Современные АТС работают совершенно не так, как телефонные станции середины двадцатого века. Нынешние станции — это большой специализированный компьютер, который преобразует любую информацию в определенный цифровой сигнал особым способом. Это уровень передачи данных. Затем данные передаются по протоколу IP, в том числе и по Интернет, это транспортный уровень. Данные бегают туда-сюда упорядоченными электронами и фотонами при помощи провода, оптоволокна или радиоканала, это уровень физический. Куда передавать данные, в соседний дом или соседнюю страну — определяется на уровне сетевом, за это отвечают маршрутизаторы, и у них свой язык.
Современная телефонная станция — тоже сеть, локальная. И внутри нее имеются разные адреса, по которым данные должны найти своего адресата. В такой сети все устройства управляются по сетевому протоколу уровня прикладного, задача которого — опознать различные устройства и программы как внутри локальной сети, так и за ее пределами, определить способы связи, начать и завершить сеанс. Такая последовательность на языке специалистов именуется управлением сессией, а протокол (Session Initiation Protocol, SIP) — сигнальным протоколом. Все маршрутизаторы, серверы, телефоны, факсы, которые понимают такой протокол, называются «SIP-устройствами».
Управляющий АТС процессор подобен особняку с тысячью дверей, окон, других вспомогательных каналов и отверстий, вроде вытяжки на кухне, кабельного ввода, каминной трубы, мусоропровода или канализации. Многие отверстия заварены или заколочены намертво, некоторые заперты на замочки и засовы. Имеются такие, которые открыты время от времени и даже постоянно. Например, щель для газеты или вентиляционная шахта. Так и порты у процессора. У них разное назначение, дабы цифровые потоки не мешали друг другу. В АТС на платформе Asteriks тоже есть свой специальный порт, предназначенный для протокола SIP и только для него. Номер порта 5060. Примечательно, что этот порт открыт «по умолчанию», то есть всегда, если специально не заблокирован дальновидным и обученным специалистом.
Если проникнуть в АТС через известный IP-адрес и открытый порт 5060, то с помощью программы, именуемой «SIP-сканнер» можно получить массу полезной информации: определить конфигурацию сети, понять ее архитектуру, выяснить, какие устройства находятся внутри, узнать их идентификаторы. Так появляется возможность перехватить запросы этих штатных SIP-устройств и установить алгоритмы их взаимодействия. Применение же других программных инструментов поможет посмотреть журналы соединений АТС, проанализировать активность пользователей и даже подобрать пароли доступа к SIP-устройствам путем «атаки со словарем». Пароль позволяет зарегистрировать свое устройство, выдать его за штатное и совершать бесплатные звонки в любую точку планеты. Но это, конечно, дурацкая и мелкая пакость — так забравшийся в дом «одноразовый» жулик заказывает себе бесплатную пиццу.
Задача Доктора Тексако шире и масштабнее. Требуется формирование большого объема трафика за рубеж. Для этого и нужен анализ активности, подкрепленный знанием топологии сети. В конце концов, надлежит сделать так, чтобы АТС в определенное время начала исходящие соединения с множеством абонентов. Максимальное количество этих соединений определялась только конфигурацией сервера самой АТС. Раньше, до цифровой эры, пропускная способность ограничивалась конечным количеством проводов. Кабель из десяти городских линий заходил в здание, и на этом пропускная способность каналов заканчивалась. Сейчас же в здание заведен жгут оптоволокна толщиной в палец, а это — огромная потенциальная скорость, террабиты информации в секунду. Однако инициировать сотни сеансов связи одновременно недальновидно, больше того — опрометчиво. Активность не должна сильно отличаться от обычной, иначе антифродовые системы оператора связи заблокируют соединения. Наверняка заблокируют. Впрочем, есть одно исключение. Если антифродовой системы не существует или ее никто не настраивал, то все пройдет гладко. Это и нужно установить.
Как подобный микс будет проверять Доктор Тексако — неизвестно. У него репутация, он профессионал, ему виднее. Но Наталья подозревала, что взлом и проверка будет проведена ночью, и событие произойдет незаметно. Не начнут моргать светодиоды, вращаться охлаждающие вентиляторы, щелкать реле — ничего этого не будет. В тишине пустого чуланчика, отведенного под серверную, модуль коммутации получит определенные команды. С внутреннего номера телефона, допустим, заместителя министра экономики и финансов Излучинской области пройдет звонок длительностью две минуты по какому-то неведомому номеру во Франции. Затем то же самое произойдет с исходящим соединением от начальника отдела департамента лесного хозяйства, в этом случае конечным абонентом будет номер в Бельгии. Для начала достаточно: нужно лишь посмотреть на реакцию АТС и, что важнее, антифродовых систем оператора связи. Через какое-то время процедуру следует повторить, уже с длительностью девять минут и на другие номера и от иных абонентов. Затем вновь посмотреть на результат, а уже потом, выбрав определенную дату и время, следует начать массированную атаку.
Звонок домофона отвлек Наталью от размышлений.
— Ресторан китайской еды, доставка заказа, — раздалось из трубки.
Надо же, как быстро привезли. Наталья вдавила кнопку открывания двери.
— Заходите. Десятый этаж.
Мясо по-сычуаньски с рисовой лапшой оказалось бесподобным. Очень вкусно и почти не вредно. На чем она остановилась? Ах да, антифродовая система «Протей». Мифический Протей, сын Посейдона, обладавший способностями предсказания. Хотя ближе по смыслу был бы железный великан Таллос, охранявший остров Крит и созданный Гефестом по приказу самого Зевса. Ну да кто их знает, разработчиков, мало ли какие у них червяки в голове. Двигаемся дальше!
Фрод — это вид мошенничества в современном киберпространстве. Мошенничество заключается в несанкционированном использовании услуг, в том числе услуг связи. Антифрод, понятно дело, активно противодействует этому злодейству. Другими словами — оператор связи недоволен и хочет пресечь этот бардак. Как такое противодействие осуществляется? А вот как.
Умная программа контролирует множество параметров соединений: длительность, время начала и окончания сеанса, адрес и частоту соединений, их изменение в течение суток, характер передаваемых данных (голос, видео, СМС) и еще много чего. Программа обучена создавать профили пользователей, то есть описания поведенческих алгоритмов, и сравнивать эти профили с действительным поведением абонента, корректируя свои прогнозы. Из таких профилей создаются целые библиотеки. Поведение схожих абонентов не уникально, и подобная типизация сильно облегчает задачу. Часто готовые профили на основе библиотек применяются к целым группам, что экономит время и ресурсы.
«Правильные» абоненты пользуются услугами связи годами, не замечая зоркого глаза антифрода. Программа постоянно следит за соединениями и сравнивает их параметры с профилями. Если поведение абонента соответствует предсказанному — зеленый свет этому абоненту. Если выбивается чуточку, в пределах допустимого, то можно и профиль подправить, программа, кстати, умеет учиться. Но вдруг поведение абонента от нормы отличается существенно? Например, бабушка вот уж три года звонит раз пять в неделю по двум номерам своим внукам и ежемесячно в Хабаровск дочке, и тут вдруг — многочасовые ночные соединения с Вьетнамом, Тайландом, Китаем! Если у бабушки сотовый телефон, то в кредит ей не позволят говорить, отключат, как только на лицевом счете закончатся денежки. Всем будет хорошо, и бабушке — в первую очередь. А если это телефон домашний, на тумбочке в коридоре? Корректно настроенная антифродовая система и в этом случае не позволит «разгуляться» — на второй-третий раз соединение не состоится. Пусть лучше бабушка пожалуется на качество связи, чем будет платить сумасшедшие тысячи долларов.