Beni duyabiliyorlar mı? Yasal Telefon Dinlemelerinin Güvenlik Analizi

Transkript

1 Beni duyabiliyorlar mı? Yasal Telefon Dinlemelerinin Güvenlik Analizi Micah Sherr, Gaurav Shah, Eric Cronin, Sandy Clark ve Matt Blaze Pensilvanya Üniversitesi Bilgisayar ve Enformatik Bilimleri Departmanı, Philadelphia, PA ABD msherr, gauravsh, ecronin, saender, ÖZET Modern iletişim hizmetleri, üçüncü kişilerce, birçok değişik teknik kullanarak yapılan dinlemelere karşı hassas olsa da Amerika ve diğer ülkelerdeki emniyet teşkilatları, resmi-izinli telefon dinlemeleri ve diğer iletişim trafiğinin incelenmesinde genelde iki teknolojiden birini kullanırlar. Bunlardan en yaygın olanı, 1994 İletişim Desteği Emniyet Yasası (Communications Assistance for Law Enforcement Act - CALEA) ile uyumlu olacak şekilde tasarlanmıştır ve ağ anahtarlarında bulunan standart arayüzü kullanır. Bu yazı, bahsedilen arayüzlerin güvenlik özelliklerini incelemekte, standart CALEA arayüzlerinin kesişme hedefinden (intercept target) gelen; geniş, tek yönlü (unilateral) saldırılara karşı zayıf olduğunu göstermektedir. Özellikle sinyal yakalama mimarisi ve protokollerinin yetersiz tasarım tercihlerinden dolayı, deneylerimiz göstermektedir ki CALEA-kılavuzlu hedef için sahte sinyalli mesajlarla emniyet bağlantısını etkilemek son derece kolaydır. Hedef, kendi trafiğini engellemeden etkin olarak çağrı kayıtlarını ve aynı zamanda içeriğin gözetlenip kaydedilmesini önleyebilmektedir. Bunun yanı sıra bizim bazı tanımlı saldırılarımızı kısmen azaltan geçici azaltma stratejileri de belirledik. Kategoriler ve Konu Açıklamaları C.2.1 [Ağ Mimarisi ve Tasarımı]: Dairesel anahtarlama ağları; H.4 [Bilişim Sistemleri Uygulamaları]: Çeşitli Genel Şartlar Hukuki Durum, Dayanıklılık, Güvenlik Anahtar Kelimeler CALEA, Emniyet Dinlemeleri, Telefon Dinleme 1

2 1. GİRİŞ 1994 yılında kanun haline gelen Birleşik Devletler İletişim Desteği Emniyet Yasası na (CALEA) göre telekomünikasyon hizmeti sunan servis sağlayıcıları, yasal telefon dinlemeleri (hukuki erişim) yapabilmek için ağlarında çeşitli imkanlar bulundurmakla yükümlüdür. CALEA şartları ilk olarak sadece telefon firmaları tarafından sağlanan geleneksel sesli telefon hizmetleri (analog kablo hattı, ISDN, hücresel ses vb.) için kullanılmaktaydı. Fakat son yıllarda kanun, 3G hücresel Internet Erişimi ve kablolu yayın şirketleri tarafından sunulan ve geleneksel olmayan VoIP gibi birçok veri hizmetini de kapsamayı uygun bulmuştur. Servis sağlayıcılarının çoğu, yakalanan trafiği emniyet birimlerine göndermek için Telekomünikasyon Endüstrisi Kurumu (Telecommunications Industry Association - TIA) ve Telekomünikasyon Endüstri Çözümleri Birliği (Alliance for Telecommunications Industry Solutions - ATIS) - ANSI standartlarında J- STD-025 (Endüstride genelde basitçe J-standard olarak belirtilir) [3] - tarafından beraberce hazırlanan standart arayüzlü ekipmanı kullanarak bu kurumlara boyun eğmiştir*. CALEA her zaman tartışmalıydı ve tartışmalı olmaya devam etmektedir. CALEA nın dinleme kapasitesini eleştirmek, genelde yetki emri altında kalsa da, dinlemeler için ağ içindeki her anahtarın bu kadar aleni bir arayüzle tedarik edilmesi, hükümet ya da diğerleri** tarafından ulusal iletişim altyapısının yasal olmayan, yetkisiz erişime maruz kalmasını kaçınılmaz hale getirmektedir gibi çekinceler de doğurmaktadır. [20] Biz bu yazıda farklı bir soruya odaklanacağız: CALEA dinleme cihazlarında kullanılan standart arayüzler dinleme hedefleri tarafından suistimal edilerek resmi sinyallerin düzgün olarak alınması engellenebilir mi? Daha önceki çalışmada öğrendik ki; dinleme yapan şahıslar (hedef) emniyet birimlerinin kullandığı döngü genişletme (loop extender) teknolojisini manipüle ederek analog telefon hatlarını dinlediler. Bu şekilde, tek yönlü olarak içerik kaydı yapılmasını engellediler, yanlış aranan numaraların kaydedilmesine neden oldular ve yakalama kaydına (interception record) hileli kayıtlar karıştırdılar.[28] Bu açıkların çoğu döngü genişletme sistemlerinde bant-içi imleşimin kullanılmasından dolayı oluştu. Hedef, dinleme aygıtına sahte kontrol sinyalleri karıştırarak, onu kendi yararına kullanabiliyordu. Yeni CALEA mimarisi ayrı bir bant-dışı kanal oluşturarak telefon servis sağlayıcısı (telephone service provider - TSP) ve emniyet birimi (law enforcement agency - LEA) arasındaki imleşim bilgisinin iletişimini sağlar. Şaşırtıcı bir şekilde, aslen çağrı içeriğinden imleşim bilgisini ayırmak en azından prensipte önceden keşfedilen açıkların birçoğunu yok etse de; bu tasarım bir kaç yeni açığı da beraberinde getirmektedir. Halihazırdaki çalışmamız, CALEA sistemlerinin sonradan değiştirdikleri[28] döngü genişletme teknolojisine nazaran daha az etkilenebilir olabileceği izlenimini uyandırsa da; bu yazı tam tersinin gerçek olduğunu göstermektedir. Geleneksel dinleme önlemlerinin aksine (ör: şifreleme) bu yazıda başlıklandırılan saldırılar tek yönlü olarak belirli dinleme hedefleri tarafından yapılmaktadır ve sadece elde edilmiş içeriğin kesinliğini değil aynı zamanda elde edilmiş metaveri kaydını da (kimin, kimi, ne zaman aradığı) etkiler. Esasen şifreleme, iletişim içeriğini gizlese de, iletişim katılımcılarının kimliklerini gizleyemez. Bu sonuçları önceki çalışmamızla[28] birleştirdiğimizde, bu yazıda tanımlanan zayıf noktalar, dinleme kanıtının güvenilirlik derecesi hakkında ciddi sorular doğurmuştur ve 2

3 halihazırda hukuki işlemler için kullanılan dinleme aygıtlarının çoğunluğu, büyük ölçüde güvenilir delil toplama konusunda diğer görece basit önlemlere nazaran yetersiz kalmaktadır. Bilhassa birçok iletişim hizmetinin halihazırdaki CALEA-tabanlı dinleme aygıtlarının, dinleme hedefi tarafından yapılan hizmet engelleme saldırılarına karşı dirençsiz olduğunu öğrendik. Belki de en önemlisi, bir dinleme hedefinin J-STD-025 arayüzünün düşük bant genişliği imleşim kanalını etkilemek için kolayca yapabileceği saldırılar olduğunu ortaya çıkardık. Bu imleşim olayları (telefonu açık bırakmak gibi) hedef tarafından oluşturulur ve iletişimin, hedefin kendi bağlantısına göre, (düşük bantgenişlikli) emniyet birimi bantgenişliğinde çok daha fazla bantgenişliği kullanacak şekilde şifrelenmesini sağlar. Telefon dinleyen biri bundan ortalama miktarda sahte imleşim olayı oluşturarak faydalanır. Bu olaylar, hedefin esas trafiğini engellemeden söz konusu anahtara bağlı tüm dinleme aygıtları için emniyet teşkilatının işaretleşme bağlantısının kapasitesini tüketir. Tüm bunların sonucunda, emniyet teşkilatının gerçek çağrı metaverilerinin düzgün bir biçimde toplaması ve kaydedilmesi, aynı zamanda ilgili veri trafiğinin ya da ses içeriğinin engellenmesini sağlamış olur. Yazının devamında da göreceğimiz üzere, mevzubahis zayıflıklar büyük ölçüde CALEA mimarisinin ortalama olay işyükleri konusundaki varsayımlardan kaynaklanan dar mühendislik tercihlerinden dolayı ortaya çıkmaktadır. Halbuki motive bir dinleyici bu varsayımları dinlenen kişinin kaynaklarını etkileyerek kasten ihlal edebilir. Bu, özellikle kablosuz telefon hizmetleri (ki emniyet dinlemelerinin büyük çoğunluğunu bunlar oluşturur[2]) için geçerlidir. Zira telefon hizmetleri (sesli hizmetler) gitgide artan bir şekilde ortalama ve yüksek bantgenişlikli veri hizmetleri ile birlikte kullanılır hale gelmişlerdir. Bu yazının dört ana katkısı vardır: Amerika ve diğer ülkelerdeki emniyet birimleri telefonları ve veri dinlemelerinin büyük bir kısmında kullanılan teknik standartlarla ilgili ilk güvenlik incelemesini sağlıyoruz. Standartı kullanan sistemlerde muhtemelen henüz fark edilmemiş yetersiz ve yanlış engellemelere neden olan kolay yapılabilir saldırıları belirliyoruz. Saldırıların fizibilitesi ve ne kadar kolayca yapılabildiğini gösteren deneyler yapıyoruz. Başka bir deyişle bilinen Amerikan telekomünikasyon şirketlerinin, tüketicilere sağladığı kaynakların, standardın önerdiği dinleme yapılandırmasını kullanan CALEA sistemlerinin kapasitesini zorlamak için yeterli olduğunu onaylamış oluyoruz. Geçici azaltma stratejileri önererek tanımladığımız bazı saldırıları azaltıyoruz. CALEA dinleme aygıtlarındaki herhangi bir zayıflık, tabi ki, ona güvenen birçok emniyet birimi için baskı oluşturmaktadır. Fakat hataların daha geniş etkileri de vardır. CALEA gereksinimleri gitgide yaygınlaşmakla birlikte geniş çapta iletişim platformlarınca kullanılmaktadır. Fakat buna rağmen bahsedilen standardın etkinliği hakkında dışarıda yayınlanmış analiz sayısı son derece azdır. 3

4 1.1 Amerika Birleşik Devletleri nde Telefon Dinleme Elektronik ortamı denetleyen Amerikan kanunları sır dolu ve çok karmaşıktır. Hepsini tamamen tartışmak bu yazının amacını aşar. Kanunun temeli, belirli kurallara, çeşitli federal ve devlet yasalarına ve ayrıca yıllarca evrimleşen davaların yorumlanmasıyla oluşan dördüncü yasa değişikliğine dayanmaktadır. Burada bizim amacımız, kanun denetiminin emniyet dinlemelerine uygulanması sırasında dikkat çekici bir kaç vurguyu yapmaktır. Amerika da, genel olarak konuşursak, el altından 3. kişilerce yapılan telefon ve ağ iletişimi engellemeleri, kriminal araştırmalar ve benzeri durumlar haricinde, kişilerce de hükümet tarafından da yapılsa hukuka aykırıdır. İzin verilse dahi, yasal telefon dinlemeleri mahkeme gözetiminde, toplanacak bilginin çeşidine göre farklı gereksinimlerle ve standartlarla yapılmalıdır. Federal yasal dinlemelerin prosedürleri ve gereksinimleri Başlık III de[33] yazılıdır; birçok devlet de benzer kurallara sahiptir. Farklı dinlemelerin farklı yasal gereksinimleri vardır. En bağlayıcı yasal standartlar iletişimin içeriğinin dinlendiği durumlarda (ör: telefon çağrı sesi, metin mesajı vb.) uygulanır. Bu dinlemeler ancak yeterince sebep olduğu ve araştırma için büyük önem teşkil ettiği hakkında mahkemenin ikna edilmesiyle, izin alınarak yapılabilir. Sadece metaveri ya da çağrı tanımlama bilgisini gösteren (kimin kimle ne zaman konuştuğunu gösteren liste) kalem kaydı*** (pen register) dinlemeleri daha düşük yasal standartta olabilir. Bu tip dinlemeler için genelde gerekli olan sadece belirli kayıtların araştırma ile ilintili olduğuna dair bir iddiada bulunmaktır ve kalem kayıtları çoğu zaman mahkemenin onayını gerektirmez. Çoğu yasal dinleme bu kategoridedir fakat aslında kalem kaydından elde edilen bilginin de içerik dinlemesi talebi için bir kanıt olarak kullanılması sıklıkla görülür. 1.2 Dinleme Teknolojisi Prensipte analog ve dijital telefonların ve ayrıca veri iletişiminin üçüncü kişilerce dinlenmesine yönelik birçok mümkün yol bulunmaktadır. Bunlar ağ topolojisine ve dinleyicinin erişim ve diğer imkanlarına bağlıdır. Dinleme kablo hattı linkinde hedef ve ağ arasında (iletişim jargonunda yerel döngü ), ağın kendi içinde ya da hedefin kendi yazılım ya da donanımına eklenmiş gizli buglar la yapılabilir. Cep telefonu gibi kablosuz cihazlar ekstra bir imkan daha sağlarlar: Radyo sinyallerini yakalama ve çözme. Döngü Genişleticileri: Yerel döngüyü dinleme Geçmişten beri, Amerika daki yasal dinlemelerde en çok tercih edilen yaklaşım hedefin yerel döngüsünü dinlemektir. Analog hatlı telefon görüşmelerinde, dinleme noktasında görece küçük özel bir donanım bulunması gerekmektedir. Emniyet birimlerinin tesislerine bağlı ikinci bir çift kablo yeterlidir. Bu tip dinlemeleri daha az fark edilebilir ve dinlenen içeriğin düzgün yalıtımlı ve ayrıca seviye eşitlenmiş hale getirebilmek için emniyet birimleri ek noktasında döngü genişletici adı verilen küçük bir aygıt kullanırlar. Bu aygıt dinlenen kişinin hattındaki sesi emniyet birimlerinin hattına kopyalar, sinyali tekrar kodlar ve ses seviyesi eşitlemesi yapar. Emniyet birimindeki toplama ekipmanı aranan numarayı ve sinyali işleyen diğer aramayı çözümler, bunun yanında görüşme esnasındaki ses içeriğini kaydeder. 4

5 Dijital iletişimler de yerel döngüde dinlenebilir fakat dinleme ekipmanının ve tekniğinin bu tip modern sistemlerde kullanılan karmaşık, daha yüksek bant genişlikli sinyalleri çözmeleri için daha sofistike olması gerekmektedir. Bu yolla bazı hizmetleri dinlemek çok özel (ve görece olarak pahalı) ekipmanlar gerektirebilir ve bant genişliği büyüdükçe, sinyal kodlaması karmaşıklaştıkça döngü dinleme de bunlara bağlı olarak zorlaşır. CALEA: Anahtarın içinden dinleme Emniyet birimleri tarafından kullanılan yeni bir teknoloji - ve bu yazının konusu CALEA yasası üzerine kurulmuştur. CALEA dinlemeleri, döngü genişleticilerden, engellemenin abonenin yerel döngüsünde değil de ağ sağlayıcısının anahtarlama ekipmanı içinde yapılmasıyla ayrılır. Bu sayede dijital ve aynı zamanda analog iletişimlerde daha içerik-duyarlı yakalama yapılmış olur. CALEA telefon içindeki dinleme aygıtı (ve diğer iletişimler için de) anahtarları için bir takım standart özelliklerin kullanılmasını zorunlu kılar. Bu dinlemelerde, anahtar (emniyet birimi değil) çağrı sinyal bilgisini deşifre eder ve içerik dinlemesi yapılacağı sırada içeriği imleşimin yapıldığı kanaldan farklı bir kanala ayırır. Yukarda da belirtildiği gibi, ANSI J-STD-025, anahtarlar ve emniyet birimleri arasında CALEA-uyumlu bir arayüzü standart hale getirmiştir. J-standard mimarisi ve mesajları bu yazının devamında detaylı bir şekilde anlatılmıştır. Temelde CALEA dinlemesi kullanan bir emniyet birimi tipik olarak tesis ve hedefin telefon anahtarı arasında bir ya da daha fazla telefon hattı kiralar. Bu hatların ilki, bir Çağrı Veri Kanalı dır (Call Data Channel CDC). Bu kanal, imleşim olaylarını (arama zamanları, aranan numaralar, hat durumu vb.) o anahtarda, birim tarafından gözetlenen her hat için rapor eder. Emniyet birimlerinin kullandığı diğer hatlar ise Çağrı İçeriği Kanalları dır (Call Content Channels - CCCs). Bu kanallar aktif gözetlenen her hat için hangi içerik dinlemesine resmi izin verildiğine bağlı olarak canlı ses ya da veri akışını içerir. CDC her aktif hedef için belirli birimler tarafından anahtar dinlemesi yapılan çağrı verisini taşır. Diğer yandan CCC ler ise sadece bir ses ya da veri akışını bir kerede, kendi aktivitesi ile birlikte CDC üzerinden raporlar. CALEA sadece Birleşik Devletlerde uygulanırken, J-standard uyumlu anahtarlar ve dinleme ürünleri diğer ülkelerde de piyasada bulunmaktadır. Diğer Yaklaşımlar Birleşik Devletlerdeki emniyet birimleri, genelde ya döngü genişleticileri ya da kriminal araştırmalarla ilgili dinlemeler için CALEA yı kullanmaktadırlar. Fakat emniyet birimleri ya da diğer dinleyiciler (yasal ya da değil), diğer teknikleri de kullanabilirler. Modern iletişim platformlarında yapılan gözetlemelerde teknik olarak mümkün olan çok geniş yaklaşım seçenekleri bulunmaktadır. Fakat biz bu yazıda yasal olarak kanıt elde etmek için Birleşik Devletler ve diğerleri tarafından kullanılan daha sınırlı bir takım dinleme tekniklerine odaklanacağız. 5

6 2. CALEA VE J-STD yılında İletişim Desteği Emniyet Yasası (CALEA)[34], dijital anahtarlı telefon ağlarının hukuki gözetimini, telekomünikasyonla uyumlu hale getirip düzenlemek için kanunlaştırıldı. Yasanın amacı, tüketici mahremiyetini yeni iletişim hizmetlerinin[35] ışığında korumak, yeni iletişim teknolojilerini[35] teşvik etmek ve tabi ki telekomünikasyon firmalarının mahkeme tarafından izin verilmiş gözetlemeler için sorumluluklarının tarif edilmesiydi.[11] 2.1 J-standard (J-STD-025) CALEA, telekomünikasyon hizmet sağlayıcılarının (TSP), sorumluluklarını açıkça belirlerken, dinleme yapılandırması, teknik özellikler ya da veri dağıtımı konularında teknik spesifikasyonlar ya da protokoller sağlamıyordu. Bunun yerine telekomünikasyon hizmet sağlayıcıları ve federal ve devlet emniyet birimlerinin (LEA) temsilcilerinden oluşan birleşmiş bir görev ekibi, gönüllü bir endüstri standardı geliştirdiler. Netice itibariyle halihazırdaki standart evrimleşerek FBI, telekomünikasyon endüstrisi ve ilgili gruplar arasında tartışmaya neden oldu. Daha belirgin bir biçimde anlatmak gerekirse Telekomünikasyon Endüstrisi Kurumu (TIA), Telekomünikasyon Endüstri Çözümleri Birliği (ATIS) ve diğer çeşitli endüstri örgütleri ve ilgili gruplar J-STD-025[3] ara standartını (J-standard) geliştirdiler. J-standard ının güncel revizyonu olan J-STD-025-B, 2006 yılında kullanılmaya başlandı ve standartın yeni kablosuz hizmetlere yerleştirilmesini amaçlıyordu. J-standard ının daha sonraki uyarlamaları VoIP hizmetlerini de destekliyordu. [22, 15] CALEA şube ekipmanının büyük çoğunluğu - ki biz bunlara aşinayız J-standard ya da bunun türevlerini kullanırlar. Bu mimari etrafta halihazırdaki tek CALEA uyumlu standarttır. Daha fazlası, CALEA nın güvenli liman (safe harbour) tedariği, bu standartları kullanan herhangi bir kablo hattı, cep telefonu ve geniş bant TSP nin CALEA[34] ile uyumlu varsayılacağını belirtmekte, devamında ise benimsenmesini teşvik etmektedir. 2.2 J-Standard CALEA Sistemlerinin Mimarisi TSP aboneleri (dinleme hedefi olsalar da olmasalar da) TSP ile bir takım ağ elemanı vasıtasıyla (ör: telefon anahtarları, mesken konum kaydı) bağlanır. Bunlar TSP nin ağını oluşturur. Her eleman servis sağlamak için belirli müşteri hareketlerini değerlendirmekle yükümlüdür. J-standard ı bazı ya da bütün elemanların dinleme emri geldiğinde bir dinleme erişim noktası (Interception Access Points (IAPs) olarak çalışabilmesini emretmektedir. Figür 1 de de gösterildiği gibi her IAP, bilgiyi bir Dağıtım Ünitesi ne (Delivery Function DF) gönderir ki bu aynı zamanda TSP içinde de bulunmaktadır. IAP ler çağrı-tanımlama bilgisini ve opsiyonel olarak çağrı içeriğini DF ye iletir. DF çeşitli IAP ler için bir toplanma noktası olarak hizmet eder ve çağrı tanımlama bilgisi ve (eğer resmi izin verilmiş ise) çağrı içeriğini LEA de bulunan bir Toplama Ünitesi ne (Collection Function CF) aktarır. J-standard ı DF ve CF arasındaki arayüzleri tanımlar. Çağrı tanımlama bilgisi Kanuna Uygun Elektronik Gözetleme Protokolü - Lawfully Authorized Electronic Surveillance Protocol (LAESP) kullanılarak iletilir. Bu, TSP ya da dinleyen tarafından gerçekleştirilen eylemleri şifreleyen mesaj 6

7 tabanlı bir protokoldür. (Takip eden bölümde LAESP detaylı olarak anlatılmıştır.) LAESP mesajları tekyönlü (biraz kafa karıştırıcı isimlendirilmiş) çağrı veri kanalı (CDC) vasıtasıyla DF ve CF arasında iletilir. Burada önemli olan, çoklu dinleme emirlerinden gelen LAESP mesajları aynı CDC üzerinde çoğaltılabilir. Figür 1: Mobil, analog kablo hattı ve ISDN hizmetli dinleme yapanları gösteren CALEA mimarisinin örneği. J-STD-025 standartı, Dağıtım Ünitesi ve Toplama Ünitesi arasındaki arayüzü göstermektedir. CDC, çağrı tanımlama bilgisini hem kalem kaydı hem de içerik dinlemesi için iletir. Daha sonra DF de çağrı içeriğini, bir ya da daha fazla çağrı içeriği kanalı (CCC) üzerinden aktarır. Her CCC, TSP ve LEA arasında tek bir dinleme emri için belirli bir taşıyıcı hizmetini (ör: ses, paket verisi vb.) aktarmak amacıyla ayrılmıştır. CCC ler dinleme yapan şahsın iletişimlerinin birebir (editlenmemiş) kopyalarını taşırlar. CCC sayısına LEA tarafından karar verilir. CCC ler ayrık, gelen (kişiye doğru) ya da giden (kişiden gelen) trafikle ya da birleşik biçimde tek kanal üzerinden çift yönlü trafik kullanarak iletilebilirler. 7

8 Özellikle J-standard ının aşağıdaki özelliklerini belirtiyoruz: a) J-standard ı DF ve CF arasında da, LAESP mesajlarının sağlamlık kontrolü kullanımında da güvenilir iletişim gerektirmektedir. Bu yüzden CDC deki yoğunluk mesaj bozulması ve/veya kaybına neden olabilir. b) LAESP mesajları ardışık numaralar içermediği için, mesajın kaybı LEA tarafından fark edilmemiş olabilir. c) Daha da fazlası, LAESP mesajları çağrıların başlangıcını ve bitişini gösterir ki bundan dolayı LAESP mesajlarının kaybı LEA daki kayıt ekipmanının çağrı içeriğini elde edememesine neden olabilir. 2.3 Kanuna Uygun Elektronik Gözetleme Protokolü - Lawfully Authorized Electronic Surveillance Protocol (LAESP) J-standard ı CDC üzerinde çağrı tanımlama bilgisini iletmek için kullanılan LAESP nin anlamını ve kablo formatını belirtir. Birçok telekomünikasyon protokolü gibi LAESP de ASN.1 [18] notasyonu kullanılarak tanımlanır. Bu şekilde insanların anlayabileceği bir tanımlama oluşturulur ve ağ boyunca bütün mesajlar açık bir şekilde sıraya sokulup derlenir. J-standard ı 17 adet LAESP mesaj tipi tanımlar. (Tablo 1 de gösterilmiştir.) Bunlar, hem yüksek-seviye ağ olayları ve düşük seviye nesne/ağ sinyalleri sınıflarına karşılık gelmektedir. J-standard ının yaygınlığından dolayı, LAESP mesajları sadece belirli teknolojilerde bulunan (ör: ISDN için IMSI, kablosuz için ESN ya da VoIP için IP) parametreler için şartlı alanlar ve bunun yanında ekipman ya da konumu belirlemek için insanın anlayabileceği dizilerle doldurulmuş değişken uzunluktaki alanlar içerirler. Belli bir LAESP mesajının boyutu gözlenen teknolojiye ve toplama sırasında TSP nin prensiplerine göre büyük değişiklik gösterebilir. LAESP Mesajı CCOpen Origination TerminationAttempt Redirection Answer CCClose Release PacketEnvelope DialedDigitExtraction NetworkSignal SubjectSignal ServingSystem Olağan Durum Döngü-temelli çağrı içeriğinin dağıtımı Dinleme yapan kişinin özellik kodu araması ya da çağrı yapması Dinleme yapan kişiye gelen döngü-temelli çağrı Gelen çağrının yönlendirilmesi Döngü-temelli çağrıya cevap verilmesi Döngü-temelli çağrının sonu Döngü-temelli çağrılar için önceden kullanılan ve serbest bırakılan kaynaklar Dinleme yapan kişinin ISDN, SMS ya da IP paketleri iletmesi (CDC üzerinden paket içeriği iletmek için kullanılır) Çağrı oluşturulduktan sonra dinleme yapan kişinin DTMF numaraları araması IAP nin dinleme yapan kişiye ağ sinyali (ör: çağrı bekletme tonu) iletmesi Dinleme yapan kişinin TSP ye kontrol özelliği iletmesi (ör: switchhook flash ya da özellik anahtarı) Dinleme yapan kişinin mobil aygıtının başka bir hizmet bölgesi ya da TSP ile değiştirilmesi 8

9 Tablo 1: J-standard içinde tanımlanan LAESP mesajları, konferans aramaları ve cdma2000 veri paketleri mesajları hariç. 3. J-STANDARD IN ZAYIF NOKTALARI J-Standard ının mimarisi birçok güncel ve yeni ortaya çıkan iletişim hizmeti için yetersizdir. Evrimleşen protokoller edinilen içerikteki ağ imleşim olaylarını artık düzgün ayıramamakta (bu da sistemin tasarım hedeflerinden bir tanesini yok etmektedir) ve bantgenişliği artık gerçek olmayan varsayımlara göre edinilmektedir. Bu bölümde, dinleme hedeflerinin emniyet birimlerine giden veri akışını nasıl durdurduğunu ya da karıştırdığını, söz konusu eksiklerden nasıl istifade ettiklerini göstereceğiz. Sonuçta bilinen dinleme hizmetlerine abone hedefler (cep telefonları gibi) çoğunlukla yakalanma ihtimali olmaksızın, etkin bir şekilde, kesin kayıtların emniyet birimlerine ulaştırılmasını engelleyebilirler. Daha geleneksel dinleme önlemlerinin aksine, bu bölümde belirtilen saldırılar tek yönlü olarak dinleyici tarafından konuşlandırılmış olabilir ve başka bir komünikasyon partisinin katılımına gerek duymayabilir. Daha fazlası, saldırılar, sadece çağrı içeriğinin kaydının engellenmesine değil, buna ek olarak çoğunlukla yakalanma ihtimali olmaksızın kesin çağrı kayıtlarının emniyet birimlerine gönderilmesine de engel olmaktadır. Çağrıların içeriğini gizleyen şifrelemenin aksine, bu bölümde tanımlanan teknikler ek olarak çağrı kayıtlarının (kimin, kimi, ne zaman aradığı) dinleme belgelerinden gizlenmesinde de kullanılabilir. Emniyet birimleri (ve onların şubeleri) kural olarak, dinlemelerde kullandıkları ekipman ve konfigürasyonu ayrıntılı olarak ifşa etmezler. Bu yüzden bu saldırıları CALEA standartlarının belirli uygulamalarında test etmedik. Bunun yerine J-standard ında önerilen en iyimser (hukuk uygulamasına) CALEA telefon dinleme konfigürasyonlarını model alarak çeşitli telekomünikasyon hizmetleri üzerinde deneyler yaptık. Analitik ve deneysel sonuçlarımız telefon dinleme sistemlerinin, standart tarafından tanımlanan maksimum kaynak ile tedarik edildiğini varsaymaktadır. (ör: TSP ve LEA arasında bütün bir T1 hattı) Şunu özellikle belirtmek gerekir ki; keşfedilen zayıflıklar herhangi bir uygulama arızasından değil, Standard tarafından tanımlanan mimari tasarımdan kaynaklanmaktadır ve J-standard ı tarafından kullanılan herhangi bir CALEA sistemi ve konfigürasyonu en az bizim deneylerimiz ve analizlerimizin sonuçları kadar savunmasız olacaktır. 3.1 Çağrı Veri Kanalı nın (CDC) Kaynaklarını Tüketme Çağrı Veri Kanalı (CDC) kalem kaydı ve içerik dinlemeleri için çağrı tanımlama bilgisini Telekomünikasyon Hizmet Sağlayıcısı ndan (TSP), emniyet birimine (Law Enforcement Agency LAE) iletir. Mühendislik açısından CDC nin J-standard ı içinde de, halk literatüründe de iyi incelenmediği gözükmektedir. J-STD-025-B düzgün CCC dağıtımı hakkında 24 sayfa ek içermekteyken buna karşılık CDC eki iki sayfadan daha azdır. Bunlardan hiçbiri yeterli CDC kapasitesini belirtmemekle birlikte yanlış tedarik edilmiş bir CDC nin J-standard ı ya da onun eklerine dahil olması durumunda oluşabilecek potansiyel sonuçları da göstermez. Buna ek olarak, aslen Telekomünikasyon Hizmet Sağlayıcısı (TSP) ve emniyet birimleri (LAE) arasındaki CDC kapasitesi değişken ve telefon dinleme başına yapılandırılabilir olsa da CDC mesajlarının 9

10 Dağıtım Ünitesi ne (DF) yol atamaları için bir TSP ağının kritik iç tedariğini değiştirmek çok daha zordur. **** Ortalama bir olay için kaynakları tedarik etmek ya da normal komünikasyon örüntülerini istatistiki trafik modelleri üzerine kurmak eğer hedef herhangi bir önlem almamışsa, motive bir telefon dinleyicisinin (ya da biraz paranoyak birinin), TSP nin ortalama müşteri profiline uymaması için yeterli olabilir. Bunu yakından ilgilendiren diğer bir durum da, tercih edilen ve en yüksek bantgenişliği sağlayan J-standard ı içindeki CDC konfigürasyonunun tek bir ISDN B kanalı (64 kbps) olmasıdır. CDC üzerinde yoğunluk oluştuğu zaman herhangi bir ihbar ya da ön alım hakkı yoktur. (mesajlar sessizce kaybolur). Ortalama ses sinyal trafiği için 64 kbps yeterliyken, modern hizmetler dinleyicinin özellikle LAESP altında kodlandıktan sonra bunu büyük oranda aşacak olaylar yaratmasını sağlar. Bu, göreceğimiz üzere CDC ve CCC ye yapılacak saldırılar için büyük bir aralık sağlar. Halihazırdaki CDC tasarımı düşük bantgenişliğine sahiptir. Güvenli değildir ve aşırı derecede çoğullamalı kaynak içerir. Dinleme erişimi noktaları (Intercept Access Points - IAPs) tarafından oluşturulan bütün çağrı tanımlamalı bilgi ilk gelen alır mantığıyla, sıralanmadan aynı CDC ile LEA ya iletilir. Bu şekilde tek bir IAP elemanı bütün kanalı tüketmiş olur. Eğer bir IAP imleşim bilgisi iletmek istediğinde CDC meşgul ise, LAESP mesajı herhangi bir uyarı ya da tekrar deneme olmaksızın kaybolur. Bahsi geçen dinlemede DF ve LEA arasında tek bir CDC kullanılmıştır ve bu CDC ileride aynı TSP ve LEA arasında diğer dinlemeler için paylaşılmak üzere kullanılabilir. J-standard ının ilk geliştirildiği zamanda, teknolojik manzara görece homojendi. Fakat modern ağlarda, aynı CDC sesli çağrılar, IP verisi ve SMS mesajları için çağrı tanımlama bilgisi taşıyabilir. CDC üzerindeki mesajlar çok fazla kaynaktan gelmektedir. Bunlar, farklı araştırmalarla ilgili olabileceği için ciddi miktarda ek yük getirecek tanımlayıcı bilgi gerekir ki buna daha az paylaşılan bir kanalda ihtiyaç duyulmaz. Düşük tedarikli bir CDC ile ilgili en büyük açık tehlike, çağrı-tanımlama bilgisinin geri dönüştürülemeyecek bir biçimde yok edilmesidir. CDC nin CCC için bir kontrol kanalı olarak kullanılması ise daha ince bir tehlikenin ortaya çıkmasına neden olur. LEA deki Toplama Ünitesi (CF) çağrı içeriğinin zapt edilmesini kontrol eden CDC üzerindeki CCOpen ve CCClose mesajlarına bağlıdır. Bu mesajlar ilgili kişiye çağrı içeriğinin başlangıç ve bitişi hakkında sinyal gönderir. Eğer bu mesajlar kaybolursa, hem kalem kaydı hem de çağrı içerik verisi geri dönüşümü olmaksızın yok edilmiş olur. Bu bölümün geri kalanında 64 kbps i (tercih edilen CDC kapasitesi) referans olarak kullanacağız. TSP ile LEA arasında daha hızlı dolaşım mümkün olsa da esas dar boğaz, bu 64 kbps lik bantgenişliği üst limitine göre tasarlanmış TSP ağının içinde olabilir. J-standard ı ilk geliştirildiği zaman, ortalama ve en kötü senaryo bantgenişlikleri arasındaki fark bilhassa cep telefonları için çok küçüktü. (emniyeti en çok ilgilendiren teknoloji [2]) Bugün, tam tersine yeni hizmetlerin hızla gelişip CALEA ve J-standard içinde sıkışıp kalmaları dolayısıyla, en kötü senaryoyu öngörmek mümkün değildir ve birkaç büyüklük sırasının ortalama durumdan daha fazla olması olasıdır.***** 10

11 Gözetlemenin doğası gereği, oluşan LAESP mesajlarının çoğu dinleyenin doğrudan yaptığı eylemlerin sonucudur. Bu, dinleyenin CDC üzerinde güvenli ve kesin trafik oluşturmasını sağlayarak onu avantajlı bir konuma getirir. LAESP her ne kadar CDC üzerinde makul ikili şifre çerçeveleme protokolü (BER ve X.25 sırasıyla) kullansa da mesajların kendileri LEA de çoğullama çözmeyi kolaylaştırmak için, gözetlenen kanallarda bulunmayan ciddi miktarda bilgi içerir. Her mesajın (en azından) bir zaman damgası, olay tanımlayıcısı ve muhtemelen çağrı tanımlama bilgisini dinleyen IAP ye ait kimlik bulundurması gerekir. Çoğu mesaj bunların dışında ayrıca çağrı ve parti tanımlama bilgisini içerir. Bu çoğunlukla ciddi amplifikasyon etmenine neden olur. Bu durumda örneğin, eğer LAESP mesajı olarak belirtilecekse, kişinin telefonu açık ya da kapalı olsa da şifreleme için 100 byte lık küçük bir bilgi gerekir. LAESP aynı zamanda hem ham kullanıcı sinyallerini, (ör: telefon kapandı ) hem de yüksek seviye TSP ağ olaylarını (ör: çağrı bırakıldı ) daha fazla amplifikasyona neden olacak şekilde iletir. Bu bölümün devamında dinleyicinin sabit CDC kapasitesini doldurmak için kullanabileceği değişik metodları sunacağız. Unutulmaması gerekir ki; eğer aynı anda, birden çok teknoloji görüntüleniyorsa, (ör: kablosuz ses artı veri) CDC ye, bu teknolojilerden herhangi birini kullanarak yapılacak başarılı bir saldırı dinlemeyi engeller. ISDN Özellik Anahtarları ISDN, kullanıcıların, Q.931 [17] imleşim protokolü aracılığı ile çağrı nakletme, çağrı bekleme ve çağrı bekletme gibi tamamlayıcı özellikleri doğrudan kontrol etmelerini sağlar. Protokol, hem terminalin basit, tabiyetsiz olarak çalıştığı uyarıcı modu, hem de bilgisayarlar gibi daha sofistike aygıtları hedefleyen fonksiyonel modu destekler. Uyarıcı modda, Q.931 mesajları ahizenin fonksiyon tuşuna basıldığı anda yerel bir açıklama ya da karar alma olmaksızın anahtara gönderilir. J-standard, bu sinyallerin CDC üzerinden rapor edilebilmesi için başka bir LAESP mesajı tarafından artıklı hale getirilmemesini gerektirir. Bununla birlikte IAP ya da Dağıtım Ünitesi nin herhangi bir şekilde sinyali açıklamasını veya onaylamasını gerektirmez. Q.931 özellik anahtar mesajı 6 byte uzunluğundadır. Bunun tersine, oluşturulan SubjectSignal LAESP mesajı genelde 82 byte - yaklaşık 14 lük bir amplifikasyon faktörü gerektirir. 64kbps lık bir CDC yi SubjectSignal mesajları ile doldurmak için hedefin saniyede 64000/(8 x (82 + 3)) = imleşim mesajı göndermesi gerekmektedir. (X.25 çerçeveleri 3 byte lık bir aşım gerektirmektedir.) Hedef tarafından TSP ye sinyal göndermek için kullanılan standart Temel Oran Arayüzlü (Basic Rate Interface BRI) ISDN in kapasitesi 16 kbps dır oranında 6-byte lık sinyaller üretmek için 4.52 kbps lık bir bantgenişliği gerekir (Q.931 mesajları ekstra çerçeveleme gerektirmezler) ki bu abonenin imleşim kanalı kapasitesi içindedir. Bu şekilde hedef kolayca CDC nin kaynaklarını tüketebilir böylece çağrı içerik kanalları açabilmek için dinlenen kişinin çağrı kayıtları ve isteklerini engelleyebilir. SMS Mesajlaşması J-standard, geleneksel sesli çağrılara ek olarak, neredeyse bütün kablosuz aygıtlarda bulunan Kısa Mesaj Hizmeti ni de (Short Message Service SMS) kapsamaktadır. Gözetlenen kişiye ya da gözetlenen kişiden bir SMS mesajı gönderildiğinde, gönderici ve alıcı kimliklerini, opsiyonel olarak da mesaj içeriğini belirten bir PacketEnvelope LAESP mesajı oluşturulur. PacketEnvelope un boyutu, mesaj yükü olmayan bir SMS için genelde 173 byte, 1 byte lık bir 11

12 mesaj yükü olan SMS ler içinse 190 byte dır. Bu yüzden saldırı yapacak kişi 64 kbps lik bir CDC yi doldurmak için saniyede en az 46 (kalem kaydı) ya da 42 (içerik) mesaj göndermelidir. J-standard, TSP ağı içindeki IAP lerin konumlarını belirtmese de, SMS mesajlarını yakalamak için mantıklı bir yer, Kısa Mesaj Hizmet Merkezi dir. (Short Messaging Service Center - SMSC) Söz konusu kişinin gönderdiği ya da aldığı bütün mesajlar SMSC içinden geçmek zorundadır. Bazı SMSC üreticileri, CALEA desteğini bir SMSC özelliği olarak göstererek bu görüşü [30, 31] desteklemektedirler. SMSC, kablosuz ağın içinde sabit bir konumda bulunur ve mesajların kabul edilmesini ya da alıcının telefonunun kapalı ya da kullanımda olması durumunda sıraya sokulmasını sağlar. Diğer mobil aygıtlardan gelen mesajlara ek olarak, çoğu SMSC, harici ağlardan gelen, mobil e-posta, seyahat uyarıları, finansal uyarılar ve arama motoru sorgulamaları gibi mesajların da kullanımına olanak sağlamaktadır. Traynor v.d., daha önce bize bu Arayüzlü harici ağ bağlantılarının cep telefonları üzerinde DoS saldırıları yaratmak için nasıl kullanıldığını göstermişti. [32] Aynı yaklaşım bir saldırgan tarafından hedefin telefonuna değişik hesaplardan ve hizmetlerden aynı anda birçok SMS mesajı gönderilerek de kullanılabilir. Traynor ın saldırı makalesi [32] yayınlandığından beri, birçok TSP, SMSC ve web, e-posta gibi alt arayüzlerde oran limitleme ve saldırı algılama sistemleri geliştirerek savunmalarını güçlendirdiler. Böylece saldırganların SMS kullanarak CALEA dinleme sistemleri ve hücresel ağlara yaptıkları saldırıların yapılmasını zorlaştırmış oldular. Fakat SMS mesajlarının popülaritesi arttıkça TSP ler SMS kapasitelerini (dolayısıyla potansiyel karı) artırabilmek için daha fazla kaynak tedarik etmek durumunda kalmaları muhtemeldir. CDC lerin kapasiteleri sabit olduğu için, azaltılan SMS oran limitleme daha iyi hizmete izin verecekken aynı zamanda SMS-tabanlı CDC saldırılarının artmasına neden olacaktır. VoIP İmleşim Geleneksel devre anahtarlamalı kablo hatlı ve kablosuz telekomünikasyon endüstrisi kurumlarının bir ürünü olarak J-standard, Voice-over-IP (VoIP) gibi diğer (rekabetçi) teknolojileri tam olarak ele almaz. Fakat diğer endüstri kurumlarının J-standard ın değişen teknik gereksinimlerine ayak uydurması amacıyla yaptıkları en küçük değişiklikler için bile rehberlik hizmeti verir. [22, 15] Bu noktada değerlendirmemize VoIP nin PacketCable özelliğine odaklanarak devam ediyoruz. Zira bu özellik bizim bildiğimiz en yeni ve başvurulan standarttır. Tüketici VoIP mesajlaşması geniş bant bağlantılarının karşısına çıktığından beri, hedef, kendi bantgenişliğinin büyük bir kısmını VoIP sinyali gönderen veri üretmek için ayırabilir hale geldi. Analog kablo hattı servislerinin aksine, VoIP imleşim verisi geniş bant hızlarında oluşturulabilir. Ayrıca VoIP verisini VoIP olmayan IP [6] trafiği üzerinden gönderen yol atama prensipleri hedefin 64 kbps lık CDC yi doldurma kabiliyetini daha da artırdı. Ulaşılabilir imleşim oranını belirlemek için SIPp trafik oluşturma aracını [12] kullandık. Bu sayede tüketicinin geniş bant bağlantısını kullanarak hızla SIP çağrıları göndermeye başladık. SIPp yi iki SIP istikametine gidecek şekilde uyarladık: IPTel (ücretsiz SIP sağlayıcı) yankı testi hizmeti ve TellMe SIP hizmeti. 12

13 Figür 2: Meskun geniş bant bağlantıları kullanarak ulaşılan SIP VoIP çağrı oranları Figür 3: Sprint in EVDO cdma2000 veri hizmeti kullanılarak alıcıda ölçümlenen saniyedeki akış sayısı Kablo hatlı ağ geçitleri için SIP gerekmediğinden yankı testi sunucusuna yapılan çağrılar, dahili TSP istikametine yönlendirilmiş çağrılar için analogdur. TellMe ye yapılan çağrılar tamamen SIP-SIP iletişimini yansıtır. Ulaşılan çağrı oranları saniyede başarılı olarak sonuçlanan çağrı sayısı olarak figür 2 de gösterilmiştir. Deneyimizin bahsedilen iki hizmete saldırmasını engellemek için çağrı oranımızı saniyede 100 çağrı olarak sabitledik. (iki servisin de bu oranları kaldırabileceğinden emin olabilmek için dikkatli ölçümler yapılmıştır) PacketCable Özelliğine göre, tamamlanmış bir VoIP çağrısı şu dizilimde CDC mesajları yolladı: Origination, CCOpen*, Answer, CCChange*, CCClose* ve Release. Burada (*) işaretli mesajlar sadece içerik dinlemeler içindir. Nitekim her tamamlanmış çağrı, çağrı içeriğinin LEA ya gönderilip gönderilmemesine göre 3 ya da 6 CDC mesajı üretmektedir. Karşılıklı mesaj dizilimleri kalem kaydı için 393, içerik dinlemeler için 1293 byte gerektirmektedir. Bu yüzden 64 kbps lık bir CDC kalem kaydı dinlemeleri için saniyede en fazla 20.36, içerik dinlemeleri içinse 6.19 aramayı kaldırabilir. Aynı şekilde sadece kablo internet bu imleşim oranına ulaşmak ve CDC yi çökertmek için fazlasıyla yeterlidir. Üstteki saldırı VoIP CDC ler için yanlış tedariğin altını çizmektedir. Diğer imleşim saldırılarının da - ör: bekletme, aktarım ya da çağrı aktarma sinyallerinin hızla gönderilmesi CDC nin kapasitesini aşmak için etkili olması mümkündür. Dinleme kaynaklarının istatistiki çağrı modellerine göre bölüştürülmesi, motive bir düşmanın kaynaklarının yanında dikkate alınmaya bile değmez. IP Akışları 2006 da hayata geçirilen J-standard ının J-STD-025-B revizyonu paket verilerinin yakalanması ve raporlanması ile ilgili ek gereklilikler getirdi. (ör: cdma2000 ya da GPRS/UTMS kullanılarak yapılan mobil internet bağlantıları) CDC üzerinden bağlantıları raporlama iki farklı öğe boyunda yapılmaya başlandı. Dinleyici her internete bağlandığında ve bağlantısını kestiğinde sırasıyla PacketDataEstablishment ve PacketDataTermination mesajları oluşturuldu. Her ağ akışı PacketDataPacketFilter mesajı kullanılarak belirtildi. TCP için akış bir SYN paketi ilk yakalandığında kaydedilmeye başlar ve bir FIN ya da RST bağlantıyı kesene kadar devam eder. UDP akışları, çok öğeli veri grupları {kaynak IP, kaynak port, hedef IP, hedef port} ilk görüldüğünde başlar ve zamanaşımı süresi dolduğunda biter. İçinde PacketDataPacketFilter 13

14 mesajları bulunan bazı alanlar tam kodlama ve boyutunu belirleyemediğimiz objeler içerir. Fakat bir mesajın zorunlu alanlar ve adresler içermesi için en az 160 byte boyutunda olması gerekir. Saniyede 40 akış açıp-kapayabilen biri, 64 kbps lık CDC yi doldurur ve servis dışı olmasına neden olur. Saniyede 40 TCP SYN paketi ya da boş UDP paketi yollamak için hedefin veri bağlantısından 16 kbps lik yukarı yönlü bantgenişliğine ihtiyaç duyulur ki bu Birleşik Devletlerde reklamı yapılan 3G ve 2G+ veri ağları bu ihtiyacı rahat rahat karşılayabilmektedir. Bunun pratikte de doğru olup olmadığını değerlendirmek amacıyla Sprint kablosuz veri servisi için tedarik edilen Sierra Kablosuz Pusula 597 EV-DO Revizyon A cdma2000 tipi bir modem kullandık. Bu kart bir bilgisayara USB2 bağlantısı yoluyla takılmaktadır ve veri iletimleri aygıt üzerinde bir PPP oturumu açarak yapılır. Maksimum oranı, laboratuarımızda bir sunucuya yeni UDP akışları oluşturabildiğimizde ölçtük ki sonuçlar figür 3 de gösterilmiştir. Bu sonuçlara göre ilk dört saniye boyunca saniyede 100 bağlantılık sabit bir orana ulaşmanın mümkün olduğunu gördük. Dört saniyeden sonra Sprint ağının trafik düzenleyicisi devreye girdi ve sunucumuzun yeni bağlantılarını bir kaç saniye boyunca engelledi. Fakat dört saniye paralel bir ses çağrısı yapabilmek ve Origination ve CCOpen mesajlarının kaybolmasını sağlamak için çok uzun bir zaman. Tam bir gizlilik için ses çağrısını yok etme anında CDC ye tekrar saldırılabilinir ve böylece Toplama Ünitesi nde hiç bir kayıt bırakılmamış olur. 3.2 Gelen Saldırılar Önceki bölümde, dinleyicinin yüksek hızda imleşim bilgisi üreterek, şebekenin kapasitesini aştığı saldırıları tanıttık. Şimdi de dinleyici değil de kişiler tarafından alınabilecek karşı önlemleri inceleyeceğiz. Kampmeier v.d. [19] Çağrı İçeriği Kanalı (CCC) kaynaklarının, hedefin çağrı yönlendirme (call forwarding gelen çağrıları hizmet abonesi tarafından seçilen bir hedefe yönlendirme hizmeti) kullanması durumunda tüketilebileceğini ileri sürdü. J-standard ı bir CCC nin hizmet başına değil de çağrı başına tedarik edilmesini gerektirir ve bu yüzden yönlendirilen her çağrı kendi CCC sine ayrılmalıdır. CCC ler kısıtlı kaynaklar oldukları için yeterli sayıda yönlendirilmiş gelen çağrı bütün CCC kanallarını kullanarak, hedef tarafından gözetlemeyi engelleyecek takip eden çağrıların yapılmasına / alınmasına neden olur. Bu saldırıların yapılabilirliğini gösterebilmek için bir cep telefonunu ( hedef ) gelen çağrıları büyük bir çağrı merkezine yönlendirecek şekilde konfigüre ettik. J-standard ın ekindeki en iyimser senaryoya göre, LEA ler CCC leri TSP den taşımak için bir T1 hattı tedarik ederler. Bir T1 in ses ya da veri trafiğini sağlayan 23 taşıyıcı kanalı vardır. Bu kanallardan biri CDC tarafından kullanılır ki bu da CCC ler için 22 kanal kalması anlamına gelir. (Kullanıma hazır CCC sayısı T1 in birden çok dinleyici tarafından paylaşılması durumunda daha az olacaktır.) Biz deneyimizde değişik hücresel taşıyıcıları kullanan 29 kişiden aynı anda hedefin cep telefonu numarasını aramalarını istedik. Hedef AT&T nin mobil hizmetini kullandığında bu 29 aramadan 20 si başarılı bir şekilde yönlendirildi. Deneyi hedef T-Mobile hizmetini kullanırken tekrar ettik. Bu sefer 29 aramanın tamamı çağrı merkezine yönlendirildi. Bu şekilde CCC leri TSP ile LEA arasında taşıyan T1 hattının kapasitesi aşılmış oldu. 14

15 CDC ye karşı başka bir analog (muhtemelen daha az pratik) saldırı yapmak da mümkün. Her gelen yönlendirilmiş çağrı TerminationAttempt, CCOpen*, Redirection, CCClose* ve Release LAESP mesajları üretir. (* - sadece içerik dinlemeler için) Bunlar CDC bantgenişliğinden kalem kaydı için 482, içerik dinleme için 736 byte kullanırlar. CDC tekil, 64 kbps lik bir taşıyıcı hattı üzerinden iletildiğinden, kalem kaydı için 16.60/sn, içerik dinleme içinse 10.87/sn oranlarında gelen çağrı olması durumunda çökecektir. 3.3 Paket İzlerine Belirsizlik Enjekte Etmek Kablosuz servis sağlayıcıları genelde mobil aygıtları internete bağlayan veri planlarını (data plan) satarlar. J-standard, yakalanan IP paketlerinin içeriği değiştirilmeden, olduğu gibi emniyet birimlerine (LAEs) gönderilmesi gerektiğini belirtir. Aşağıda, IP akışının güvenilir bir şekilde yeniden oluşturulmasını engelleyen üç tekniği tanımlayacağız. Karışıklık (Confusion) Karışıklık, önceleri yanlış bilgiyi, internet gizli dinleme sistemlerinin transkriptleri içine enjekte etmek için tasarlandı.[8] Dinleyici tarafından yakalanan, fakat asla bir alıcı tarafından alınmayan (ör: web yada e-posta sunucusu) özel olarak hazırlanmış IP paketleri enjekte ederek, telefon dinleyenler gerçek iletişimin yeniden oluşturulmasına engel olurlar. Gizli dinleme yapan kişi birçok değişik teknik kullanarak sahte ıvır zıvırın dinlenen tarafından kabul edilmesini ve fakat dinlenenin alıcıya ulaşmadan ağ tarafından düşürülmesini sağlayabilir. Örneğin alıcıya ulaşmada yetersiz kalan paket TTL ler kullanabilir, atlamanın MTU sunu aşacak boyutta paketler üretebilir ya da IP seçenekleri belirleyerek paketlerin ara internet yol atayıcılar tarafından düşürülmesini sağlayabilir. [8, 24] Internet gizli dinleyicileri ağ içersinde değişik pozisyonlarda olabilirler: Gönderici yakınında, alıcı yakınında, iletişimde bulunan taraflarının yolları üzerindeki yol atayıcılarda ya da birden çok dinleyicinin olması durumunda yukarıdaki seçeneklerin bir kaçında. Internet gözetleme sistemlerini tamamen karıştırmak, bütün yakalama noktalarının konumları ile ilgili kesin bilgi gerektirdiği için zordur. Genelde bu tip bilgiler dinleyici tarafından bilinmez. Eğer dinleyici yakalama noktalarının konumlarını bilirse, J-standard içindeki dinleme mimarisi karıştırma saldırılarının yapılmasını büyük ölçüde kolaylaştırır. Dinlemenin konumu belli ise, dinleyici, dinlenen tarafından kaydedilecek fakat alıcıya ulaşmadan düşecek mesajları (ör: küçük TTL ler ile) daha doğru olarak gönderebilir. Karıştırma saldırılarının fizibilitesini doğrulamak amacıyla Sprint in cdma2000 veri ağında bulunan özel olarak hazırlanmış karıştırma paketlerini, kendi enstitümüzün ağında çalışan bir sunucuya ilettik. Paketler, Sprint in ağına Sierra Kablosuz Pusula 597 EV-DO modemle bağlı, bir dizüstü bilgisayarda çalışan hping paket birleştirme aracı [26] kullanılarak hazırlandı. Cdma2000 ağının, paketleri gelişigüzel TTL ler, Yoğunluk Penceresi İndirgemesi (Congestion Window Reduced - CWR) ve ECN-Echo (ECN) TCP bayrak seti ile gönderdiğini doğruladık. Yeterince küçük TTL leri belirleyerek, dinleme aygıtı tarafından algılanabilen fakat alıcıya ulaşmayan yönlendirilebilir paketler üretebilir hale geldik. 15

16 Nesne-Orijinli cdma2000 Zaman Damgaları Her IP paketi, LEA ya iletilmeden önce cdma2000interceptionofcontent LAESP mesajı ile birlikte zarflanır. IP paketinin yükü ile birlikte, LAESP mesajı IP paketinin ne zaman yakalandığına dair bir zaman damgası içerir. Eğer alt protokol, protokol başlığında zamanlama bilgisini gösteriyorsa (J-standard örnek olarak RTP yi [27] göstermektedir) zaman damgasına gerek duyulmaz. Zaman bilgisini iletmek için, uygulama-katman protokol başlıklarına dayanan CALEA sistemlerini manipülasyona karşı dayanaksızdır. Kişi, hatalı tarih bilgileri içeren mesajlar yollayarak, LEA nın, akışı düzgün olarak tekrar oluşturma dirayetini zorlayabilir. Buna ek olarak kişi, dinleme emrinin verildiği zamanın dışında kalan zaman damgaları belirleyerek, ilgili kayıtları yargılama sürecinden çıkarılmaya zorlayabilir. Cdma2000 Yön Bilgisinin Kaybı Cdma2000InterceptionofContent mesajlarının IP paketinin yönünü belirleyen (dinleyiciye ya da dinleyiciden gelen) opsiyonel bir alanı vardır. Eğer cdma2000 mesajları yön alanını kullanmazlarsa ve kombine bir CCC (gelen ve giden paketleri taşır) üzerinden iletilirlerse, LEA nın, gönderici ve alıcının yakalanan mesajlarını IP başlığındaki ağ adreslerinden belirlemesi gerekir. Dinleyen kişi yön bilgisi eksikliğinden faydalanarak üçüncü kişilerden kendine gelmek üzere sahte IP paketleri oluşturabilir ve böylece dinlenen kişinin transkriptine gelişigüzel var olmayan iletişim bilgileri ekleyebilir. 3.4 Servis Sağlayıcısının Ağında Bant-içi İmleşim Ek bir özellik olarak, yakalama erişim noktaları (IAPs) (hat kullanımda olsa da olmasa da), bant içi imleşim kullanarak, Dağıtım Ünitesi ne (DF) kanca durumu (hook status) iletebilirler. Şahsın hattı kullanımda olmadığı zaman, IAP, DF ye bir C-tonu (C-tone) (852Hz ve 1633Hz den oluşan iki frekanslı ses sinyali) gönderir. C-tonunun algılanmasından sonra DF, CCC yi serbest bırakır ve CDC ye CCClose mesajı iletir. [3] Bu da LEA ekipmanının kaydı durdurmasına neden olur. Şahıs, bant-içi imleşimi kullanarak ve kendi konulmaları esnasında C-tonları kullanarak kaydedilmesini engelleyebilir. DF, C-tonlarının IAP ya da şahıs tarafından gönderildiğini ayırt edemediği için şahıs, kendi konuşmalarında düşük seste C-tonları çalarak dinlemeyi kendi isteğine göre bozabilir. Önceki yazıda [28], CALEA öncesi döngü genişletici dinleme sistemlerinde buna benzer bir eksikliği belirtmiştik. Bu sistemlerde, telekomünikasyon hizmet sağlayıcısı (TSP) kanca durumu bilgisini LEA ya, içeriğe aktarmak için aynı ses kanalı üzerinden bant-içi imleşim kullanarak iletiyordu. Döngü genişletici sistemlerde, LEA da bulunan kayıt ekipmanı ne zaman C-tonu algılarsa kaydı durdurur.[28] (ve hoparlörü kapatır) C-tonunun TSP ya da dinleme şahsından gelip gelmediğini ayırt edemez. Böyle düşünüldüğünde, J-standard CALEA sistemlerinin tasarımının, TSP ve LEA arasındaki bant-içi imleşim kullanımını ortadan kaldırması gerekir. (çünkü sinyaller CDC ile bant dışına gönderilir.) 16

17 İronik olarak, problem, CALEA sistemlerinde çok daha kötü ortaya çıkar: Bant-içi C-tonu imleşimi sadece TSP ve emniyet arasında değil (ki emniyet tarafında bu zayıflık çok daha kolay azaltılabilir), aynı zamanda dahili olarak TSP lerin dağıtım ağında da kullanılmaktadır. Bu, eğer herhangi bir gözetim şahsı bir bağlantıya CALEA ekipmanlı bir dinleme cihazı ile C-tonu uygularsa, TSP ve LEA arasındaki CCC nin basitçe kapanacağı (sanki çağrı normal olarak bitmiş gibi) ve hiç bir iletişim içeriğinin dağıtılmadığı anlamına gelmektedir. Daha da kötüsü, LEA ekipmanının kendi kendine yaptığı bu hata sonrasında gelebilecek saldırıları hiçbir şey belirleyemez ya da azaltamaz. Bu saldırılar sadece TSP tarafından engellenebilir. 3.5 İçerik Sızıntısı Sadece kalem kaydı dinlemesi olması durumunda, Birleşik Devletler hukuku, LEA ya hiç bir çağrı içeriğinin iletilmemesini emreder. Fakat birçok telefonda çağrı tanımlama bilgisinin içerikten ayrılmasını sağlayan ve çok aşikar olmayan özellikler bulunmaktadır. Bu, IP telefon ağlarında daha da karışıktır çünkü imleşim bilgisi de dijitalleştirilmiş ses de aynı kanal üzerinden ve genelde aynı paket içerisinde gönderilir. Kalem kaydı dinlemelerinde sadece CCC leri dağıtımdan çıkarmak emniyet birimlerine giden bütün içeriğin silinmesi anlamına gelmez. Örneğin içerik SMS mesajı yakalarken CDC üzerinden gönderilmiş olsun. Halk dilindeki TSP literatüründe [16, 1, 4] ve kablosuz yakalama aygıtlarının patentlerinde [9], SMS mesajının içeriği CDC üzerindeki PacketEnvelope mesajları ile iletilir. Ne J-standard, ne de diğer bayilerin uygulamaları SMS içeriği ile SMS tanımlama bilgisini ayırmayı denememektedir. Eğer bir LEA, bir SMS mesajı hakkında herhangi bir bilgi elde ederse, mesajı tamamen de elde etmiş olur. Bunun yanında çağrı bittikten sonra aranan numaraların (kapatma sonrası) CDC ile aktarımı da başka bir içerik sızıntısı durumudur. Hiç bir teknolojinin kapatma sonrası numaraların başka bir telefon numarasına ya da örneğin banka hesabına ve pin numarasına ait olup olmadığını ayırt edemediğini biliyoruz. Herhangi bir içeriğin CDC üzerinden LEA lar ile içerik garantisi olmadan gerçekleşen iletişimi Birleşik Devletler Hukuku nun çiğnenmesi anlamına gelebilir. Özellikle henüz ortada genel bir konsensüs yok iken, mahkemeler, kapatma sonrası numara çıkartmanın içeriği ortaya çıkarttığını ve bu yüzden kalem kaydı dinlemelerinde olmamaları gerektiği hükmünde kararlar vermeye başlamışlardır. 3.6 Geleneksel Saldırılar Tam bir bütünlük için bu bölümde kısaca daha önce literatürde belirlenen CALEA sistemleri zayıflıklarını anlatacağız. Karışıklık ve Atlatma Aramaları CALEA öncesi döngü karıştırıcı dinleme sistemlerinde, telekomünikasyon hizmet sağlayıcıları (TSP) ve emniyet birimlerinde (LEA) bulunan ayrık DTMF dekoderleri, sırasıyla çağrılara yol atamak ve yakalama hedefinin aradığı telefon numaralarını kaydetmek için kullanılırdı. Aynı analog DTMF tonu birbirinden bağımsız ve kaçınılmaz olarak farklı toleranslara sahip iki sistem 17

18 tarafından çözüldüğü için dinleme yapan şahıs kabul edilebilir aralık sınırında DTMF tonları oluşturarak, tonların bir dekoder tarafından algılanıp diğeri tarafından algılanmamasını sağlayabilir. Önceki çalışmada [28] dinleme yapan şahsın dinleme aygıtını, dinleme aygıtı tarafından kabul edilen fakat anahtar tarafından yok sayılan DTMF tonları (tonların ses perdesinin değiştirerek, amplitüd) kullanarak karıştırabileceğini göstermiştik. Buna benzer şekilde dinleme yapan şahıs, anahtar tarafından kabul edilen fakat döngü genişletme sistemi tarafından yok sayılan tonlar üreterek yakalanmasını engelleyebilir. Döngü genişletici sonrası CALEA sistemleri, TSP nin DTMF tonları şifre çözümlemelerini kaydetmek için anahtarlama donanımının içindeki yakalama erişim noktalarını (IAPs) kullanırlar. Fakat CALEA dinleme aygıtına saldıran bir hedef, çağrılara yön atamak için, TSP yi üçüncü parti hizmetler (ör: telefon kartı hizmeti) kullanarak alt edebilir. Bu tip hizmetlerin kullanıcısı genelde aranan tarafın telefon numarasını kesilme sonrası DTMF tonları kullanarak belirler. Aslen çağrı dinleme aygıtının öznesidir, TSP nin kesilme sonrası DTMF numaraları ile ilgili üçüncü partilerin tercümesine doğrudan erişimi yoktur. CALEA bu şekilde yapılan dinleme atlatmasını girişimlerini kesilme sonrası numaralarını çözerek ve DialedDigitExtraction mesajları vasıtasıyla açıklamaların raporlarını yollayarak azaltmaya çalışır. Döngü genişletici sistemlerdeki gibi, DTMF tonlarını dinleme için deşifre eden aygıt, çağrıların yol atamasını yapmak üzere tonları anlamlandıran sistemden bağımsızdı ve bu da dinleme yapan şahsın, karıştırma ve atlatma teknikleri kullanarak dinleme transkriptine yanlış kayıtlar göndermesini sağlıyordu. CCC üzerinde Bant-içi İmleşim CALEA öncesi döngü genişletici dinleme sistemleri kanca durumunu aktarmak için bant-içi imleşim kullanırlardı. Telefon kanca durumundayken (kullanılmazken), TSP ve LEA arasındaki bağlantıya DTMF C-tonu uygulanırdı. C-tonu algılandığında döngü genişletici sistemler DTMF tonlarının TSP ya da şahıs kaynaklı üretilmesi fark etmeksizin kayıt yapmayı bırakırdı. J-standard temelli CALEA sistemleri TSP ile LEA arasında bant-içi imleşim kullanmazlar. Çağrı tanımlama bilgileri bunun yerine fiziksel olarak ayrılmış CDC kanalı vasıtasıyla yollanır. Bu durumda, TSP anahtarları kanca durumu bilgisini DF ye bant-içi imleşim kullanarak iletmezler (Bölüm 3.4 de açıklanan zayıflıklara neden olur), şahıs, CALEA dinleme aygıtını C-tonları uygulayarak manipüle edememelidir. Fakat orijinal çalışmamızda da [28] belirtildiği gibi, CALEA bayi literatürü ve ilgili patentler CCC üzerindeki C-tonunu, LEA daki ses kaydı ekipmanını kontrol eden opsiyonel bir özellik olarak tanımlamaktadırlar. CALEA sistemleri CCC lere C-tonu uygulayarak şahsın telefonunun kanca durumunda olduğunu LEA ekipmanına bildirebilirler. [10, 13, 14, 19, 25] Eğer LEA ekipmanı CCC üzerindeki kanca durumunu ayırt etmek için, C-tonunun varlığı ya da yokluğuna dayanıyorsa, şahıs emniyet birimlerinin kayıt ekipmanını ve dinleme logunu rahatça kontrol edebilir. 4. KOLAY UYGULANABİLİR SALDIRI SENARYOLARI Kolayca elde edilebilen ekipman kullanılarak, bir şahıs sanal TSP hizmetlerinin tümüne karşı çok yönlü saldırılar gerçekleştirebilir. Bu şekilde ya dinleme transkriptlerinde ya da kayıt bilgilerinde 18

19 açıklıklar oluşturabilir. Aşağıda, dinleme hedefinin gözetlemeyi atlattığı ve/veya çağrı kayıtlarını değiştirdiği bazı kolay uygulanabilir saldırı senaryolarını inceleyeceğiz. Mobil veri hizmetli bir hedef, Smartphone una bir veya daha fazla internet sitesine sürekli UDP bağlantıları oluşturan bir uygulama yükler. Bunun sonucunda oluşan PacketDataPacketFilter LAESP mesajları CDC yi doldurur. Origination mesajları şahıs temelli çağrıların LEA ya iletilmemesini söylediği için hedef, dinleme aygıtının çağrı kayıtlarında gözükmeyen çağrılar oluşturabilir. Benzer şekilde CCOpen mesajları (içerik dinlemelerinin olması durumunda) kaybolmuş olabilir. Bu da LEA nın CCC yi çağrı ile birleştirmesine engel olarak hedefin gözetlenmeden ses ve veri vasıtasıyla iletişim kurmasını sağlar. Kablo hattı ve mobil hizmetlerle dinleme yapan şahıs yukarıda bahsedilen UDP akış saldırılarını kendi smartphone unu kullanarak yapabilir ve CDC yi doldurabilir. Hem kablo hattı hem de mobil hizmetlerin iletimi için aynı CDC kullanıldığından dolayı, hedef kendi kablo hatlı telefonunu kullanarak gözetlenmeyen çağrılar yapabilir. VoIP abonesi bir dinleyici skriptlenebilen bir softphone ya da çağrı oluşturma aracını (ör: SIPp) kendi sesli mesaj hizmetine hızla VoIP aramaları yapmak için kullanabilir. TSP tarafından yönetilen sesli mesaj hizmetinin geleneksel kablo hattı telefon ağında gezinmesi gerekmez. Sesli mesaj sistemi tarafından gereken kaynakları limitlerken kendi imleşim hızını maksimize etmek için, çağrılar bağlandıktan hemen sonra kesilir. Dinleme hedefinin imleşim kapasitesi CDC ninkini büyük ölçüde aştığı için, hedef CDC bağlantısının kaynaklarını tüketir. Hedefin meşru gelen ve giden aramalarına ait çağrı kayıtları ve çağrı içerikleri CDC nin tıkanmasından dolayı kaydedilmez. Mobil veri hizmeti abonesi smartphone una her kanuni paketten önce küçük TTL ler ile gereksiz paketler yollayan bir uygulama yükler. Çoğu TCP tekrar kurucu, daha önce görülen sekans numaralı paketleri (içeriği farklı bile olsa) [8] kullanmadığı için, dinleme aygıtı yasal trafik yerine hedefin seçtiği trafiği yeniden oluşturur. Tersi durumda, alıcı göndericiden dinleme aygıtına göre daha uzakta bulunduğu için, alıcı yanlış trafiği küçük TTL ler ile almaz. Dinleme loglarının manuel olarak denetlenmesi ise hedefin ikiyüzlülüğünü ortaya çıkartabilir, fakat yakalama anında ağ topolojisi ile ilgili kesin bir bilgi olmadan, LEA eksiksiz olarak trafik akışını tekrar oluşturamaz. Bir dinleme hedefi kendi kablo hattında ya da mobil telefonunda çağrı yönlendirmesini etkinleştirip, çağrıları yüksek kapasiteli çağrı merkezlerine (ör: havayolu rezervasyon sistemi) yönlendirir. Otomatik bir araç vasıtasıyla (ör: SIPp), hedef, üye internet VoIP hizmetinden kendi telefonuna aynı anda birçok çağrı yaparak tüm çağrıların yönlendirilmesine ve TSP nin her VoIP çağrısı için CCC yi görevlendirip, ayırmasına neden olur. Bu şekilde yapılacak 22 VoIP çağrısından sonra, TSP ve LEA arasındaki T1 bağlantısını tüketerek, kendi kablo hattı ya da mobil telefonunun gözetlenmeyen aramalar yapmasını sağlar. Yukarıdaki saldırı senaryoları katiyen bütün mümkün dinleme önlemlerinin tamamı değildir ve sadece güncel jenerasyon CALEA dinleme sistemlerinin mimari zayıflıklarının altını çizmek için gösterilmiştir. 19

20 5. GEÇİCİ AZALTMA ÇALIŞMALARI Bu bölümde bazı belirtilen eksiklikler için geçici azaltmaları tanımlayacağız. Bu tavsiyeler ve çalışmalar halihazırda CALEA ekipmanı kullananlar içindir. Fakat J-standart mimarisi tabanlı uygulamalarda birçok zayıf nokta olduğu ve dinleme altyapısı ciddi şekilde değiştirilmeden bu sorunlara çare bulunamadığı için aşağıdaki tavsiyeler bahsedilen bazı atakların (tamamı değil) etkisini azaltmak adına yapılmıştır ve suistimal edilmeye karşı sağlam sistemlerde aynı sonucu vermeyecektir. CDC ve CCC kaynaklarını şahsın imleşim becerisine göre tedarik edin. LEA ve TSP nin zorlama saldırılarını engellemek için CDC ve CCC ye ait bantgenişliği ve diğer kaynakların düzgün ayrıldığından emin olması gerekmektedir. Bantgenişliği tahmini ortalama durum imleşim hızına göre değil, şahsın maksimum mümkün imleşim hızına göre tedarik edilmelidir. Buna ek olarak, IAP leri Dağıtım Ünitesi ne bağlayan dahili bağlantılarda da en kötü durum analizleri yapılmalıdır. Üçüncü parti imleşimlerin anlamlandırmalarına inanmayın. Üçüncü parti tarafından yapılan veri anlamlandırmalarını düzgün öngörebilmek için dinleme sistemlerine güvenilmemelidir. Örneğin kesişme sonrası DTMF tonlarını deşifre etmek manipülasyon konusudur (bkz: bölüm 3.6) ve kesin değerlendirilmemesi gerekir. Bant-içi imleşim özelliklerini kapatın. Bant-içi imleşim şahsın dinleme ekipmanını kontrol etmesini sağlar. IAP ler ve DF (bkz: bölüm 3.4) ya da TSP ve LEA (bkz: bölüm 3.6) arasında bant-içi imleşim kullanılmamalıdır. Her dinleme aygıtını kendi CDC si ile tedarik edin. Çoklu dinleme emirlerinden gelen çağrı tanımlama bilgisi bir CDC tarafından taşınmamalıdır. Böylece bir dinleme aygıtının diğerini de etkileyerek servis dışı hale getirmesi engellenmiş olur. Bir CCC deki gelen ve giden mesajların sınırlarını iyi belirleyin. CCC ler daima yönlülük sahibi olmalıdır. Eğer birleşik bir CCC kullanılırsa, paket verisinin yönlülük bit inin (directionality bit) açılması gerekir. Kalem kaydı bilgisini diğer kanıt formlarıyla bağdaştırın. LEA lar kalem kaydı bilgisini oluşturmak için fatura kayıtları ve diğer kanıtları incelemelidirler. Böyle bir veri gerçek-zamanlı olmasa da depolanmış çağrı kayıtlarının iletimi, zorlama saldırılarına kaynak olmak için uygun değildir. Bölüm 3 de açıklanan zayıf noktaların bazıları yukarıdaki geçici çözüm prosedürleriyle azaltılabilse de CALEA sistemlerinin bazı tasarım karakteristikleri onu kendiliğinden manipülasyona karşı zayıf hale getirmektedir. Özellikle çoklu IAP lerden gelen veriyi tek bir CDC de birleştirmek, CDC yoluyla IP görev yükü ve SMS yollamak ve her arama ayağı için ayrı bir CCC gerektirmek J-standart temelli CALEA tasarımlarının özünde vardır ve zayıflıkları beraberinde getirir. Dinleme sistemlerinin konfigürasyonlarının değiştirilmesi bu zayıflıkların kolayca belirlenebilmesi için yeterli değildir. Buna ek olarak tanımlanan kaynak zorlama saldırılarının çoğu TSP ekipmanını değiştirerek azaltılabilir ki CALEA ya yapılan bu saldırılar TSP nin operasyonel istikrarını nadiren etkilerler. Böyle bir tehlike olmadan TSP ler (olası yararlanabilecekleri) çağrı ve mesajların oranlarını limitlemeye isteksiz olurlar. 20