
Rembert @MeTheOne200819 september 2012 13:06
Hack-tic was gelieerd aan Utopia, de voorloper van xs4all en de echte begintijd van xs4all.

Blueboxing deden we daarvoor al: met dtmf inbellen op slecht beveiligde telefooncentrales in bv. Venezuela en je dan voordoen als een centrale ergens anders - kiestoontje en je kon kosteloos inbellen naar wat je maar wilde. Destijds best veel gebruikt, toen hacken nog iets vrijbuiterigs had. Heb me eigenlijk nooit bezig gehouden met fuzzen, hoewel het prima werkte met de zgn. rechtstreekse telefoonlijnen van Schiphol naar allerlei hotels.

Heb nooit een centrale onderuit gekregen door te klooien met DTMF frequenties. Wel met zekere sequences (oeps). Beetje onduidelijk wat deze Rahul exact heeft uitgespookt.
Verwijderd @Rembert19 september 2012 14:29
in amsterdam op de 600xxxx centrale was in de jaren 90 de 3e letter van het alfabet genoeg om gratis gesprekken naar de hele wereld op te zetten.
Freezerator 19 september 2012 12:33
Grappig, doet me denken aan de Blue Box van Steve Wozniak. Maar dit is weer net wat vernuftiger. Zo zie je maar altijd de input controleren.
Verwijderd @Freezerator19 september 2012 12:37
Nee van Captain Crunch. Steve las een artikel in de krant over Crunch (en toen ging iedereen het doen).

Leuke doc hierover: http://www.youtube.com/watch?v=jnI0ndIF6BI

[Reactie gewijzigd door Verwijderd op 24 juli 2024 23:41]

maximaal15 @Verwijderd19 september 2012 12:51
De Blue Box was ook niet van Captain Crunch...
Captain Crunch was degene die ontdekte dat ie met een fluitje (dat ie bij zijn cornflakes kreeg)
dezelfde tonen kon produceren als zijn blue box. (en dat ook effectief toepaste).
Rmg @maximaal1519 september 2012 12:57
Cap'n Crunch was de naam van de cornflakes waar het fluitje bij zat. De nickname van de hacker is daar vanafgeleid
zeduude @Rmg19 september 2012 16:20
en 2600hz was de frequentie van t fluitje, vandaar 2600.com :P
ik vindt t een goeie zaak van die Rahul ! en neem dan ook aan dat ie die pincodes alleen heeft ontfutseld om daadwerkelijk aan te tonen dat t systeem lekt. anders krijgt ie weer verhalen van jaah maar d'r zijn geen gegevens uitgelekt, dus t is niet zo erg.... wel dus...

BIGUP voor Rahul Sasi!! (en heul veul respect as ie t met een simpele 555-timer heeft voor elkaar gekregen, maar 'k denk t nie...)

en t was Joe Engressia ( http://en.wikipedia.org/wiki/Phreaking en http://en.wikipedia.org/wiki/Joybubbles ) die die 2600hz had gevonden voor dit doel, capt'n crunch had alleen t fluitje d'r bij gevonden :P

[Reactie gewijzigd door zeduude op 24 juli 2024 23:41]

Verwijderd @Rmg19 september 2012 16:32
Maar het was Mitnick die volgens mij daarna het fluit-trucje herhaalde en op die wijze kernkoppen van de Amerikaanse Defensie op scherp kon zetten, via de telefoon (met een gratis fluitje! :'))

Als er één broodje aap bestaat, die ik dan toch wel weer ergens aannemelijk vind, dan is het dit verhaal wel.
dwilmer @Freezerator19 september 2012 12:40
Het verbaast me ook dat er zo veel beveiligingsgaten zitten in zo veel software. Waarom wordt invoer zo slecht gecheckt of zo onveilig afgehandeld? Als je iets verkeerds krijgt is het een kleine moeite om het verwerpen met een foutmelding, of (beter nog) proberen het te fixen zodat je goede info krijgt.
bigbadbull @dwilmer19 september 2012 13:04
zal er als programmeur eens een antwoord op proberen te geven.

Als je begint met een programma ga je in eerste instantie uit van de goodwill van de gebruiker. en concentreer je je in eerste instantie op de functionaliteit.
om de halve klap wordt je wel een status update gevraagd en als het slecht gaat een "voorlopige demo".
Management is blij dat er een "werkende demo" is en de verfraaiing is enkel meer kosten, dus het is goed genoeg.
Als je geluk hebt loopt het bij een aantal demonstratie eens mis en kan je het wijten aan verkeerde input.
Dan mag je eindelijk beginnen met het monkey proof te maken.
Het monkey proof zat (hopelijk) wel in je achterhoofd bij het ontwerp.

Het is algemeen bekend dat zakenlui teveel gefocust zijn op korte termijn.
Beveiligen is meestal langere termijn werken aan een werkende applicatie.

Ben dit ook via schade en schande te weten gekomen, en heb dan zo veel mogelijk gebruik gemaakt van "evil monkeys", om de applicaties af te mogen werken.
mhkool @bigbadbull19 september 2012 13:46
En management snapt nog steeds niet dat de kwaliteit van de software hoger is en dat het minder tijd vergt om te maken ALS de software van meet af aan ontworpen is om fouten tegen te gaan en dit meteen in de eerste versie is ingebakken.

Ik ken de details van onderstaande anecdote niet meer, maar op de universiteit hoorde ik 20 jaar geleden eens een verhaal van een prof over software die zeer snel en met heel weinig bugs gemaakt was en dat met aan het ontwikkelteam vroeg: hoe kwam dat? Het antwoord was: nou normaliter gaan we achter het toetsenbord zitten en beginnen met typen maar deze keer moesten we twee weken op de levering van een nieuwe computer wachten en dus konden we niets anders doen dan een goed ontwerp maken en dat was het enige verschil met andere projecten.
CMG @dwilmer19 september 2012 13:01
Omdat het niet de verwachting is van een programmeur dat iemand wel eens wat anders zou doen dan de bedoeling is. Tenzei je zelf een programmeur bent is het lastig om echt te begrijpen, maar er zijn genoeg hacks waar je je slecht/niet tegen kunt weren omdat die een bepaalde mindset vereisen die niet iedereen bezit.
Sakete 19 september 2012 12:36
Ha, het ouderwetse 'phreaken' :) Kan me nog herinneren dat dat in de 'Anarchist Cookbook' stond.

[Reactie gewijzigd door Sakete op 24 juli 2024 23:41]

defixje @Sakete19 september 2012 12:44
Of in de film over de toen grote hacker Kevin Mitnick, "Takedown"

[Reactie gewijzigd door defixje op 24 juli 2024 23:41]

maximaal15 @defixje19 september 2012 12:47
Je zou eens moeten zoeken naar "Freedom Downtime"
Destijds gemaakt door vrienden van Kevin.
Die film komt veel dichter bij de waarheid dan Takedown (ook een leuke film, maar met heel veel onwaarheden).
defixje @maximaal1519 september 2012 12:49
Tnx, ik vond Takedown een leuke film. Ik ga jou suggestie zeker opzoeken. Ben benieuwd.
Cypher87 @defixje19 september 2012 12:49
Of zijn eigen boeken lezen. Vooral zijn laatste boek 'Ghost in the wires' is erg interessant.
Verwijderd 19 september 2012 12:33
Maar een centrale over zijn zuiger laten gaan door een verkapte DDoS of er data uit halen zijn op zich nog weer twee hele andere takken van sport.
Hoe is dat in deze context aan elkaar gerelateerd? Als je iets down laat gaan heb je er hack-technisch weinig aan lijkt me.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 23:41]

defixje @Verwijderd19 september 2012 12:42
Het is aan elkaar gerelateerd omdat dit beide via DTMF-tonen gedaan kan worden.
Thystan @Verwijderd19 september 2012 12:48
Buffer overflow: http://www1.maths.leeds.ac.uk/~read/bofs.html
Lucien Shepherd 19 september 2012 12:37
:/ Ik wist niet dat je telefoon Frequenties Kon gebruiken om door de Firewall te komen.

DMTF kon onderandere gebruikt worden voor:

Selectie bij het bellen naar een bedrijf. Er wordt dan door een computer gevraagd wat men wenst en de Beller moet antwoorden door een cijfers in te toetsen (het 'keuzemenu')

en onderandere ;
Bediening van een antwoordapparaat op afstand

en tekst telefoonen gebruiken ook DTMF om teksten te ontvangen en te versturen

Maar Dat is nieuw voor mij :)

(Edit: Link Voor meer info over DTMF)
(bron: wikipedia)
Link Voor meer informatie: http://nl.wikipedia.org/wiki/DTMF

[Reactie gewijzigd door Lucien Shepherd op 24 juli 2024 23:41]

Soldaatje 19 september 2012 13:12
In hoeverre is Asterisk hier kwetsbaar voor?
Verwijderd @Soldaatje19 september 2012 14:27
in principe nioet.
tenzij je het in het dialplan stopt.
en dat was vaak het geval , het waren ook soms gewoon backdoors.
Cypher87 19 september 2012 12:48
Doet me erg denken aan http://www.youtube.com/watch?v=p54CXA2eilk
biglia 19 september 2012 13:58
Noemen ze tegenwoordig een whitehat hacker een onderzoeker?
.oisyn Moderator Devschuur®
@biglia19 september 2012 14:07
Nee, die twee dingen zijn gewoon niet mutual exclusive.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq