UNIVERSIDADE FEDERAL DE SANTA CATARINA
PROGRAMA DE PS-GRADUAO EM CINCIA DA COMPUTAO
LABORATRIO DE REDES E GERNCIA
Mirela Sechi Moretti Annoni Notare
CONCEPO, DESENVOLVIMENTO E ANLISE DE UM SISTEMA DE GERNCIA DE SEGURANA
PARA REDES DE TELECOMUNICAES
Tese submetida Universidade Federal de Santa Catarina
como parte dos requisitos para obteno do grau de
Doutor em Cincia da Computao.
Professor Orientador: Dr. Carlos Becker Westphall
Florianpolis, maro de 2000.
Concepo, Desenvolvimento e Anlise de um Sistema de Gerncia de Segurana para Redes de Telecomunicaes
Mirela Sechi Moretti Annoni Notare
Esta Tese foi julgada adequada para a obteno do Ttulo de Doutor em Cincia da Computao, rea de Concentrao Sistemas de Computao, e aprovada em sua forma final pelo Curso de Ps-Graduao em Cincia da Computao da Universidade Federal de Santa Catarina.
Prof. Dr. Carlos Bester Westphall Orientador
Prof. Dr. Fernando Alvaro Ostuni GauthierCoordenador do Programa de Ps-Graduao em Cincia da Computao da UFSC
Banca Examinadora:
111
A Deus,
que em cada momento
cuida de mim
com sua infinita sabedoria.
IV
Reconheo a importncia de algumas contribuies de pessoas s quais sou muito grata:
Azzedine Boukerche, da UNT (University North of Texas), EUA - pela disponibilidade na
reviso tcnica e na reviso da Lngua Inglesa; e pela co-autoria em captulo de livro;
Alexander Nikolaevich Firsov, da Mercedes Telecom, Moscou - pelas informaes sobre
clonagem na telefonia mvel;
Hubert Garavel, do INRIA (Institu National de Recherche en Informatique et en
Automatique), Frana - pela parceria bilateral internacional; pelas referncias em
Relatrios de Atividades e em Casos de Estudo do INRIA; e pela receptividade na visita ao
INRIA/Grenoble;
Lus Fernando Kormann, da UFSC/LRG - pela parceria nas atividades organizacionais e
de pesquisa em projetos e eventos cientficos; pelas tradues da Lngua Inglesa para a
Lngua Portuguesa; e pelas instalaes Unix;
Jos Renato de Faria, da Ponto Final Revises - pela dedicao e profissionalismo na
reviso da Lngua Portuguesa;
Kathia Juc, da UFSC/NPD - pelas instalaes e configuraes em ambiente Solaris;
Jos Leomar Todesco, da UFSC/EPS - pelas discusses matemticas;
Ricardo Costa Rodrigues, da UFMG/DCC - pela apresentao de trabalho internacional;
Arno Holz e Alexandro Castyro Jesus, da Telefnica Celular/RS - pela parceria e
disponibilidade de base de dados;
Hermida, Walter, Spndola, Fernanda, Karla, Castello, Milioli, Borges, Dsir, Laura,
Alexandre e Cruz, da UFSC/LRG - pela escolha do SSTCC como objeto das pesquisas;
Westphall e Alves - pela orientao e co-orientao;
Riso, Sobral, Barreto, Joberto, Otto e Gauthier - pela participao na seo de defesa desta
tese, como membros da banca examinadora e como moderador; e
Itamar Annoni Notare - pelo incentivo e coragem transmitida para a realizao dessa tese.
Agradecimentos
V
Sumrio
LISTA DE FIGURAS................................................. ...................................................................................................VII
LISTA DE TABELAS.....................................................................................................................................................IX
LISTA DE ABREVIATURAS...................................................................................................................................... X
R E SU M O ............ ........................................................................................................................................................... XIII
A B ST R A C T ...................................................................................................................................................................XIV
1 INTRO DUO ......................................................................................................................................................... 1
1.1 Fraudes de Clonagem e de Habilitao em Telefonia Mvel.....................................................1.2 Trabalhos Relacionados........................................................................................................................... .61.3 Escopo da Tese - Proposta e Principais Contribuies................................................................... 91.4 Organizao deste Trabalho ................................................................................................................ 13
2 ESPECIFICAO E VALIDAO FORMAL (ISO 8807).....................................................................14
2.1 A Tcnica de D escrio Formal LOTOS............................................................................................. 152.1.1 Processos LOTOS s to p , e x i t e Infinitos...................................... .............................................. 17
2.1.2 Operadores LOTOS................................................................................................................................ 172.1.3 Modelo Semntico.................................................................................................................................. 19
2.2 Especificao de Servio do SSTCC......................................................................................................202.3 E specificaes de Protocolo do SSTCC............................................................................................. 22
2.3.1 Especificao do Processo S s c c C l o n e ..........................................................................................232.3.2 Especificao do Processo S e t w e b B i l 1 ....................................................................................... 282.3.3 Especificao do Processo S i p i l m p o s t o r ................................................................................. 322.3.4 Especificao do Sistema SSTCC........................................................................................................38
2 .4 V a lid a o F orm al de S istem a s..............................................................................................................422.4.1 Teste ............................................................................................................................... .......................... 422.4.2 Simulao................................................................................................................................................ 422.4.3 Verificao............................................................................................................................................... 43
2.4.3.1 Equivalncia Forte (Strong Bisimulation)........ .................................................................................... 432.4.3.2 Equivalncia Fraca (Weak Bisimulation)................................................................................................45
2.5 Experimentos na Validao Formal do Sistema SSTCC.............................................................. 462.6 Resultados..................................................................................................................................................... 58
3 DETECO DE INTRUSO COM REDES NEURAIS ARTIFICIAIS.............................................. 5J
3.1 Modelo N eural.............................................................................................................................................603.2 U so de Classificador N o-Supervisionado - Kohonen.................................................................61
3.2.1 A Igoritmo Kohonen .......................................................................................... .....................................613.2.2 Experimentos............................................................................................................................................63
3.2.2.1 Definio das Caractersticas..................................................................................................................653.2.2.2 Treinamento da Rede..............................................................................................................................673.2.2.3 Teste da Rede..........................................................................................................................................68
3.3 U so de Classificador Supervisionado - R BF....................................................................................723.3.1 Algoritmo RBF ........................................................................................................................................ 72
3.3.2 Experimentos Iniciais........ ............ ...................................................................................................... 753.3.2.1 Definio das Caractersticas e dos Agrupamentos............................................................................... 753.3.2.2 Treinamento e Teste da Rede.................................................................................................................753.3.2.3 Clculo do Erro...................................................................................................................................... 76
3.3.3 Experimentos Avanados...................................................................................................................... 783.3.3.1 Definio das Caractersticas e dos Agrupamentos............................................................................... 783.3.3.2 Treinamento da Rede..............................................................................................................................803.3.3.3 Teste da Rede......................................................... '...............................................................................SI3.3.3.4 Clculo do Erro...................................................................................................................................... 82
3.4 Resultados.....................................................................................................................................................85
4 IM PLEM ENTAO DA GERNCIA DE SEGURANA DISTRIBUDA........................................ 87
4.1 Gerncia de Segurana e Redes de Telecomunicaes................................................................. 884.1.1 A taques e Mecanismos de Segurana............................................................................................. 894.1.2 Tecnologias e Ferramentas na Gerncia de Segurana..............................................................93
4.1.2.1 Arquitetura CORBA................................................................................................................................934.1.2.2 Linguagem Java..................................................................................................... :................................ 94
4.1.3 Rede Telefnica..................................................................................................................................964.2 Implementao dos Sistemas SSCC e SIPI......................................................................................... 102
4.2.1 Mdulos Adaptador e Agente.........................................................................................................1024.2.2 Mdulo Gerente..............................................................................................................................1084.2.3 Implementao da Gerncia em Ambiente Distribudo CORBA.................. ........................... 110
4.3 Implementao do Sistema SETWe b ...................................................................................................1114.3.1 Mdulos Adaptadores..................................................................................................................... 1114.3.2 Mdulo Montador de Conta Telefnica....................................................................................... 1144.3.3 Bases de Dados do SETWeb.................................................................................................... ..... 115
4.3.3.1 CDR................................................................... ............................................. :.....................................1154.3.3.2 Wtelecom.............................................................................................................................................. 1154.3.3.3 Central Local......................................................................................................................................... 1154.3.3.4 Central T2........................................................................................................ .....................................1164.3.3.5 Central T3............................................................................................................................................. 1164.3.3.6 Central Trnsito Embratel..................................................... ...............................................................117
4.3.4 Implementao da Gerncia em Ambiente Web..........................................................................1184.4 Resultados................................................................................................................................................... 122
5 CONCLUSO E FUTUROS TRABALHOS............................................................................................... 125
5.1 Sumrio das Contribuies................................................................................................................... 1255.2 Futuros Trabalhos.................................................................................................................................. 1275.3 Outras Contribuies..............................................................................................................................128
5.3.1 Publicaes e Apresentaes.....;.................................................................................................. 1285.3.2 Prmios e Citaes..........................................................................................................................136
ANEXO 1 - ISO 8807................................................................................................................................................... 139
1.1 Especificao.............................................................................................................................................. 1391.2 Validao....................................................................................................................................................140
ANEXO 2 - REDES NEURAIS ARTIFICIAIS....................................................................................................141
2.1 Kohonen...................................................................................................................................................... 1412.2 RBF - Funo de Base Radial.....................................................................................................................145
ANEXO 3 - CORBA/JAVA........................................................................................................................................166
3.1 Sistemas SSCC e SIPI................................................................................................................................. 1663.2 Sistema SETWeb......................................................................................................................................... 183
NDICE REM ISSIVO.................................................................................................................................................. 200
REFERNCIAS BIBLIOGRFICAS.................................................................................................................... 201
VI
Lista de Figuras
F ig u r a 1.1 - C l o n a g e m d e t e l e f o n e c e l u l a r ............... .........................................................................F ig u r a 1.2 - C o n t a t e l e f n ic a d e u m c e l u l a r q u e fo i c l o n a d o .................................................F ig u r a 1.3 - F u n c io n a l id a d e d o s is t e m a S S T C C ...................................................................................F ig u r a 2.1 - R e p r e s e n t a o g r f ic a d o S S T C C ....................................................................................F ig u r a 2 .2 - E s p e c if ic a o L O T O S d o S S T C C ........................................................................................F ig u r a 2.3 - R e p r e s e n t a o g r f ic a d o p r o c e sso S s t c c S e r v ic e ...............................................F ig u r a 2 .4 - O s is t e m a S S T C C e se u s t r s su b sist e m a s (SSC C , S E T W e b e S IP I) ...............F ig u r a 2 .5 - R e f in a m e n t o d a e s p e c if ic a o S S T C C ...........................................................................F ig u r a 2 .6 - D o is p r in c ip a is p r o c e s s o s d o Ss c c C l o n e .......................................................................F ig u r a 2 .7 P r o c e s s o L O T O S Ss c c C l o n e ................................................................................................F ig u r a 2 .8 - P r o c e s s o c l o n eCorbaAgent s e t ............................................................................................F ig u r a 2 .9 - P r o c e s s o clonecorbaManager..............................................................................................F ig u r a 2 .10 - D e t a l h a m e n t o d o pr o c e sso CloneCorbaAg e n tsS e t .............................................F i g u r a 2 . 1 1 - D e t a l h a m e n t o d o p r o c e s s o C lo n e C o rb a A g e n ts S e t j ..........................................................F i g u r a 2 .12 - P r o c e s s o C lo n e C o rb a A g e n ts S e t j ................................................................................................................F ig u r a 2 . 1 3 - R e p r e s e n t a o d o SSC C d e t a l h a d o c o m d o is a g e n t e s g e r e n c ia d o s ......F ig u r a 2 .1 4 - E s p e c if ic a o L O T O S d o SSC C c o m d o is a g e n t e s ................................................F ig u r a 2 . 1 5 - D o is p r in c ip a is p r o c e s s o s d o Se t w e b B il l ...................................................................F ig u r a 2 .1 6 - E s p e c if ic a o L O T O S d o Se t w e b B il l .................................. .......................................F ig u r a 2 .1 7 - D e t a l h a m e n t o d o p r o c e sso Bi l l CorbaAg en tsS e t ...............................................F ig u r a 2 .18 - D e t a l h a m e n t o d o p r o c e sso Bi l l CorbaAg en tsS e t j .............................................F ig u r a 2 .1 9 - E s p e c if ic a o L O T O S d o p r o c e sso Bi l l CorbaAg e n t sS e t j .............................F ig u r a 2 .2 0 - R e p r e s e n t a o d o S E T W e b d e t a l h a d o c o m d o is a g e n t e s g e r e n c ia d o sF ig u r a 2 .21 - E s p e c if ic a o L O T O S d o S E T W eb c o m d o is a g e n t e s d is t r ib u d o s ............F ig u r a 2 .2 2 - D o is p r o c e s s o s d o S i p i I mpostor....................................................................... ..............F ig u r a 2 .23 - E s p e c if ic a o L O T O S d o Sip iI m p o s t o r .......................................................................F ig u r a 2 .2 4 - D e t a l h a m e n t o d o p r o c e s s o im p o st o r CorbaAg e n t s s e t .....................................F ig u r a 2 .25 - D e t a l h a m e n t o d o p r o c e s s o im p o st o r sCo r b a a g e n t s s e t j................................F ig u r a 2 .2 6 - E s p e c if ic a o L O T O S d o p r o c e s s o I m postorcorbaAg e n t sS e t j ...................F ig u r a 2 .2 7 - R e p r e s e n t a o d o S IPI d e t a l h a d o c o m d o is a g e n t e s g e r e n c ia d o s .........F ig u r a 2 .28 - E s p e c if ic a o L O T O S r e fin a d a d o s u b s is t e m a S IP I............................................F ig u r a 2 .29 - A r q u it e t u r a G e r a l d o S S T C C ..........................................................................................F ig u r a 2 .30 - E s p e c if ic a o L O T O S r e fin a d a do S ist e m a S S T C C .............................................F ig u r a 2 .31 - Sis t e m a s n o e q u iv a l e n t e s q u a n t o e q u iv a l n c ia f o r t e ............................F ig u r a 2 .32 - S is t e m a s e q u iv a l e n t e s q u a n t o eq u iv a l n c ia d e o b s e r v a o .................F ig u r a 2 .33 - G e r a o d o L T S .......................................................................................................................F ig u r a 2 .34 - E s c o l h a n a g e r a o d o L T S .............................................................................................F ig u r a 2 .35 - L T S c o r r e s p o n d e n t e e sp e c ific a o L O T O S S s t c c P r o to c o l ....................F i g u r a 2 .36 - Im p a sse (d ead lo c k ) d e t e c t a d o d u r a n t e a g e r a o d o L T S .........................F ig u r a 2 .3 7 - G e r a o d o L T S em f o r m a t o a l d e b a r a n ..................................................................F ig u r a 2 .38 - Ss t c c P r o t o c o l .a u t - L T S n o fo r m a t o Al d e b a r a n ............................................F ig u r a 2 .39 - L T S e m 2 d im e n s e s ................................................................................................................F ig u r a 2 .4 0 - L T S c o m m u it a s t r a n s i e s ...............................................................................................F ig u r a 2 .41 - R e d u o d o L T S .......................................................................................................................F ig u r a 2 .42 - L T S r e d u z id o p o r e q u iv a l n c ia f o r t e ........................................................................F ig u r a 2 .43 - G e r a o d o g r a f o S st c c S e r v ic e ...................................................................................F ig u r a 2 .44 - R e l a o d o s a r q u iv o s g e r a d o s c o n t e n d o o s r e s p e c t iv o s t a m a n h o s ....F ig u r a 2 .45 - G r a fo S s t c c Se r v ic e n o fo r m a t o a l d e b a r a n .........................................................F ig u r a 2 .4 6 - S s t c c Se r v ic e L T S ....................................................................................................................F ig u r a 2 .4 7 - O p o d e C o m p a r a o .........................................................................................................F ig u r a 2 .4 8 - R e s u l t a d o d a e q u iv a l n c ia q u a n t o o b s e r v a o ...........................................F ig u r a 2 .4 9 - P r o v a f o r m a l d e c o r r e o do sist e m a s s t c c ......................................................
.. 3
.. 512202021
22222323232424252527282828293030313233333435353738394144454747484950505151525253535454555556
F i g u r a 3.1 - A m o s t r a d o s p r im e ir o s 10 v e t o r e s d e 8 .830 c o n s id e r a d o s .......................................................... 66F ig u r a 3 .2 - G e r a o d e a g r u p a m e n t o s p e l o t r e in a m e n t o d a r e d e ( it e r a e s ) ........................................67F ig u r a 3.3 - L ig a e s t e l e f n ic a s a g r u p a d a s ................................................................................................................. 68F ig u r a 3 .4 - T e st e d o c l a s s if ic a d o r ....................................................................................................................................... 68F ig u r a 3 .5 - P e so s u t il iz a d o s (5 c a r a c t e r s t ic a s X 4 p o n t o s l in e a r e s de s a d a ) ...................................... 69F ig u r a 3 .6 - C o m p a r a o d o s r e s u l t a d o s d o e x p e r im e n t o (s e n s ib il id a d e ) .................................................. 70F ig u r a 3.7 - E c o n o m ia d a o p e r a d o r a u t il iz a n d o o a l g o r it m o k o h o n e n ........................................................ 71F ig u r a 3 .8 - F u n o de B a se R a d ia l ......................................... ..............................................................................................72F i g u r a 3 .9 - A l g o r it m o K -m e a n s .............................................................................................................................................. 74F ig u r a 3 .10 - C l a s s if ic a o d o s u s u r io s ...........................................................................................................................75F ig u r a 3 .11 - T a x a d e e r r o d o a l g o r it m o ........................................................................................................................... 76F ig u r a 3. 12a - R e d u o d a s p e r d a s c o m o u s o d a r b f (E m R e a is , B r a sil 1997).......................................... 77F ig u r a 3 .1 2 B - R e d u o d a s p e r d a s c o m o u s o d a r b f (em d l a r e s , E U A 1998)........................................... 77F ig u r a 3 .13 - C l a s s if ic a o d o s u s u r io s em 10 g r u p o s h ie r r q u ic o s ............................................................ 79F ig u r a 3 .14 - M a t r iz A 24oo,4 u t il iz a d a p a r a a g e r a o d o s c e n t r o s do s a g r u p a m e n t o s ....................... 80F ig u r a 3 .15 - M a t r iz B 24oo,io u t il iz a d a p a r a t r e in a r a r e d e .....................................................................................81F ig u r a 3 . 1 6 - T e s t e d a r e d e .......................................................................................................................................................... 82F ig u r a 3 .1 7 - E x e c u o o n - l in e e c l c u l o d o e r r o ...................................................................................................... 83F ig u r a 3 .1 8 - F r e q n c ia d a s c a r a c t e r s t ic a s D u r a o , D e s t in o e D ia .........................................................84F ig u r a 4 .1 - M o n it o r d e R e f e r n c ia .................................................................................. .................................................... 88F ig u r a 4 .2 - At a q u e s n a s e g u r a n a ....................................................................................................................................... 90F ig u r a 4.3 - E x e m p l o d e u m u s u r io e f e t u a n d o d iv e r s o s t ip o s d e l ig a e s .................................................99F ig u r a 4 .4 - V e t o r d e s a d a d a r e d e n e u r a l id e n t if ic a n d o o p a d r o d o u su r io ...................................106F ig u r a 4 .5 - T e la s d o A g e n t e ................................................................................................................................................... 107F ig u r a 4 . 6 - Ja n e l a P r in c ip a l ....................................................................................................................................................108F ig u r a 4 .7 - O p o V ie w M e n u .................................. ..............................................................................................................109F ig u r a 4 .8 - Ja n e l a C o n f ig ........................................................................................................................................................ 109F ig u r a 4 .9 - A r q u iv o d e c h a m a d a s a b e r t o ..................................................................................................................... 110F ig u r a 4 .10 - P g in a in ic ia l d o S E T W e b ........................................................................................................................... 114F ig u r a 4 . 1 1 - P g in a c o m a C o n t a d is c r im in a d a ........................................................................................................ 114F ig u r a 4 .1 2 - B a ses d e D a d o s l o c a l iz a d a s n a m a t r iz d a e m p r e s a t e l e f n ic a ......................................115F ig u r a 4.13 - B a se d e D a d o s d a s C e n t r a is L o c a is ...................................................................................................... 115F ig u r a 4 .1 4 - B ase d e D a d o s d a s C e n t r a is T 2 ................................................................................................................116F ig u r a 4 . 1 5 - B a se s d e D a d o s d a s C e n t r a is T 3 ..............................................................................................................117F ig u r a 4 .1 6 - B a ses d e D a d o s d e u m a C e n t r a l T r n s it o E m b r a t e l ................................................................ 117F i g u r a 4 .1 7 - P e rm is s e s c o n c e d i d a s a a p p l e t s ............................................................................................................... 119F ig u r a 4 .1 8 - C a d a s t r o d e u s u r io n o S ist e m a d e E x t r a t o T e l e f n ic o vi a W e b ....................................120
viii
IX
T a b ela 2 . 1 - N veis de Se g u ra n a - D epa r ta m en to de D efesa dos E U A ......................................................57T a b ela 3 . 1 - L igaes telefnicas c lassificad as por h orrio s / d ia s ............................................................ 66T a b ela 3 . 2 - N mero de n eu rn ios n a c a m a d a es co ndid a e respectiva ta x a de er ro ..........................76T a b ela 4.1 - E stabelecim ento de u m a poltica de s e g u r a n a ...........................................................................91T a b ela 4.2 - E xem plo de T ipos d e ligaes possveis para a cidad e d e F loria npolis ..........................98T a b ela 4.3 - D egraus de T arifas In t e r n a c i o n a is ................................................................................................. 101T a b ela 4.4 - D egraus d e T arifas N ac ion ais ..............................................................................................................101T a b ela 4.5 - F erra m entas utilizadas p a r a p r o v er Se g u ra n a no SETWeb............................................118
Lista de Tabelas
Lista de Abreviaturas
AMPS Advanced Mobile Phone System
ANN Artificial Neural Networks
API Application Program Interface
ASCII American National Standard Code for Information Interchange
BD Banco de Dados
BCG Binary-Coded Graphs
BOA Basic Object Adapter
CA Certification Authority
CADP CaesarZAldebaran Development Package
CCA Carregador de Classes de Applets
CDMA Code Division Multiple Access
CDR Call Detailed Register
CDSA Common Data Security Architecture
CERN Centre European Research Nuclear
CGI Common Gateway Interface
COM Component Object Model
CORBA Common Object Request Broker Architecture
COSS Common Object Services Specification
CSP Criptographic Service Provider
D-AMPS Digital - Advanced Mobile Phone System
DAS Digital Signature Algorithm
DES Data Encryption Standard
DU Dynamic Invocation Interface
DLL Dynamic Link Library
DoD - USA Department of Defense of the United States o f America
DSA Digital Signature Algorithm
ESN Electronic Serial Number
FBI Federal Bureau of Investigation
FDT Formal Description Technique
FPF Fraud Protection Feature
GIOP General Inter-ORB Protocol
GSM Global Systems for Mobile Communications
GSS-API Generic Security Services API
GUI Graphic User Interface
HTML HyperText Markup Language
HTTP HyperText Transfer Protocol
IDAPI Integrated Database Application Program Interface
IDC International Data Corporation
IDL Interface Definition Language
IIOP Internet Inter-ORB Protocol
IOR Interoperable Object Reference
IMAP Internet Message Access Protocol
IMT2000 International Mobile Telecommunications 2000
IS-54/95/136 Interim Standard-54 / Interim Standard-95 / Interim
ISAPI Internet Server Application Program Interface
ISO International Organization for Standardization
ITU-TS International Telecommunications Union -
Telecommunication Standardization Sector
JDK Java Developer Kit
JRE Java Runtime Environment
JVM Java Virtual Machine
LOTOS Language of Temporal Ordering Specification
LTS Labelled Transition Systems
MCC MatLab Compiler Command
MIN Mobile Identification Number
MVJ Mquina Virtual Java
NSA National Security Agency
OA Object Adapter
ODBC Open DataBase Connectivity
ODP Open Distributed Processing
OMG Object Management Group
ORB Object Request Broker
OSC Object Security Controller
OSI Open Systems Interconnection
PCS Personal Communications Service
PGP Pretty Good Privacy
PIN Personal Identification Number
RBF Radial Basis Function
RMI Remote Method Invocation
RNA Redes Neurais Artificiais
SET Secure Electronic Transaction
SETWeb Sistema de Extrato Telefnico On-line via Web
SGBD Sistema Gerenciador de Banco de Dados
SHTTP Secure Hypertext Transfer Protocol
SIPI Sistema de Identificao de Provveis Inadimplentes
TLS Transport Layer Security
SOL Structured Query Language
SRM Security Reference Model
SSCC Sistema de Segurana contra Clonagem de Celulares
SSH Secure Shell
SSL Secure Socket Layer
SSTCC Sistema de Segurana para Telecomunicaes Contra Clonagem
Inadimplncia
TCP/IP Transmission Control Protocol/Internet Protocol
TCSEC Trusted Computer System Evaluation Criteria
TDF Tcnica de Descrio Formal
TDMA Time Division Multiple Access
TMN Telecommunication Management Networks
TPI Trust Policy Interface
TPM Trust Policy Module
UMTS Universal Mobile Telecommunication System
URL Uniform Resource Locator
VBC Verificador de ByteCode
VLSI Very Large Scale Integrated
WWW World Wide Web
Resumo da tese apresentada UFSC como parte dos requisitos necessrios para a obteno do grau de Doutor em Cincia da Computao
Concepo, Desenvolvimento e Anlise de um Sistema de Gerncia de Segurana para Redes de Telecomunicaes
Mirela Sechi Moretti Annoni Notare
Maro/2000
Orientador: Carlos Becker Westphallrea de Concentrao: Sistemas de ComputaoPalavras-chave: Sistemas Distribudos, Gerncia de Segurana, Telecomunicaes,
LOTOS, Redes Neurais, CORBA Nmero de Pginas: 207
RESUMO
Gerncia de Segurana contra fraudes e intruses ser um dos principais tpicos de
investigao nas prximas geraes de sistemas distribudos. Um sistema seguro (secure)
prov proteo contra ataques de usurios no confiveis, enquanto um sistema correto
(safe) prov proteo contra erros de usurios confiveis. Esta tese prope um sistema de
gerenciamento seguro e correto, em sistemas distribudos em geral, e em sistemas de
comunicao sem fio em particular. Inicialmente, apresenta-se a especificao e validao
formal, em LOTOS, do sistema distribudo de segurana para provar sua correo. Ento,
descreve-se como redes neurais podem ser empregadas na gerncia de segurana de redes
de telecomunicaes sem fio, principalmente contra fraudes de clonagem e habilitao. O
emprego de redes neurais possibilita o reconhecimento do padro de cada usurio de
telecomunicao mvel, e por conseguinte, detectar intruses. Os resultados indicam que
com o emprego de redes neurais na deteco de intruso em redes de telecomunicaes
possvel reduzir, significativamente, as perdas das companhias telefnicas e usurios. Em
acrscimo, apresenta-se como a arquitetura CORBA pode ser usada para suportar e elevar a
segurana do sistema. Na implementao realizada, o sistema garante controle de acesso,
autenticao, confidencialidade, integridade, disponibilidade e no-repdio. Finalmente,
como uma derivao dessa pesquisa, foi desenvolvido um sistema seguro de extrato
telefnico via Web, possibilitando que os prprios usurios detectem intruses e
minimizem seus prejuzos.
xiv
Abstract o f the thesis presented to UFSC as part o f the requirements to obtain the degree o f Doctor in Computer Science
Conception, Development and Analysis o f a Security Management System for Telecommunication Networks
Mirela Sechi Moretti Annoni Notare
March/2000
Advisor: Carlos Becker Westphall Area o f Concentration: Computer SystemsKeywords: Distributed Systems, Security Management, Telecommunications,
LOTOS, Neural Networks, CORBA Number of pages: 207
ABSTRACT
Safety and security management against frauds and intrusions will be one o f the major
issues in the next generation o f distributed systems. A secure system provides protection
against attacks o f untrusted users, while a safe system provides protection against errors o f
trusted users. This thesis proposes a secure and safe management in distributed systems in
general, and wireless communication systems in particular. Initially, a formal specification
and validation, in LOTOS, o f the distributed security system is presented in order to prove
it correctness. Then, it is described on how neural networks can be employed in the security
management o f wireless networks mainly cloning and subscription frauds. The use of
neural networks allows the pattern recognition of each user o f mobile telecommunication,
and thereby detecting intrusions. The experimental results indicate that a significant
reduction of the losses o f the telecom carriers and users can be obtained using neural
networks. This thesis also shows how CORBA architecture can be used to support and
enhance the security of the system. In the implementation, the system guarantees access
control, authentication, confidentiality, integrity, availability and non-repudiation. Finally,
as an outgrowth of this research a secure on-line phone bill system was developed,
allowing the end users to detect frauds and minimize their losses.
"Safety and Security are two reliable properties o f a system. A safe ' system provides protection against errors o f trusted users,
while a secure ' system protects against errors in troduced by untrusted users. (ALEXANDER et al, 1998)
1 Introduo
Esta pesquisa cientfica motivada pelas necessidades decorrentes do rpido crescimento das redes
sem fio (wireless)1 e da telefonia mvel (mobile)2. A telefonia mvel est provocando importantes
mudanas no cotidiano das pessoas; no entanto, tais mudanas somente sero consolidadas quando
os usurios puderem confiar na segurana das redes sem fio. A demanda crescente por servios
seguros e de alto desempenho disponveis via telefonia mvel com acesso global tais como
pesquisas na Internet, comrcio eletrnico e video-conferncia, vem constituindo a principal
tendncia da prxima gerao de redes sem fio.
Gerncia (AIDAROUS & PLEVYAK, 1998, CHEIKHROUHOU, 1999, SLOMAN & TWIDLE.
1994) de segurana (APOSTOLOPOULOS & DASKALOU, 1997, DOWD & MCHENRY, 1998,
PFLEEGER & COOPER 1997, ROZEMBLIT, 1999, STALLINGS, 1995) contra intruses
(DENNING, 1987, STILLERMAN & MARCEAU, 1999) e fraudes (NOTARE et al, 1999) em
telefonia mvel (CAMPBELL & GOMEZ, 1999, GIBSON, 1996, GUIZANI et al, 2000, LIM &
CHUN, 1999, RIEZENMAN, 2000) representa uma das principais questes associadas prxima
gerao de redes sem fio3 (CALHOUN, 1999, CHAUDHURY et al, 1999, CHUANG &
SOLLENBERGER 1999, DAS et al, 1999, KRAIMECHE, 1999, LU & BI, 1999, PRASAD,
1999). Atualmente, as empresas de telecomunicaes esto tendo um grande prejuzo4 em virtude
da carncia de solues eficientes na gerncia de segurana contra fraudes na telefonia mvel.
Considerando a previso para o ano de 2003 de um aumento de 70% sobre as atuais perdas'
causadas pelas fraudes na telefonia mvel, esta pesquisa demonstra que um sistema para a gerncia
segura e correta das redes de telecomunicaes pode ser a soluo eficiente para esse problema.
Este Captulo 1 est organizado como segue. Inicialmente apresenta-se o problema de segurana
nas redes de telecomunicaes (item 1.1). Em seguida, discute-se os trabalhos relacionados (item
1.2) e apresenta-se a proposta desta tese (item 1.3). Finalmente, mostra-se a estrutura geral do
presente documento (item 1.4).
1 O IEE E 802.11 (N EE, 1999) o padro para redes locais sem fio ( W ireless L ocal A rea N etw orks - WLANs). O objetivo desse padrao oferecer um m odelo de operao a fim de resolver as questes de incom patibilidade entre fabricantes de equipam entos WLAN.2 Em ju lho de 1999 foi atingido o nmero de 10.000.000 de aparelhos vendidos no Brasil, sendo que a mdia de venda nos ltimos 6 meses foi de um celular a cada 6 segundos no Brasil. E m 1990 eram apenas 40.000 aparelhos - 1 para cada 2.000 pessoas. Nos Estados Unidos so 23 aparelhos para cada grupo dc 100 habitantes (revista Veja, 14/07/99, p. 42-43). Em maro de 2000 j so 15.000:000 de aparelhos no Brasil - um para cada onze brasileiros (rev ista Veja* 01/03/2000, p. 118-119). Segundo o jom al D irio C atarinense (03/01/2000, p 3), a teiefonia celular vai crescer SO/o no Brasil no nno 2000. Sero 27 m ilhes de celulares, o que pelas previses oficiais s seria atingido em 2003.3 Telefones celulares analgicos constituem a primeira gerao; digitais, a segunda. A terceira m arcada pela converuncia com a Internei, incluindo alta velocidade de acesso sem fio, de 384Kbps a 54Mbps. A tualmente os celulares digitais transm item dados a velocidades em tom o de 14.4Kbps (FREITA S. L. E-tudo: the W eb connection. VarigJn/JightM agazine, n. 133, p.54-122, nov. 1999).4 Segundo o IDC (w w w 2.uol.com .br/info/infonew s/091999/) mais de meio m ilho de dlares dirios; segundo a indstria de celular Bell A tlantic (w w w .ba.com /nr/96/feb/2-29cellfraud.htm l), uma perda de um milho e meio de dlares dirios apenas nos EUA. No Brasil, os crim es de clonagem e subscrio j atingiram 2% do faturam ento anual das em presas (revista Veja, 08/10/97, p. 86).
http://www.ba.com/nr/96/feb/2-29cellfraud.html
1.1 Fraudes de Clonagem e de Habilitao em Telefonia Mvel
Para romper a segurana de um sistema sem fio, basta utilizar um equipamento de rdio
porttil, tambm conhecido como scanner. Com esse equipamento possvel registrar as
freqncias de telefones celulares que esto operando em reas prximas (em torno de 100
metros) e programar outros telefones (i.e., clones) para realizar chamadas nas freqncias
capturadas, d modo que as chamadas sejam debitadas nas contas telefnicas dos
proprietrios que tiveram as freqncias captadas. No entanto, medida que essas fraudes
tcnicas (leia-se clonagem) tornam-se mais difceis de serem realizadas devido s novas
tecnologias dos aparelhos digitais, os esforos voltam-se para fraudar o processo de
habilitao de telefones celulares, que independente de tecnologia, seja analgica, seja
digital6. Esse tipo de fraude favorecida pelas facilidades que as operadoras oferecem para
os usurios assinarem seus servios telefnicos - de modo que as habilitaes so
realizadas principalmente em nome de terceiros, que no iro pagar pelas chamadas,
alegando desconhec-las.
Na fraude de habilitao, tambm conhecida como fraude de inadimplncia ou ainda de
subscrio (subscription), o criminoso geralmente utiliza o nome de outra pessoa para
assinar o servio de telefonia celular. Esse servio utilizado at ser desativado por falta
de pagamento (geralmente 30 dias aps o incio da habilitao do servio). Dessa forma,
um fraudador pode utilizar um celular diferente a cada ms, cada um em nome de um
assinante diferente. Mas provavelmente todos esses aparelhos tero um padro de
chamadas em comum7.
A fraude de clonagem envolve a cobrana de chamadas de clones na conta de um
assinante legtimo atravs do uso indevido dos cdigos referentes ao Nmero Serial
Eletrnico (.Electronic Serial Number - ESN) e ao Nmero de Identificao do Celular
(Mobile Identification Number - MIN) capturados do aparelho original8. Para uma
chamada ser inicializada, o telefone transmite ambos os cdigos - ESN e MIN - quando a
tecla enviar (send) pressionada.
5 O que ir representar 57 m ilhes de dlares apenas nos Estados Unidos, segundo o IDC ().6 A fraude de habilitao, m uito difcil de ser detectada via hardware, tende a continuar crescendo (em 1996 as fraudes de habilitao representavam 30% das fraudes; em 2000 j representam 40% , contra 20% de clonagem, 5% de tum bling, 25% de pr-pagos e 10% de outras).7 D eteco v ia softw are (ao contrrio da deteco via hardware) pode ser baseada no princpio da existncia de um "padro de cham ada de cada usurio.
3
Como pode ser observado na Figura 1.1, a clonagem ocorre pela captura, nas ondas
eletromagnticas, dos cdigos MIN e ESN de um aparelho de um assinante legal, seguida
pela transferncia desses cdigos para outro telefone celular (i.e., o clone). O celular falso
considerado pela rede como o telefone do assinante em vez de um aparelho clonado.
Com isso, as chamadas feitas atravs do telefone clonado iro ser adicionadas na fatura
telefnica do assinante legal. O exemplo tpico o do impostor que atua com um scanner
em um shopping center capturando as informaes dos telefones celulares em utilizao. O
impostor pode ento transferir as informaes capturadas para vrios telefones, produzindo
assim diversos clones9.
Clonagem
A*/*
MiN. 202/555-1708 ESN: 52546216769
2. ... e ento, ilegalmente, altera outros celulares com os MINs e ESNs capturados.
^ 1 . Com um scanner o ^jclonador captura a 'iidentificao do celular
de um usurio legtimo em trnsito...
F ig ura 1 . 1 - Clonagem de telefone c e l u l a r .
3 C ada telefone celular nico, e portanto possui cdigos ESN e M IN distintos dos demais telefones celulares. O codigo ESN Jelin ido pelo fabricante e o M IN program ado pelo provedor do servio telefnico.9 Podem existir alguns indcios que um assinante de telefone celular pode identificar para detectar o uso fraudulento do seu celular em antecipao a uma em presa de telefonia: ligaes freqentes de nmeros teleonicos errados para o telefone do proprietrio original; quedas de conexo, dificuldade em efetuar cham adas; existncia de chamadas que constantem ente recebem sinal de ocupado e nmeros errados (seria im portante questionar aqueles que lhe telefonam freqentem ente para saber se existe algum a dificuldade em efetuar um a ligao para o seu nmero telefnico), e a existncia de cham adas indevidas que possam aparecer na sua conta telefnica. Certam ente esses itens fornecidos pela AT&T no garantem a segurana da rede, e em acrscimo, im portante enfatizar que a responsabilidade da segurana da rede no do usurio (que est pagando pelo servio), mas da em presa telefnica que deve fom ecer um servio seguro.
4
Existe um aperfeioamento dessa fraude de clonagem apresentada na Figura 1.1, chamada
de tumbling fraud ou ento de clone com tumbling function. Nesse caso, no necessrio
possuir um scanner, pois o prprio celular maliciosamente alterado, fica constantemente
capturando os pares ESN e MIN (10 + 10 dgitos decimais) e armazenando-os na memria
do aparelho (mesmo se o fraudador mudar de cidade ou pas). A captura acontece dentro de
um raio que varia de 50 a 500 metros (dependendo de local aberto, paredes de concreto,
etc) e durante 3 possibilidades: (1) algum pressiona a tecla enviar (send) tentando fazer
uma chamada; (2) se algum est recebendo uma chamada (no necessariamente
respondida); e (3) periodicamente (cada poucos minutos) o assinante transmite
automaticamente seu par ESN/MIN para o seu stio (cell site). Geralmente o clone (que
pode estar no modo scanning1 ou ucalling\ capturando pares ESM/MIN ou apto para
fazer/receber chamadas, respectivamente) capaz de manter armazenados os ltimos 50
pares capturados (e sem duplicaes) e cada chamada utiliza um desses pares. Ou seja, as
chamadas realizadas iro ser debitadas cada uma em uma conta telefnica diferente. A
grande vantagem de um celular com tumbling function a grande flexibilidade e
portabilidade que o fraudador ganha, pois fica independe da re-programao do aparelho,
quando aps um ms de uso (emisso da fatura mensal) o clone detectado (e desativado).
Em acrscimo, uma das posies da memria (mais precisamente, a posio 99) pode ser
facilmente programada (digitando-se M+, 99, M+) para alm de realizar chamadas (cada
vez com um nmero diferente) ainda receber chamadas utilizando um determinado
nmero10, inclusive o nmero do aparelho legtimo que o fraudador possuir.
Uma fatura tpica de um telefone que foi clonado apresentada na Figura 1.2.
10 A penas um dos telefones toca/recebe a chamada, e no existe a possibilidade de linhas cruzadas/escuta.
TSELS vtt%LU3Wt
TELESC ^ Ti* "jU
Porm, mais do que dificultar a clonagem atravs de novos equipamentos digitais12, vrios
outros mtodos de preveno devem ser instaurados, j que fraudes tais como o uso de
nome de terceiros na habilitao no podem ser facilmente impedidas ou minimizadas via
hardware. Nesse contexto, novas ferramentas para a deteco de fraudes, tais como redes
neurais (considerando a existncia de padres de chamada e padres de usurios) so
armas que devem ser usadas em uma guerra j deflagrada. Este trabalho, no escopo da
gerncia de segurana de redes sem fio, investiga o uso da tecnologia de redes neurais
como uma das ferramentas para combater este desafiante problema de fraudes na telefonia
mvel.
1.2 Trabalhos Relacionados
Existem estratgias distintas atravs das quais tratado o problema das fraudes nas
telecomunicaes mveis: (/) criptografia; (//) bloqueio; (iii) verificao de usurio; e (/v)
anlise de trfego. Neste item 1.2, so discutidos prs e contras de cada uma destas
estratgias de preveno e deteco de fraudes (CAIN et al, 1997, LAWLESS, 1999,
RUBIN & GEER, 1999, STEWART, 1999).
(i) Criptografia: Uma das formas mais utilizadas para prevenir fraudes, a criptografia13,
apresenta dois benefcios principais: dificultar a deteco dos pares de cdigo ESN/MIN e
prevenir o sistema contra a escuta clandestina. A criptografia consiste em transformar uma
mensagem legvel (plaintext) em uma mensagem codificada e no legvel (ciphertext) para
s ento transmiti-la. Alm de uma chave (.shared key), a criptografia utiliza um algoritmo
para codificar (encryption algorithm) e um algoritmo para decodificar (decryption
algorithm) a mensagem (STALLINGS, 1995). Embora possa ser simples incluir
criptografia nos telefones celulares digitais, m virtude de estes utilizarem uma
representao binria que pode ser facilmente codificada e decodificada, nos telefones
analgicos, por sua vez, a criptografia torna-se extremamente cara e difcil de implementar.
Por isso, como ainda existem telefones analgicos, a criptografia ainda no pode ser
considerada uma soluo eficaz. Em acrscimo, telefones digitais (GSM) j foram clonados
12 Com o, por exem plo, os da In te l Corporation com a tecnologia B oot Bloctc Flash, que codifica o ESN.13 J lio C s a r (101 a.C - 44 a.C), o im perador romano, usava a cifra de Csar" para enviar ordens secretas a seus generais. O cdigo consistia em trocar cada le tra de um a m ensagem pela terceira seguinte. Assim , o "a virava "d" e assim por diante. Para proteger-se de bisbilhoteiros, o p intor L e o n a rd o da V inci (1452-1519) se va lia de um artificio curioso. E le escrevia da direita para a esquerda, de m odo que seus textos s podiam ser lidos diante de um espelho. A rainha da E sccia M a ry S tu a r t (1542-1587) queria tirar a prim a Elizabeth do trono ingls. E la conspirava em cartas cifradas, com sm bolos no lugar das letras. M as o cdigo era sim ples demais. M ary foi descoberta e degolada. O desfecho da Segunda Guerra M undial poderia ler sido ouiro se no
V7
atravs da quebra da criptografia (em abril de 1998, Universidade da Califrnia)14. Outro
obstculo para a adoo de criptografia consiste na oposio do Escritrio Norte-
Americano de Investigao Federal (Federal Bureau of Investigation - FBI) e da Agncia
Norte-Americana de Segurana (National Security Agency -NSA). Estas agncias temem
que, se for permitido o uso de criptografia, criminosos podero codificar suas prprias
ligaes telefnicas. Tal medida impossibilitaria que o FBI e a NSA realizassem escutas em
chamadas telefnicas suspeitas. Como alternativa, o governo norte-americano est
apoiando a adoo de um dispositivo denominado Clipper Chip, que atravs de uma trava
de acesso permite a decodificao da comunicao sem conhecer a senha. Dessa forma o
governo norte-americano poderia escutar uma conversa criptografada quando necessrio.
Mas a perspectiva do governo de ter meios para realizar escutas desconfortvel para
vrios usurios, e como resultado esse assunto tem sido muito controverso. A AT&T j
anunciou a sua linha de produtos providos de segurana, a qual inclui telefones celulares
que utilizam criptografia (o celular Security 2000 utiliza o Clipper Chip). Embora essa
estratgia seja uma boa contribuio para sistemas mais seguros, ela no aplicvel em
aparelhos analgicos e nem em fraudes de habilitao.
(ii) Bloqueio: Com o objetivo de proteo contra prejuzos, algumas operadoras bloqueiam
usurios de risco a realizarem alguns tipos de chamadas. A venda de telefones celulares
tambm pode ser restrita, isto , somente os clientes que comprovarem renda podero
adquirir um aparelho. Entretanto, se a companhia dificultar a assinatura ou chamadas de
clientes potenciais, esta no estar somente perdendo clientes mas tambm a concorrncia
e possivelmente seu lugar no mercado. O bloqueio de chamadas internacionais uma
estratgia em que a companhia perde muitas possveis chamadas, e conseqentemente
lucros. A TIM TELESC um exemplo de companhia que utiliza a estratgia de bloqueio
das chamadas internacionais de todos os seus clientes15. O bloqueio (leia-se no-
disponibilidade de servio) no chega a ser uma soluo para a gerncia de segurana, mas
uma alternativa para sistemas sem segurana.
fosse a m ente brilhante de A lan T u rin g (1912-1954). Ele liderou a equipe inglesa de criptoanalistas que desvendou como funcionava a E nigm a . a mquina usada pelos nazistas para codificar mensagens (Super Interessante. O segredo da Criptografia. p 5 1 -53, maio 2000).14 VEJA. Segredo Fcil: H ackers provam que celulares digitais podem ser cionados. p. 8 1 ,2 2 a b r . 1998.13 Todos os assinantes desta com panhia necessitam solicitar o desbloqueio para utilizar o servio. E m acrscim o, no so avisados da no-disponiblidade deste servio pelo qua pagam.
(iii) Verificao de Usurio: Vrias empresas j desenvolveram mecanismos para a
verificao de usurio. A Nynex Mobile e a Cellular One foram as empresas que iniciaram a
investigao sobre o uso de Nmeros de Identificao Pessoal (Personal Identification
Numbers - PIN). A Brite Voice Systems Inc recentemente anunciou um produto para
reconhecimento de voz chamado Voice Select Sentry, o qual utiliza trs opes de identificao
de usurio. A primeira opo obriga o usurio a digitar ou falar uma senha. A segunda opo
trata-se de um mtodo de verificao de voz que obriga o usurio a falar uma senha, e o
sistema ento verifica se esta coincide com uma voz pr-gravada. A terceira opo constitui
um acesso pr-pago, em que um usurio paga previamente por uma chamada de longa
distncia. Um outro servio, chamado Servio de Proteo Contra Fraude (Fraud Proteciion
Feature - FPF), fornecido gratuitamente por algumas empresas de telecomunicaes, como
aAT&T16. Neste caso, um nmero de sete dgitos, discado antes de cada ligao, gravado e
programado de acordo com a velocidade de discagem de um usurio. Sem este nmero, o
fraudador no consegue clonar um telefone. De acordo com a Nynex1', o dispositivo de senha
a ferramenta mais eficiente disponvel no momento. De janeiro a setembro de 1995, o uso de
senhas reduziu a fraude em mais de 80% nos mercados analisados. Alm de este valor de 80%
no corresponder a um eficiente resultado, esta tese considera que o usurio no pode ser
imbudo de mais senhas. Pelo contrrio, o usurio merece um servio seguro em funo do que
est sendo pago.
(iv) Anlise de Trfego: Anlise de trfego comea a ser utilizada para detectar padres de
chamadas suspeitas, tais como o aumento repentino da durao das chamadas e o aumento de
chamadas internacionais, e tambm para determinar se fisicamente possvel um assinante
efetuar uma chamada no local corrente em relao ao local e horrio da ltima chamada. No
entanto, na maioria das companhias, tais como a Tele Centro Sul, apenas faturas de valores
elevados so investigadas, sem considerar, por exemplo, que um usurio j possui um padro
de chamadas internacionais para determinado nmero em determinado horrio, tendo apenas
aumentado a durao das mesmas. Este procedimento muito pouco eficiente na deteco de
fraudes. Em acrscimo, em muitos casos, as chamadas s so analisadas aps a emisso da
fatura mensal, quando as perdas j sero muito grandes. Outro aspecto muito negativo nesse
contexto o grande nmero de funcionrios necessrios para analisar as contas telefnicas de
valores elevados e/ou contatar os usurios. Algumas das companhias que esto desenvolvendo
software para detectar padres de trfego suspeitos so a GTE e a Coral Systems. O software
16 .17 .
http://www.attws.com/general/about_us/factsheets/wireless_fraud.htmlhttp://www.craftsreport.com/apnl96/cellularfraud.html
desenvolvido pela GTE conhecido como CloneGuard, e o software da Coral System
conhecido como FraudBuster. A AT&T e a Bell Atlantic tambm esto desenvolvendo
mtodos de anlise para detectar discrepncias nos padres de chamadas de seus clientes.
Porm, uma caracterstica negativa no procedimento atual que, se uma companhia telefnica
conseguir detectar uma discrepncia importante no padro de chamada de um usurio, ela
possui a autonomia de bloquear o nmero telefnico deste usurio sem avis-lo. Como
desvantagem, h a possibilidade de se tratar de um usurio honesto necessitando fazer estas
chamadas, ou mesmo que no tenha realizado as chamadas (mas sim o fraudador), o usurio
no pode ser impedido de utilizar seu equipamento por este ter sido clonado. Como relatado
por um representante da Bell Atlantic, em 90% dos casos a operadora local ir notificar o
cliente antes do bloqueio do seu nmero75 Entretanto, se a discrepncia for detectada por uma
operadora de longa distncia, esta ir notificar a operadora local que, por sua vez, ir informar
o cliente. Neste nterim, a operadora de longa distncia j poder ter bloqueado o nmero
telefnico com o objetivo de prevenir um uso ilegal. Nesse caso, o cliente poder tentar fazer
uma chamada e no ter sucesso. Em funo do desenvolvimento desta tese acredita-se que o
nmero de 90% no representa o melhor resultado e que o atraso em informar os clientes pode
provocar profundas perdas para os clientes e para as companhias. Dessa maneira, tal
porcentagem necessita ser aumentada, principalmente a partir da utilizao de um mtodo
automtico e imediato de avisar os clientes (sem a necessidade do grande nmero de
funcionrios), para somente aps bloquear o servio.
1.3 Escopo da Tese - Proposta e Principais Contribuies
Com a crescente popularidade das redes sem fio e com as rpidas mudanas na indstria de
telecomunicaes mveis, a preocupao com a segurana dos usurios de telefonia celular
deveria ser muito maior do que se observa atualmente. Este trabalho prope o
desenvolvimento de um sistema de gerncia de segurana para sistemas distribudos em
geral (SIMON, 1996) e para sistemas de comunicao sem fio em particular (LU & BI,
1999, RIEZENMAN, 2000). O gerenciamento de segurana proposto compreende um
sistema de deteco de intruso na telefonia mvel atravs da anlise de trfego, onde os
usurios so classificados em grupos de acordo com seus padres de utilizao do
aparelho19 (NOTARE, 1999).
ISA T& T and GTE Test W ay to Cut Phone Fraud, .
19A privacidade das inform aes sobre os usurios continua mantida. O que difere no sistem a proposto o conhecim ento prvio destas inform aes, ou
seja, no apenas no trm ino do ciclo mensal quando da im presso da conta telefnica.
http://www.ba.com/nr/96/feb/2-29cellfraud.html
10
A classificao dos usurios em grupos realizada atravs do emprego de redes neurais
ajuda o sistema a identificar quando chamadas no correspondem aos padres do usurio
deste telefone, constituindo um possvel clone; bem como identificar o padro de um
usurio como muito similar a um padro de um antigo inadimplente, constituindo um
usurio que habilita um celular com a prvia inteno de no pagar pelos servios20.
Assim, quando uma ligao telefnica (realizada por um telefone legal ou clonado)
concluda, o sistema verifica se as caractersticas da chamada esto dentro dos padres do
determinado usurio (caractersticas estas armazenadas previamente em um arquivo de
padres), e tambm se a chamada fisicamente possvel21. Uma mensagem automtica
(economizando gastos da companhia com pessoal) enviada ao cliente assim que uma
possvel fraude de clonagem for detectada. No caso da fraude de habilitao, o sistema
identifica um padro similar a um antigo inadimplente e ento investiga para certificar-se
da identidade de quem est utilizando o aparelho, ou seja, se quem realmente diz ser22.
Essa imediata notificao e investigao, ao contrrio da espera at a emisso da fatura no
final do ms, ajuda na reduo dos prejuzos da companhia, bem como na eliminao dos
danos que podem ser repassados para os clientes como, associ-los a criminosos.
Alm do gerenciamento contra as fraudes de clonagem e de habilitao a partir das
companhias, esta tese tambm oferece uma aplicao disponvel via Web, onde os usurios
de telecomunicaes podem observar suas contas telefnicas constantemente atualizadas, o
que permite que o prprio usurio detecte e minimize fraudes associadas clonagem. A
aplicao engloba os servios de controle de acesso, autenticao, confidencialidade,
integridade, disponibilidade e no-repdio de comunicao. Esses servios de segurana
so implementados em Java com suporte CORBA, e incluem mecanismos tais como
assinatura e certificado digital, que so muito importantes mas ainda negligenciados por
empresas como bancos e companhias de carto de crdito23.
Outra caracterstica muito importante do sistema de gerncia proposto a validao formal
a partir das especificaes de servio e de protocolo, em conformidade com o padro ISO
8807.
20 N este caso, o fraudador satisfaz-se em usar o aparelho apenas por uma mdia de 30 dias. quando o mesm o desabilitado por ta lta de pagamento. G eralm ente o aparelho com prado em nom e de terceiros.21
Por exem plo, duas ligaes de um mesm o usuno realizadas em um intervalo de 5 minutos e que partiram de localidades distantes 500 Km revelam a existncia de um clone, pois um a destas ligaes fisicam ente im possvel de ter sido realizada pelo mesm o aparelho.22 O sistem a inicialm ente detecta a alterao de padro, que pode ser um indcio de clonagem ; aps esse procedim ento o padro detectado com parado como padro de inadim plentes conhecidos, a fim de detectar um possvel inadimplente.23 Im portantes bancos e com panhias de cartes de crdito disponibilizam servios via W eb sobre protocolos para segurana, tais como SSL (Secure Socket Layer) e SET (Secure E lectronic Transaction), porm no exigem a certificao digital - a gararva para o usurio de que est acessando o site correto.
n
Neste escopo, a gerncia de segurana para sistemas distribudos proposta neste trabalho
engloba principalmente trs tecnologias: (1) redes neurais, para o reconhecimento de
padres de uso da telefonia mvel; (2) CORBA, para a distribuio segura de agentes e
gerente; e (3) LOTOS, para a especificao e validao formal, com o objetivo de provar a
correo do sistema. Mais especificamente, esta tese visa:
(i) propor uma gerncia de segurana, segura e correta, para sistemas distribudos, aplic-
la em um sistema de segurana para telecomunicaes mveis e sugerir onde esta
gerncia possa tambm ser aplicada;
(ii) oferecer um tutorial para a especificao e verificao formal, de acordo com o padro
ISO 8807, a fim de validar sistemas de segurana distribudos e garantir
matematicamente sua correo, com a objetivo de atingir o nvel mximo de segurana
caracterizado pelo Departamento de Defesa dos Estados Unidos;
(iii) descrever a implementao de como o ODP/OMG CORBA e seu mdulo de
segurana pode ser usado para suportar, manter e proteger sistemas distribudos, neste
caso um sistema de segurana para telefonia mvel, onde a comunicao entre agentes
e gerente realizada de maneira segura. Para garantir a segurana e a privacidade do
usurio, mostra-se como o mdulo de segurana oferecido por Java/Web pode
contribuir para o sistema distribudo, em que a comunicao entre usurios e servidor
incorpora os principais mecanismos de segurana;
(iv) propor e conceber um servio de alarme imediato e automtico, para contatar, informar
e confirmar a existncia de uma clone diretamente com o usurio (vtima da fraude).
Este servio similar aos atuais servios de despertador automtico, em que as
mensagens (interativas) so recebidas.e enviadas sem a necessidade da presena de um
funcionrio, e dessa forma viabilizar o sistema tambm de forma mais econmica;
(v) investigar e desenvolver os sistemas SSCC (Sistema de Segurana Contra Clonagem de
Celulares) e SIPI (Sistema de Identificao de Provveis Inadimplentes) contra fraudes
na comunicao mvel (i.e., clonagem e habilitao), que atravs do emprego de redes
neurais monitora e identifica fraudadores. A escolha correta das caractersticas e do
algoritmo de classificao decisiva na eficincia da deteco das fraudes,
contribuindo para a reduo dos prejuzos das companhias telefnicas e dos usurios;
12
(vi) conceber e desenvolver o sistema SETWeb (Sistema de Extrato Telefnico on-line via
Web), que permite aos usurios (previamente cadastrados) observarem suas contas
telefnicas, constantemente atualizadas, via Web. O SETWeb garante a segurana do
cliente, quando este acessa sua conta telefnica, atravs de mecanismos implementados
em Java com suporte CORBA. A principal caracterstica do SETWeb possibilitar que
os prprios usurios detectem, rapidamente, a existncia de ligaes telefnicas ilcitas
na sua conta telefnica (i.e., detectem ligaes realizadas por clones de seu aparelho
celular)24; e
(vii) conceber um produto para gerncia de segurana de redes de telecomunicaes.
Veja na Figura 1.3 uma viso geral do sistema de gerncia de segurana SSTCC25 -
Sistema de Segurana para Telecomunicaes Contra Clonagem e Inadimplncia (que
engloba os sistemas SSCC - Sistema de Segurana Contra Clonagem de Celulares, SIPI -
Sistema de Identificao de Provveis Inadimplentes e SETWeb - Sistema de Extrato
Telefnico on-line via Web).
: >
l i -Banco de Dados de Pesquisa CDR Filtrado
F igura 1.3 - F uncionalidade do sistem a SSTCC.
24 O extrato telefnico pode ser disponibilizado tam bm via telefone (com m ensagens gravadas interativas), fax ou e-mail.15 SST C C - Este program a {software), bem como sua m arca, encontra-se protegido contra utilizao no autorizada, total ou parcial, conform e a Lei 9.609 de 19/02/1998, regulam entada pelo Decreto 2.556 de 20/04/1998. c/c Lei 9.610 de 19/02/1998. estando devidamente registrado no 1NPI sob o n 99001177, ficando os infratores sujeitos s sanes cveis e penais previstas nos respectivos diplom as legais.
Em resumo, (i) o mdulo Adaptador l as ligaes on-line do arquivo CDR e armazena as
informaes necessrias no arquivo CDR Filtrado; (ii) o mdulo Agente monitora e detecta
possveis fraudes (utilizando redes neurais) comparando as informaes do CDR Filtrado
com as do Banco de Dados de Pesquisa (histrico de cada usurio); e (iii) o mdulo
Gerente recebe notificaes do mdulo Agente e envia alarmes automticos e imediatos
aos usurios (por telefone e correio) no caso da fraude de clonagem e investiga provveis
futuros inadimplentes no caso da fraude de habilitao. Em acrscimo, a possibilidade de
observar o extrato telefnico via Web permite que o prprio usurio identifique clones de
seu aparelho. A demonstrao da gerncia proposta detalhando o desenvolvimento de cada
componente do sistema distribudo de segurana o objeto desta tese.
1.4 Organizao deste Trabalho
Este documento est organizado como segue. O Captulo 2 descreve o uso do padro ISO
8807, com a finalidade de especificar e validar formalmente o sistema. O Captulo 3
demonstra como as redes neurais podem ser utilizadas para a deteco de intruso em redes
de telecomunicaes mveis. O Captulo 4 apresenta a implementao do sistema
distribudo de segurana e mostra como CORBA e Java podem suportar, manter e
enriquecer a segurana do sistema. O Captulo 5 sumariza as contribuies e sugere futuros
trabalhos.
Prevent and Cure. Separate from their classification as management and technology, reliability techniques fall into two categories: (1) a priori techniques, which strive to build software right; and
(2) a posteriori techniques, which attempt to right the wrongs. Formal specifications is an example o f a priori; testing, of a posteriori.
It's impossible to ignore formal methods. True, they have a bad reputation in some circles as being too heavy and difficult.
That reputation, however, is not entirely justified. Formal methods have achieved a number o f success.They are the only game in town when it comes to guaranteeing a regulatorv authority
that you have produced a correct engineering design. " (MEYER. 1999)
To our knowledge, the formality o f trusted systems designed to substitute formal proof o f security in place o f experimental satisfaction -
has to date found little place on the Web. We know o f no Web use offormal evaluation criteria such as those in the
US Defense Departments Orange Book, " (RUBIN & GEER, 1998)
"The requirement for mathematical proof is formidable for something as complex as a general-purpose computer.
A system that can provide such verification is referred to as a trusted system.The U.S. Department o f Defense in 1981 established the Computer Security Center within
the National Security Agency (NSA) with the goal of encouraging the widespread availability o f trusted computer systems. (STA LUNGS, 1995)
2 Especificao e Validao Formal (ISO 8807)
Este Captulo 2 apresenta um tutorial para a especificao (veja Anexo 1.1) e validao (veja
Anexo 1.2) formal de sistemas distribudos. A Tcnica de Descrio Formal (TDF) utilizada
o padro ISO 8807 - LOTOS: Language of Temporal Ordering Specification (BRINKSMA,
1988). O principal objetivo do emprego desta tcnica de alto rigor matemtico prover a
prova formal de correo do sistema.
O Sistema de Segurana para Telecomunicaes Contra Clonagem e Inadimplncia (SSTCC),
j apresentado informalmente no item 1.3, agora especificado formalmente, com a utilizao
de uma abordagem de refinamentos sucessivos (VISSERS et al, 1988), a qual permite que o
sistema seja validado ao longo do seu desenvolvimento - e no somente aps a obteno da
especificao final. A validao do sistema emprega a ferramenta Eucalyptus ToolSet 2.3
(GARAVEL, 1997) em ambiente Sun Solaris 2.6.
Este Captulo 2 est organizado como segue. Inicialmente so descritos os tpicos principais
da TDF LOTOS (item 2.1), seguidos do desenvolvimento das especificaes de servio (item
2.2) e de protocolo (item 2.3) do sistema SSTCC. Posteriormente, citam-se as formas de
validao formal (item 2.4) e apresentam-se os experimentos na validao do sistema (item
2.5). E finalmente, no item 2.6, so discutidos os resultados, ou seja, a obteno da prova
formal (matemtica) de correo do sistema visando atingir o nvel mximo de segurana
(ClassAl) de acordo com o Orange Book do Departamento de Defesa dos Estados Unidos.
15
2.1 A Tcnica de Descrio Formal LOTOS
Para especificar rigorosamente sistemas distribudos conveniente utilizar tcnicas de
descrio formal a fim de prover maior confiabilidade a tais sistemas, geralmente
complexos. As linguagens de especificao formal so baseadas em teorias matemticas e
esto associadas a mtodos de especificao precisos e no ambguos. Tcnicas de
Descrio Formal (TDFs) servem para definir os aspectos de comportamento e tambm os
aspectos de dados de sistemas (PIRES, 1994, QUEIROZ & CUNHA, 1994).
Pode-se destacar como caractersticas de uma boa tcnica de descrio formal: descrio
mnima e precisa (deve fornecer meios para uma descrio precisa de todas as
propriedades com um mnimo de informao extra); facilidade de entendimento (deve
prover descries facilmente compreensveis); poder de expresso (deve ter capacidade
para exprimir uma quantidade muito grande de propriedades importantes para a descrio
de sistemas); fundamentao matemtica (deve ter os seus elementos de definio e de
especificao baseados em um modelo matemtico formal); e flexibilidade (deve fornecer
meios para uma descrio suficientemente flexvel para adaptar-se s pequenas alteraes
nas propriedades a serem especificadas).
LOTOS (BRINKSMA, 1988) e ESTELLE (Extended Finite-State Machine Language) so
TDFs normalizadas pela ISO (International Organization for Standardization), enquanto
SDL (Specification and Description Language) uma TDF normalizada pelo antigo
CCITT (Consultative Committee for International Telegraph and Telephone) - hoje, ITU-
TS (International Telecommunications Union - Telecommunication Standardization
Sector).
Este trabalho optou por LOTOS, pois, principalmente:
(1) enquanto SDL e ESTELLE so baseadas em linguagens de programao (Chili e
Pascal, respectivamente), LOTOS independente de linguagem de programao;
(2) existem timas ferramentas para a validao de especificaes LOTOS, tais como o
CADP (Caesar/Aldebaran Development Package) - inclusive agora em ambiente
grfico (Eucalyptus Toolset) para Sun Solaris - desenvolvido pela equipe VASY
(Validao de Sistemas) do INRIA/Grenoble, com a qual se mantm relaes
internacionais bilaterais;
(3) LOTOS um padro internacional (ISO 8807); e
16
(4) o nvel de abstrao uma das mais importantes caractersticas para o desenvolvimento
de sistemas. LOTOS apresenta, alm do elevado nvel de abstrao, outras
caractersticas inerentes s TDF como o poder de expresso e a estruturao de
especificaes (QUEIROZ & CUNHA, 1994).
LOTOS uma TDF que rene duas lgebras: a primeira lgebra utilizada para a
descrio de aspectos de comportamento e corresponde a uma extenso de Clculo de
Sistemas Comunicantes (Calculus o f Communicatmg Systems - CCS) (MELNER, 1980); a
segunda lgebra utilizada para a descrio dos aspectos de dados e corresponde
linguagem ACT ONE (EHRIG & MAHR, 1985). Em LOTOS Bsico (isto , a parte de
LOTOS que representa apenas os aspectos de comportamento dos sistemas) uma
especificao constituda por uma hierarquia de definies de processos.
Pode-se ver um processo como uma caixa preta dotada de portas para a comunicao com
o ambiente e com outros processos, via eventos de comunicao. Eventos de comunicao
so aes que ocorrem nas portas de comunicao. Aes que no so observveis
externamente so chamadas de aes internas e representadas pelo smbolo i.
A definio de especificaes e de processos LOTOS tem o formato descrito abaixo.
specification < i d > [ l i s t a _ d e _ p a r a m e t r o s > ] : < f u n c i o n a l i d a d e > behaviour < e x p r e s s a o _ d e _ c o m p o r t a m e n t o _ d a _ e s p e c i f i c a c a o > where process < i d > [ < l i s t a _ d e _ p a r a m e t r o s > ] : < f u n c i o n a l i d a d e > : =
< e x p r e s s a o _ d e _ c o m p o r t a m e n t o >
endproc
endspec
onde:
(1) id identifica o nome da especificao ou o nome de um processo;(2) iista_de_j>arametros refere-se s portas de comunicao;(3) a funcionalidade de um processo pode ser e x i t se ele termina com sucesso,
habilitando um processo subseqente, ou ento, a funcionalidade pode ser n o ex it no
caso de processos recursivos (infinitos), por exemplo; e
(4) expressao_de_coirportamento refere-se ao comportamento da especificao ou do processo.
17
2.1.1 Processos LOTOS s t o p , e x i t e Infinitos
Os processos s t o p e e x i t pertencem linguagem LOTOS. Nenhum deles possui
qualquer evento, seja observvel ( A c t - u i ) , seja invisvel ( i ) . 0 processo s t o p representa
a ausncia completa de atividade. O processo e x i t , por sua vez, indica uma terminao
com sucesso, habilitando a realizao de algum comportamento subseqente. Exemplo:
p r o c e s s l e _ e s c r e v e [ i n , o u t ] : n o e x i t :=
l e i t u r a ( i n ] >> e s c r i t a [ o u t ] w h e r e
p r o c e s s l e i t u r a [ i n ] : e x i t := i n ; e x i t e n d p r o c
p r o c e s s e s c r i t a [ o u t ] : n o e x i t := o u t ; s t o p e n d p r o c
Nesse caso, aps a execuo do processo e x i t , o controle transferido para o estado
inicial do processo e s c r i t a [ o u t ] .
Outro meio de expresso de LOTOS a chamada recursiva de processos. Tais chamadas
permitem representar comportamentos infinitos. Exemplo:
p r o c e s s C i c l i c o _ 2 [ a l , a 2 ] : n o e x i t :=
a l ; a 2 ; C i c l i c o _ 2 [ a l , a 2 ]
e n d p r o c
Nesse exemplo, o processo c ic iico _ 2 repete a seqncia de eventos ai ; a2 infinitamente.
2.1.2 Operadores LOTOS
Uma expresso de comportamento em LOTOS relata o que pode ser observado em termos
de eventos. Nela podem ser usados operadores como:
h i d e . . . i n
[ >
I I
[]
(seqenciamento de eventos);
(escolhas indeterminsticas entre comportamentos);
(composio de processos independentes);
(composio de processos dependentes);
(composio geral);
(ocultao de eventos);
(habilitao de processos); e
(interrupo de processos).
O operador ; indica seqenciamento de eventos, permitindo expressar que aps a
ocorrncia de um primeiro evento ocorre um segundo evento. Por exemplo: a i ; a 2 . Nesse
caso, o evento a 2 somente ocorre aps a ocorrncia de a i . O operador ; tambm pode ser
usado para expressar seqenciamento de comportamentos. Por exemplo: B i ; B2.
O operador [] indica uma escolha indeterminstica entre dois comportamentos. Por
exemplo: B i [ ] B 2 . Nesse caso, aps a escolha indeterminstica, pode-se observar o
comportamento descrito por BI ou ento o comportamento descrito por B2 .
Os operadores | | | , 11 e I [ . . . ] l possibilitam a representao de processos
concorrentes.
Com o operador 111 representam-se os processos executados concorrentemente que
evoluem sem sincronizao entre si. No caso de processos que compartilham nomes de
eventos, esses processos sincronizam-se com seus ambientes comuns, mas um processo
no se sincroniza com outro. Por exemplo: c a i c u i a _ r a i z e s _ p a r e s [ a , b ] | | |
c a i c u i a _ r a i z e s _ i m p a r e s [ b , c ] . Nesse caso, ambos os processos so executados em
paralelo, mas sem sincronizarem suas portas entre si.
Com o operador 11 representam-se os processos executados concorrentemente que
evoluem sincronizadamente. Por exemplo: r e c e b e _ n o t i f i c a e s [ . . . ] | |
f i l t r a _ n o t i f i c a e s [ . . . ] . Nesse caso, os processos so executados em paralelo
compartilhando todos os eventos observveis.
Com o operador l [ . . . ] | representam-se os processos executados concorrentemente que
evoluem sem sincronizao, salvo onde h portas compartilhadas pelos processos. Tais
portas so explicitadas pelo operador I [ . . . ] I. Por exemplo:
c o l e t a ( o p e r , n o t i f , d a d o s ] | [ d a d o s ] | f i l t r a [ d a d o s , a l a r m ] . Nesse CaSO, OS
processos c o l e t a e f i l t r a so executados em paralelo compartilhando eventos na porta
d a d o s .
Com o operador h i d e . . . i n representa-se a ocultao de eventos, tornando-os
invisveis. Essa ocultao importante para fins de anlise e verificao de equivalncias.
19
O operador representa seqenciamento de processos. Em bi B2 o processo B2 s
executado aps o trmino com xito do processo Bi. Exemplo: r e c e b e [ . . . ] >>
r e s p o n d e [ . . . ] . Nesse caso, o processo r e s p o n d e s ser executado aps o trmino
com xito do processo r e c e b e .
O operador [> representa interrupo de processo. Em bi [> B2 o processo B2 pode
interromper a qualquer instante o processo bi. Exemplo: t r a n s m i t e _ d a d o s [ . . . ] [>
i n t e r r o m p e _ t r a n s m i s s o [ . . .] . Nesse exemplo, O processo i n t e r r o m p e _ t r a n s m i s s o
pode interromper o processo t r a n s m i t e _ d a d o s a qualquer momento (antes ou durante a
execuo do processo t r a n s m i t e _ d a d o s ) .
2.1.3 Modelo Semntico
O modelo da TDF LOTOS baseia-se em sistemas de transies rotuladas (LTSs - Labelled
Transition Systems). Sistemas de transies rotuladas so constitudos de transies
etiquetadas entre estados que evoluem no decorrer do tempo. As transies representam
eventos observveis ou eventos internos (BRINKSMA, 1988, MILNER, 1980).
Um sistema de transies rotuladas s y s uma qudrupla , onde:
(1) s um conjunto no vazio, e seus elementos referem-se aos estados;
(2) A c t um conjunto cujos elementos referem-se s aes;
(3) t um conjunto de relaes de transies que contm precisamente uma relao a - >
s x s para cada a e A c t ; e
(4) s0 o estado inicial de S y s .
Uma transio de um sistema de transies rotuladas uma tripla < c o r r e n t e , a , n e x t > ,
tal que e c o r r e n t e , n e x t > e a - . Sejam b i e B2 expresses de comportamento, b i ->a
B2 significa que do estado onde se tem a expresso de comportamento b i , aps a
ocorrncia de um evento a , alcana-se o estado onde se tem a expresso de comportamento
B2. Atravs desse modelo de transio, a semntica dos operadores LOTOS pode ser
definida.
20
2.2 Especificao de Servio do SSTCC
Inicialmente, no nvel mais alto de abstrao, o sistema SSTCC (Sistema de Segurana
para Telecomunicaes Contra Clonagem e Inadimplncia) pode ser visto como uma caixa
preta, dotada de quatro portas de comunicao (porta m a i i _ a i a r m , porta p h o n e _ a i a r m ,
porta o n i i n e _ b i i i e porta c h e c k _ o w n e r ) , para a troca de mensagens com os usurios de
uma dada companhia telefnica. Veja a Figura 2.1.
mail alarm ,, ,
phone alarm^ V&nK-Qtf U* waaSSS w W C ( 'St&l>t-QaL
online bill- ^^ check owner ___
F ig u r a 2.1 - Representao gr fic a do SSTCC26.
A porta m a i i _ a i a r m utilizada para que o SSTCC envie alarmes de suspeita de existncia
de clones, diretamente ao usurio, pelo correio comum. J a porta p h o n e _ a i a r m permite
que o SSTCC empregue o telefone celular para esta finalidade. 0 envio de alarmes atravs
do celular tem, como maior vantagem, o tempo; enquanto que o envio de denncias pelo
correio tem, como maior vantagem, a segurana. A porta o n i i n e _ b i i i utilizada para
que a companhia telefnica possa disponibilizar aos seus usurios a conta mensal
atualizada on-line. Finalmente, a porta c h e c k _ o w n e r utilizada pela companhia telefnica
para investigar suspeitas de provveis inadimplentes.
0 sistema SSTCC fica permanentemente ativo, o que caracteriza um comportamento
infinito desse sistema. Esse comportamento sugere uma especificao LOTOS com
funcionalidade noexit. Veja a Figura 2.2.
specificationSstccService[mail_alarm,phone_alarm,online_bill,check_owner]:noexit behaviour SstccService[mail_alarm,phone_alarm,online_bill, check_owner whereprocess SstccService[mail_alarm,phone_alarm,online_bil1, check_owner] :noexi t : = (i;mail_alarm;
(phone_alarra; SstccService (mail_alarm, phone_aiarm, online_bill, check_owne r i [] SstccService[mail_alarm,phone_alarm,online_bi11,check_ownec } ) i
[ ] ( onl ine_bi 11 ; SstccService! ma il_a la rm, phone_a larm,onli ne_bi
Top Related