Amerikkalainen televiestintä kilpailee roskapostin kanssa

Yhdysvalloissa tilaajien todennustekniikka – SHAKEN/STIR-protokolla – on saamassa vauhtia. Puhutaanpa sen toiminnan periaatteista ja täytäntöönpanon mahdollisista vaikeuksista.

/flickr/ Mark Fischer / CC BY-SA

Ongelma puheluiden kanssa

Ei-toivotut robottipuhelut ovat yleisin syy kuluttajien valituksiin Federal Trade Commissionille. Vuonna 2016 organisaatio kirjattiin viisi miljoonaa osumaa, vuotta myöhemmin luku ylitti seitsemän miljoonaa.

Tällaiset roskapostipuhelut vievät enemmän kuin vain ihmisten aikaa. Automaattisia soittopalveluita käytetään rahan kiristämiseen. YouMailin mukaan viime vuoden syyskuussa 40% neljästä miljardista robottipuhelusta ovat huijarit syyllistyneet. Kesällä 2018 newyorkilaiset menettivät noin kolme miljoonaa dollaria siirtoina rikollisille, jotka soittivat heille viranomaisten puolesta ja kiristivät rahaa.

Ongelma tuotiin Yhdysvaltain liittovaltion viestintäkomission (FCC) tietoon. Järjestön edustajat antoi lausunnon, joka vaati teleyrityksiä ottamaan käyttöön ratkaisun puhelinroskapostin torjuntaan. Tämä ratkaisu oli SHAKEN/STIR-protokolla. Maaliskuussa se testattiin yhdessä käytetty AT&T ja Comcast.

Kuinka SHAKEN/STIR-protokolla toimii

Teleoperaattorit työskentelevät digitaalisilla varmenteilla (ne on rakennettu julkisen avaimen kryptografian pohjalta), joiden avulla he voivat tarkistaa soittajat.

Varmistusprosessi etenee seuraavasti. Ensin puhelun soittavan henkilön operaattori saa pyynnön SIP KUTSU muodostamaan yhteys. Palveluntarjoajan todennuspalvelu tarkistaa puhelun tiedot - sijainnin, organisaation, tiedot soittajan laitteesta. Tarkastuksen tulosten perusteella puhelu jaetaan johonkin kolmesta luokasta: A - kaikki tiedot soittajasta ovat tiedossa, B - organisaatio ja sijainti ovat tiedossa ja C - vain tilaajan maantieteellinen sijainti tiedetään.

Tämän jälkeen operaattori lisää INVITE-pyynnön otsikkoon viestin, jossa on aikaleima, puheluluokka ja linkki sähköiseen varmenteeseen. Tässä on esimerkki tällaisesta viestistä GitHub-arkistosta yksi amerikkalaisista telekommunikaatioista:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Seuraavaksi pyyntö menee soitetun tilaajan palveluntarjoajalle. Toinen operaattori purkaa viestin salauksen julkisella avaimella, vertaa sisältöä SIP INVITE -koodiin ja varmistaa varmenteen aitouden. Vasta tämän jälkeen tilaajien välille muodostuu yhteys ja "vastaanottava" osapuoli saa ilmoituksen siitä, kuka hänelle soittaa.

Koko varmennusprosessi voidaan kuvata seuraavassa kaaviossa:

Asiantuntijoiden mukaan soittajan vahvistus ottaa enintään 100 millisekuntia.

mielipiteitä

miten huomioitu USTelecom Associationissa SHAKEN/STIR antaa ihmisille enemmän hallintaa vastaanottamiinsa puheluihin - mikä helpottaa heidän päättämistä, ottaako puhelin vastaan.

Lue blogistamme:

• Botnet "roskapostia" reitittimien kautta: mitä sinun tulee tietää
• DDOS ja 5G: paksumpi "putki" - enemmän ongelmia

Mutta alalla vallitsee yksimielisyys siitä, että pöytäkirja ei ole hopealuodi. Asiantuntijat sanovat, että huijarit käyttävät vain kiertotapoja. Roskapostittajat voivat rekisteröidä "tyhjennä" PBX:n operaattorin verkkoon organisaation nimiin ja soittaa kaikki puhelut sen kautta. Jos PBX on estetty, se voidaan yksinkertaisesti rekisteröidä uudelleen.

Päälle mukaan jonkin televiestinnän edustajana, yksinkertainen tilaajan varmentaminen varmenteilla ei riitä. Voit estää huijarit ja roskapostittajat antamalla palveluntarjoajille mahdollisuuden estää tällaiset puhelut automaattisesti. Mutta tehdäkseen tämän viestintäkomission on kehitettävä uudet säännöt, jotka säätelevät tätä prosessia. Ja FCC saattaa ottaa tämän asian esille lähitulevaisuudessa.

Vuoden alusta, kongressiedustajat harkitsevat uusi lakiesitys, joka velvoittaa komission kehittämään mekanismeja kansalaisten suojelemiseksi robottipuheluilta ja valvomaan SHAKEN/STIR-standardin täytäntöönpanoa.

/flickr/ Jack Sem / CC BY

On syytä huomata, että SHAKEN/STIR toteutettu T-Mobilessa - joillekin älypuhelinmalleille ja suunnitelmille laajentaa tuettujen laitteiden valikoimaa - ja Verizon — sen operaattoriasiakkaat voivat ladata erityisen sovelluksen, joka varoittaa epäilyttävistä numeroista tulevista puheluista. Muut yhdysvaltalaiset operaattorit testaavat edelleen tekniikkaa. Niiden odotetaan saavan testauksen päätökseen vuoden 2019 loppuun mennessä.

Mitä muuta luettavaa Habré-blogistamme:

• Taistelu verkon neutraalisuudesta on mahdollisuus paluuta
• Tilanne: Japani saattaa rajoittaa sisällön lataamista verkosta - ymmärrämme ja keskustelemme siitä
• Uusi PCIe 5.0:aan perustuva standardi "linkittää" CPU:n ja GPU:n – mitä siitä tiedetään

Lähde: will.com