STIR/SHAKEN, een raamwerk voor communicatiebeveiliging, werd geïntroduceerd als reactie op de groeiende bezorgdheid over de prevalentie en effecten van ongevraagde oproepen op telecommunicatienetwerken. Geschat wordt dat er elke maand tussen de 3 en 5 miljard "robocalls" worden gedaan - en dat meer dan 40% van deze communicatie op de een of andere manier verband houdt met fraude.
[Bron afbeelding: magna5global.com]
Om hen te helpen bij hun pogingen om toegang te krijgen tot waardevolle informatie of financiële activa, zullen criminele actoren vaak hun toevlucht nemen tot een techniek die bekend staat als spoofing. Hier gebruiken ze verschillende methoden om de schijnbare oorsprong van hun uitgaande telefoontjes te veranderen, in de hoop de ontvanger voor de gek te houden door te antwoorden op wat zij denken dat een oproep is die afkomstig is van een bekende locatie, persoon of instelling.
Aan de mildere kant van de schaal kan dergelijke misleiding de dader helpen een luisterend oor te krijgen voor een reclamepraatje of informatieverzamelingsonderzoek. In ernstigere gevallen kan spoofing worden gebruikt door fraudeurs en criminelen om ontvangers van oproepen te misleiden om geld vrij te geven of om gevoelige gegevens vrij te geven.
[Bron afbeelding: ftc.gov]
De Federal Communications Commission (FCC) pleit sinds 2014 voor initiatieven om dit soort activiteiten aan banden te leggen. Als reactie daarop heeft de telecommunicatie-industrie het communicatiebeveiligingskader en de technologiestandaard ontwikkeld die bekend staat als STIR/SHAKEN.
In feite heeft de FCC op 30 juni 2021 regels aangenomen die telco-serviceproviders verplichten een STIR/SHAKEN-oplossing te implementeren - dus het is zeker iets dat de moeite waard is om te weten.
Wat betekent ROEREN/SCHUDEN?
STIR/SHAKEN is een gecombineerd acroniem. Het STIR-gedeelte is afgeleid van de eerste letters van Secure Telephony Identity Revisited en biedt een intentieverklaring voor datgene waarvoor het technologieframework is gemaakt.
SHAKEN is een constructie die is ontleend aan de uitdrukking Secure Handling of Asserted information using toKENs. Dit wijst op de digitale methodologie die wordt gebruikt bij het beheer van communicatiegegevens, onder het STIR/SHAKEN-protocol.
Afgezien van de letters is STIR eigenlijk een werkgroep binnen een instantie voor internetstandaarden die bekend staat als de IETF (de Internet Engineering Task Force). Deze organisatie heeft een set protocollen ontwikkeld die worden gebruikt bij het maken van digitale handtekeningen voor telefoongesprekken. SHAKEN omvat de standaarden die bepalen hoe STIR moet worden ingezet door aanbieders van telecommunicatiediensten binnen hun netwerken. Het is formeel ontwikkeld door de Alliance for Telecommunications Industry Solutions (ATIS) en is geaccrediteerd door het American National Standards Institute (ANSI).
Basisprincipes van STIR/SHAKEN
De STIR-werkgroep heeft een charter dat haar verplicht mechanismen te definiëren waarmee de autorisatie van een oproepende partij om een bepaald telefoonnummer te gebruiken, kan worden geverifieerd.
Om dit te bereiken, maakt het STIR/SHAKEN-framework gebruik van digitale certificaten, om de veiligheid van het oorspronkelijke nummer voor een telefoongesprek te garanderen. Deze certificaten zijn gebaseerd op de technieken van cryptografie met gemeenschappelijke openbare sleutels, waarbij elke serviceprovider een digitaal certificaat moet verkrijgen van een certificeringsinstantie die wordt vertrouwd door andere telefoonserviceproviders.
[Bron afbeelding: getvoip.com]
In wezen stelt de cryptografische certificaattechnologie de partij die een oproep ontvangt in staat om te verifiëren dat het oproepende nummer juist is en niet is vervalst. Bij een STIR/SHAKEN-oproep tekent (of bevestigt) de oorspronkelijke serviceprovider zijn relatie met de beller en zijn recht om het oproepende nummer te gebruiken.
Binnen het Session Initiation Protocol (SIP) van een digitale spraakcommunicatie biedt STIR de mogelijkheid om de beller-ID te authenticeren. Het SHAKEN-protocol definieert de end-to-end-architectuur die nodig is om beller-ID-authenticatie met behulp van STIR in het telefoonnetwerk te implementeren.
Een typische STIR/SHAKEN-workflow
Wanneer iemand een telefoongesprek start, geeft de bellende partij een SIP INVITE uit, die naar de oorspronkelijke serviceprovider gaat. Eenmaal ontvangen, controleert de provider de bron van de oproep en het oproepende nummer om hun attestniveau te bepalen. Er zijn doorgaans drie opties beschikbaar:
- Met een volledige of "A"-attest weet de serviceprovider wie de klant is en kan hij instaan voor zijn recht om een bepaald telefoonnummer te gebruiken.
- Bij gedeeltelijke of "B"-attest kent de serviceprovider de klant, maar kent hij de bron van het telefoonnummer niet.
- Bij Gateway- of "C"-attest kan de serviceprovider de bron van een oproep niet verifiëren (wat bijvoorbeeld een internationale gateway kan zijn), ook al start de serviceprovider de oproep op het netwerk.
De oorspronkelijke serviceprovider gebruikt een authenticatieservice om een gecodeerde SIP-identiteitsheader te maken. Deze bestaat uit verschillende elementen, waaronder:
- Het nummer waar het gesprek vandaan komt
- Het ontvangende nummer
- De huidige datum en een tijdstempel van de oproep
- Het attestniveau
- Een unieke origination identifier, die helpt bij het traceren van het gesprek
Hierna worden de SIP-uitnodiging en SIP-identiteitsheader verzonden naar de terminating provider, die de SIP-uitnodiging doorgeeft aan een verificatieservice. Als het gesprek met succes is geverifieerd, neemt de terminating provider een definitieve beslissing over het voltooien of blokkeren van het gesprek. Bij het nemen van deze beslissing houden ze rekening met het attestniveau en met andere factoren, zoals relevante informatie in hun eigen gespreksanalyse.
Hoe het werkt in meer detail
Achter de schermen bestaat een typische STIR/SHAKEN-implementatie uit verschillende onderdelen. Ze bevatten:
De STI-authenticatieserver (STI-AS): Dit biedt een Application Programming Interface die bekend staat als de REST API, die verantwoordelijk is voor het ondertekenen van verzoeken. Hiervoor heeft de API toegang tot private sleutels in de SKS (Secure Key Store).
De STI-Verificatie Server (STI-VS): Dit levert de REST API op die een rol speelt bij het verwerken van verificatieverzoeken. Deze API haalt ook openbare sleutels op van het openbare internet met behulp van de URL in het verificatieverzoek.
De authenticator: Dit is het onderdeel in het carriernetwerk dat de authenticatie- en ondertekeningsservices aanroept om digitale handtekeningen te maken en te verifiëren.
De beveiligde sleutelopslag (SKS): Aangezien elke privésleutel die wordt gebruikt bij STIR/SHAKEN-verificatie een geheim is dat alleen bekend is bij de koerier die het gesprek ondertekent, is het belangrijk om deze activa te beschermen. De SKS dient hiervoor als veilige opslagplaats. Het voorziet ook in de privésleutels zoals deze door de STI-AS worden gebruikt bij ondertekeningsverzoeken.
De STI Certificate Repository (STI-CR): Deze beveiligde webserver host openbare certificaten en is toegankelijk voor serviceproviders via het openbare internet. Elke serviceprovider met SHAKEN privésleutels in een Secure Key Store moet een overeenkomstige STI-CR hebben waar zijn openbare certificaten worden gepubliceerd.
De sleutelbeheerserver (SP-KMS): Dit zorgt voor geautomatiseerd certificaat- en sleutelbeheer en heeft een aantal functies. De SP-KMS vraagt en ontvangt een token van de STI-PA via een HTTP-interface, naast het aanvragen van een STI-certificaat van de STI-CA. Het genereert ook een privé- en een openbaar sleutelpaar voor ondertekening en verificatie, en slaat deze respectievelijk op in de SKS en de STI-CR.
Huidige en toekomstige toepassingen van STIR/SHAKEN
Naarmate STIR/SHAKEN wijdverspreider wordt, zullen real-time analysesystemen beter in staat zijn om onderscheid te maken tussen vervalste en echte oproepen, en zullen ze meer vermogen krijgen om de slechte communicatie eruit te filteren die de telefonie-ervaring voor netwerkabonnees kan verslechteren.
STIR/SHAKEN heeft ook het potentieel om een gestandaardiseerde methodologie te bieden voor het traceren van de oorsprong van oproepen. Dit is tot nu toe moeilijk te realiseren, gezien het aantal ongelijksoortige netwerken en verbindingen die er doorgaans bij betrokken zijn. STIR/SHAKEN bevat echter een gestandaardiseerde traceerfunctie die het beginpunt van een oproep in elk netwerk vertegenwoordigt. Dit opent de mogelijkheid om het traceerproces te stroomlijnen.
In de toekomst kan de invoering van STIR/SHAKEN het ook mogelijk maken om een of andere vorm van gestandaardiseerde weergave te creëren, die aan ontvangers bevestigt dat de beller-ID van de partij die een inkomende oproep start volledig is geverifieerd. Dit kan bijvoorbeeld een weergave van de naam van de beller en het doel van de oproep zijn.
Om aan de slag te gaan met het gebruik van STIR/SHAKEN om oproepen op uw netwerk nu te verifiëren, kunt u hier bij IDT toegang krijgen tot onze gratis tool.