Interceptação em Redes IP
Interceptação de e-mails e acessos na Internet
Uma outra linha de investigação bastante recente
está voltada para métodos de interceptação de voz e
dados em redes IP. O aumento crescente da popularidade
da internet e, consequentemente, os diversos tipos de
informação que podem trafegar nesse tipo de rede, exigem
uma rápida adequação e flexibilidade dos sistemas de
monitoração e equipamentos de coleta de dados para
procederem a interceptação de tais informações.
Neste tipo de rede o conteúdo da chamada interceptada
passa a ser multimídia, ou seja, além da voz, os dados
de interesse de interceptação são também mensagens de
correio eletrônico, web browsers, chats, áudio, vídeo e
outros serviços baseados na internet.
Diferentemente da rede de comutação de circuitos, que
estabelece um circuito virtual entre a fonte e o
destino, a interceptação em uma rede de pacotes se torna
mais complexa devido principalmente às características
de conexão desse tipo de rede.
A principal dificuldade da interceptação em redes IP
está no fato desse protocolo não ser orientado à
conexão, fazendo com que a informação, dividida em
vários pacotes, possa ser roteada por diversos caminhos.
Além disso, na internet, uma mesma conexão física pode
carregar tráfegos de fontes diversas, de forma que para
saber se um determinado pacote faz parte de uma
comunicação interceptada, todos eles devem ser
examinados.
Uma outra dificuldade está na identificação do dado
interceptado. Enquanto que a interceptação nas redes de
comutação de circuitos é baseada no número do assinante,
não existe uma identificação análoga na rede de pacotes.
O que mais se aproxima é o endereço IP. Entretanto, os
endereços IP são, normalmente, alocados dinamicamente ao
se fazer o login na rede, o que torna a identificação de
uma interceptação pelo endereço IP praticamente
impossível.
Na telefonia IP, uma importante característica é a
mobilidade do usuário. Cada usuário é identificado por
um ou mais endereços fictícios, os chamados “alias
address”, que são usualmente identificados em forma de
números telefônicos ou nomes textuais. O provedor de
serviços IP habilita o usuário a utilizar esse endereço
em vários locais associados a endereços IP distintos.
Dessa forma, o sistema de interceptação deve ser capaz
de identificar um usuário alvo pelo endereço fictício,
independente de sua localização e endereço IP.
Segundo Branch [BRANCH, 2003], embora ainda não
regulamentado, a maioria das soluções para interceptação
de tráfego em redes IP está baseada na utilização de
“snifers”. Estes equipamentos são inseridos em
determinados pontos de interesse na rede através de
cabos ópticos ou conectados diretamente aos hubs ou
switches e examinam todo o tráfego que passa por aquele
ponto. Eles podem ser programados para capturar somente
o tráfego de interesse, isto é, tráfego originado de ou
enviado para algum destino particular.
Porém, como esses sistemas foram originalmente
desenvolvidos para diagnosticar falhas na rede,
apresentam certas deficiências quando utilizado para
aplicação de interceptação além de serem complexos e
caros. Um dos maiores problemas recai sobre os
requisitos de segurança no que diz respeito à quebra do
sigilo das informações de terceiros, uma vez que o
tráfego de qualquer pessoa pode ser capturado. Caso uma
interceptação ilegal ocorra devido a operações
maliciosas, falha no sistema ou simplesmente por
incompetência, torna-se muito difícil fazer qualquer
tipo de auditoria.
Um outro mecanismo apontado por Branch refere-se ao
sistema de interceptação realizado na aplicação. O
conteúdo da informação é interceptado antes ou depois
que os pacotes IP trafegam pela rede. Usando o serviço
de e-mail como exemplo, ao invés do mandado judicial da
interceptação ser destinado ao provedor de serviços de
internet, a agência de monitoração requisitaria
diretamente as informações ao operador de e-mail, em
consulta direta ao seu banco de dados.
Esse mecanismo é particularmente atrativo em aplicações
como voz sobre IP, jogos em rede, e fluxos de vídeo onde
gateways de serviços são utilizados. No entanto, essa
abordagem pode ser facilmente contestada, caso o
provedor de serviços esteja localizado fora da área de
jurisdição da agência de monitoração.
Milanovic et al. [MILANOVIC et al., 2003], apresenta um
estudo sobre métodos de Interceptação em rede de
telefonia IP baseados no protocolo de sinalização H.323
[ITU-T, 2000]. É apresentada uma análise de quatro
possíveis métodos de interceptação em diferentes pontos
da rede e uma discussão sobre as vantagens e
desvantagens de cada um.
O primeiro método propõe a realização da interceptação
das chamada IP a partir do gateway, equipamento
responsável pela mediação entre a rede de telefonia IP
baseada no protocolos H.323/SIP e a rede PSTN, conforme
ilustrado na Figura 9. O gateway, que tem acesso a toda
sinalização e conteúdo das chamadas que trafegam entre
essas duas redes, é adaptado para examinar a sinalização
de cada chamada e determinar qual é designada para
interceptação.
Esse método não introduz nenhum atraso adicional e nem
aumenta a latência no transporte do fluxo de voz.
Entretanto, a sua principal desvantagem é que ele não
prove uma solução universal, já que as chamadas
realizadas localmente dentro da rede H.323/SIP e que,
portanto, não passam pelo gateway, não são
interceptadas.
A Figura 9 - Interceptação de
Redes IP - Gateway
O segundo
método propõe a realização da interceptação em cada
equipamento gatekeeper, equipamento responsável pelo
roteamento dos pacotes dentro da rede H.323/SIP. Durante
o procedimento de conexão, ao detectar que a chamada
deva ser interceptada, o gatekeeper desvia todo o fluxo
dessa chamada para um equipamento de monitoração a ele
co-alocado, de modo que esse equipamento passe a mediar
todas as mensagens de sinalização e pacotes de voz entre
os participantes da chamada interceptada.
A principal vantagem desse método é a não necessidade de
modificação de nenhum componente da rede H.323/SIP e a
relativa simplicidade de implementação do protocolo de
sinalização no equipamento de monitoração. A desvantagem
está numa possível degradação na qualidade de serviço,
uma vez que os pacotes de voz são roteados pelo
equipamento de monitoração, causando perdas, jitter e
aumento da latência. A Figura 10 ilustra esse método de
interceptação.
Figura 10:
Interceptação de Redes IP - Gatekeeper
O terceiro método é uma derivação do segundo. Ao invés
do gatekeeper rotear apenas o fluxo da chamada
interceptada para o equipamento de monitoração, todas as
chamas são roteadas. O equipamento de monitoração é,
então, responsável por identificar a chamada e proceder
a interceptação. Apesar desse método não exigir nenhuma
inteligência do gatekeeper, ele continua apresentando a
degradação na qualidade de serviço alem de impor uma
grande carga no equipamento de monitoração, já que todas
as chamadas são desviadas para ele.
O quarto método propõe a implementarão de um dispositivo
de interceptação que opere em um modo promíscuo,
monitorando todo o tráfego que passa pela rede. Esse
dispositivo é conectado ao switch da rede local ( Figura
11), o qual é programado para desviar o tráfego de todas
as portas para a porta de monitoração na qual o
dispositivo está conectado.
Esse método não causa degradação na qualidade de serviço
e não exige nenhuma modificação em qualquer componente
da rede. Todavia, depende do desempenho do switch e da
capacidade de processamento do dispositivo de
monitoração, que pode ser bastante comprometida em redes
de alta velocidade.
Figura 11:
Interceptação de Redes IP - Modo Promíscuo
Backer [BAKER
et al., 2004], em um recente resumo de artigo publicado
na internet, descreve como a Cisco está tratando a
questão da interceptação em redes IP. A abordagem é
bastante similar àquela utilizada pelo modelo ETSI para
interceptação em redes de acesso.
Embora a questão de como as informações interceptadas
devam ser coletadas ainda esteja em aberto, as
interfaces e os componentes funcionais são definidos.
Talvez este seja um importante passo para a padronização
de uma arquitetura de interceptação para a rede de
pacotes.
Embora a forma de se realizar tecnicamente a
interceptação de chamada nas redes de acesso PSTN e nas
redes IP apresente algumas particularidades específicas
a elas inerentes, existem muitos pontos em comum no que
diz respeito aos tipos de dados interceptados (voz e
dados), aos procedimentos legais necessários para a
realização da interceptação, às interfaces entre os
sistemas de gerência e coleta de dados, a localização e
a necessidade da correta identificação dos alvos da
interceptação.
Normatização
As normas de referência para interceptação em redes de
pacotes são bastante recentes e algumas estão ainda em
processo de revisão.
Os dois principais órgãos de normatização são o
americano CALEA (Communications Assistance for Law
Enforcement Act) e o europeu ETSI (European
Telecommunications Standards Institute) As tabelas a
seguir apresentam um série de normas e os respectivos
serviços a que se aplicam.
Normas CALEA para interceptação em redes de pacotes
|
Serviço
|
Documento
|
Título
|
| CDMA2000 Packet-Mode Data |
J-STD-025-B
|
Lawfully Authorized Electronic Surveillance |
| CDMA2000 PoC |
J-STD-025-B
|
Lawfully Authorized Electronic Surveillance |
| GSM/GPRS/UMTS Packet-Mode data T1.724 |
T1.724
|
UMTS Handover Interface for Lawful Interception |
| Wireline VoIP |
T1.678
|
Lawfully Authorized Electronic Surveillance(LAES) for Voice over Packet Technologies in Wireline Telecommunications Networks |
| Broadband Cable VoIP |
PKT-SP-ESP-I04
|
PacketCable™ Electronic Surveillance Specification |
| Internet Access |
T1.IPNA
|
Lawfully Authorized Electronic Surveillance (LAES) for IP Network Access |
Normas ETSI para interceptação em redes de pacotes
|
Serviço
|
Documento
|
Título
|
|
PSTN
|
TS 101 671
|
Handover interface for the lawful interception of telecommunications traffic |
|
IP
|
TS 102 232
|
Handover specification for IP delivery |
|
E-Mail
|
TS 102 233
|
Service specific details for E-Mail delivery |
|
Internet Access
|
TS 102 234
|
Service specific details for Internet Access Services |
|
GSM/GPRS/UMTS
|
TS 133 106
|
UMTS, Lawful interception Requirements |
|
GSM/GPRS/UMTS
|
TS 133 107
|
UMTS, Lawful interception Architecture and Functions |
|
GSM/GPRS/UMTS
|
TS 133 108
|
UMTS, Handover interface for Lawful Interception (LI) |