O STIR/SHAKEN, uma estrutura de segurança de comunicações, foi introduzido em resposta às crescentes preocupações sobre a prevalência e os efeitos de chamadas não solicitadas em redes de telecomunicações. Estima-se que entre 3 e 5 bilhões de “robocalls” sejam feitas a cada mês – e que mais de 40% dessas comunicações estejam de alguma forma relacionadas a fraudes.
[Fonte da imagem: magna5global.com]
Para auxiliá-los em seus esforços para obter acesso a informações valiosas ou ativos financeiros, os criminosos costumam recorrer a uma técnica conhecida como spoofing. Aqui, eles usam vários métodos para alterar a origem aparente de suas chamadas telefônicas, na esperança de enganar o destinatário e fazê-lo atender o que eles pensam ser uma chamada vinda de um local, indivíduo ou instituição conhecida.
No extremo mais brando da escala, esse engano pode ajudar o perpetrador a ganhar atenção para uma campanha publicitária ou uma pesquisa de coleta de informações. Em casos mais graves, o spoofing pode ser usado por fraudadores e criminosos para induzir os destinatários das chamadas a liberar fundos ou divulgar dados confidenciais.
[Fonte da imagem: ftc.gov]
A Federal Communications Commission (FCC) tem defendido iniciativas para restringir esse tipo de atividade desde 2014. Em resposta, o setor de telecomunicações desenvolveu a estrutura de segurança de comunicações e o padrão de tecnologia conhecido como STIR/SHAKEN.
Na verdade, a partir de 30 de junho de 2021, a FCC adotou regras que exigem que os provedores de serviços de telecomunicações implantem uma solução STIR/SHAKEN – então é definitivamente algo que vale a pena conhecer.
O que significa AGITAÇÃO / AGITAÇÃO?
STIR/SHAKEN é um acrônimo combinado. A parte STIR é derivada das primeiras letras de Secure Telephony Identity Revisited e fornece uma declaração de intenção para o que a estrutura de tecnologia foi criada para abordar.
SHAKEN é uma construção retirada da frase Manipulação segura de informações declaradas usando tokens. Isto aponta para a metodologia digital utilizada na gestão dos dados das comunicações, sob o protocolo STIR/SHAKEN.
Além das letras, o STIR é, na verdade, um grupo de trabalho dentro de um órgão de padrões da Internet conhecido como IETF (Internet Engineering Task Force). Esta organização desenvolveu um conjunto de protocolos usados na criação de assinaturas digitais para chamadas telefônicas. SHAKEN abrange os padrões que regem como o STIR deve ser implantado pelos provedores de serviços de telecomunicações em suas redes. Foi formalmente desenvolvido pela Alliance for Telecommunications Industry Solutions (ATIS) e é credenciado pelo American National Standards Institute (ANSI).
Princípios básicos de STIR/SHAKEN
O Grupo de Trabalho STIR tem um regulamento que o obriga a definir mecanismos que permitam a verificação da autorização de um chamador para usar um determinado número de telefone.
Para isso, o framework STIR/SHAKEN faz uso de certificados digitais, para garantir a segurança do número de origem de uma chamada telefônica. Esses certificados são baseados nas técnicas de criptografia de chave pública comum, segundo as quais cada provedor de serviços deve adquirir um certificado digital de uma autoridade de certificação confiável para outros provedores de serviços telefônicos.
[Fonte da imagem: getvoip.com]
Em essência, a tecnologia de certificado criptográfico permite que a parte que recebe uma chamada verifique se o número chamador é preciso e não foi falsificado. Em uma chamada STIR/SHAKEN, o provedor de serviço de origem assinará (ou atestará) seu relacionamento com o chamador e seu direito de usar o número chamador.
Dentro do Protocolo de Iniciação de Sessão (SIP) de uma comunicação de voz digital, o STIR fornece a capacidade de autenticar o ID do chamador. O protocolo SHAKEN define a arquitetura end-to-end necessária para implementar a autenticação de ID do chamador usando STIR na rede telefônica.
Um típico fluxo de trabalho STIR/SHAKEN
Quando alguém inicia uma chamada telefônica, o chamador emite um SIP INVITE, que vai para o provedor de serviços de origem. Uma vez recebida, o provedor verifica a origem da chamada e o número chamador para determinar seu nível de atestado. Normalmente existem três opções disponíveis:
- No Atestado Completo ou “A”, o provedor de serviços sabe quem é o cliente e pode atestar seu direito de usar um determinado número de telefone.
- No Atestado Parcial ou “B”, o prestador de serviço conhece o cliente, mas não sabe a procedência do telefone.
- No Gateway ou no Atestado “C”, o provedor de serviços não pode autenticar a origem de uma chamada (que pode ser, por exemplo, um gateway internacional) — mesmo que o provedor de serviços origine a chamada na rede.
O provedor de serviços de origem usará um serviço de autenticação para criar um cabeçalho de identidade SIP criptografado. Este consiste em vários elementos, incluindo:
- O número de onde vem a chamada
- O número de recebimento
- A data atual e um carimbo de hora da chamada
- O nível de atestado
- Um identificador de origem exclusivo, que ajuda a rastrear a chamada
Depois disso, o convite SIP e o cabeçalho de identidade SIP são enviados ao provedor de destino, que passa o convite SIP para um serviço de verificação. Se a chamada for verificada com sucesso, o provedor de destino toma a decisão final sobre a conclusão ou bloqueio da chamada. Ao tomar essa decisão, eles levarão em consideração o nível de atestado, bem como outros fatores, como informações relevantes contidas em suas próprias análises de chamadas.
Como funciona com mais detalhes
Nos bastidores, uma implementação STIR/SHAKEN típica consiste em vários componentes. Eles incluem:
O STI-Authentication Server (STI-AS): Isso fornece uma interface de programação de aplicativo conhecida como API REST, que é responsável por assinar solicitações. Para isso, a API tem acesso a chaves privadas no SKS (Secure Key Store).
O STI-Verification Server (STI-VS): Isso fornece a API REST que desempenha uma função no processamento de solicitações de verificação. Essa API também recupera chaves públicas da Internet pública usando a URL contida na solicitação de verificação.
O autenticador: Este é o componente na rede da operadora que invoca os Serviços de Autenticação e Assinatura para criar e verificar assinaturas digitais.
O armazenamento de chaves seguras (SKS): Como cada chave privada usada na verificação STIR/SHAKEN é um segredo conhecido apenas pela operadora que assina a chamada, é importante proteger esses ativos. O SKS serve como um repositório seguro para esta finalidade. Ele também provisiona as chaves privadas conforme elas são usadas pelo STI-AS em solicitações de assinatura.
O Repositório de Certificados STI (STI-CR): Este servidor web seguro hospeda certificados públicos e pode ser acessado por provedores de serviços pela internet pública. Cada provedor de serviços com chaves privadas SHAKEN em um Secure Key Store deve ter um STI-CR correspondente onde seus certificados públicos são publicados.
O servidor de gerenciamento de chaves (SP-KMS): Isso fornece certificado automatizado e gerenciamento de chaves e atende a várias funções. O SP-KMS solicita e recebe um token do STI-PA por meio de uma interface HTTP, além de solicitar um certificado STI do STI-CA. Também gera um par de chaves pública e privada para assinatura e verificação, armazenando-as respectivamente no SKS e no STI-CR.
Aplicações Atuais e Futuras do STIR/SHAKEN
À medida que o STIR / SHAKEN se torna mais difundido, os sistemas de análise em tempo real ganharão maior capacidade de diferenciar entre chamadas falsificadas e genuínas e maior poder para filtrar as más comunicações que podem prejudicar a experiência de telefonia dos assinantes da rede.
O STIR/SHAKEN também tem o potencial de fornecer uma metodologia padronizada para rastrear a origem das chamadas. Isso tem sido difícil de conseguir até o momento, devido ao número de redes e conexões diferentes que normalmente estão envolvidas. No entanto, STIR/SHAKEN inclui uma função de rastreamento padronizada que representa o ponto de origem de uma chamada em cada rede. Isso abre a possibilidade de agilizar o processo de rastreamento.
No futuro, a adoção de STIR/SHAKEN também pode possibilitar a criação de alguma forma de exibição padronizada, que confirma aos destinatários da chamada que o ID do chamador da parte que iniciou uma chamada recebida foi totalmente verificado. Isso pode ser, por exemplo, uma exibição do nome do chamador e da finalidade da chamada.
Para começar a usar o STIR/SHAKEN para autenticar chamadas em sua rede agora mesmo, você pode acessar nossa ferramenta gratuita aqui no IDT.