Amerikaanske telekommunikaasje sil konkurrearje mei telefoanyske spam

Yn 'e FS wint technology foar autentikaasje fan abonnees momentum - it SHAKEN / STIR-protokol. Lit ús prate oer de prinsipes fan syn wurking en mooglike ymplemintaasje swierrichheden.

/flickr/ Mark Fischer / CC BY-SA

Probleem mei oproppen

Net frege robo-oproppen binne de meast foarkommende reden foar klachten fan konsuminten by de US Federal Trade Commission. Yn 2016 de organisaasje registrearre fiif miljoen hits, in jier letter dit sifer boppe sân miljoen.

Dizze spam-oproppen nimme net allinich de tiid fan minsken. Automatyske oproptsjinsten wurde brûkt om jild út te drukken. Neffens YouMail, yn septimber ferline jier, 40% fan de fjouwer miljard robo calls waarden begien troch oplichters. Yn 'e simmer fan 2018 ferlearen New Yorkers sa'n $ XNUMX miljoen oan transfers oan kriminelen dy't har roppen út namme fan 'e autoriteiten en jild ôfpersten.

It probleem waard ûnder de oandacht brocht fan 'e US Federal Communications Commission (FCC). Organisaasje fertsjintwurdigers in ferklearring útjûn, dy't telekommunikaasjebedriuwen ferplichte om in oplossing út te fieren om telefoanyske spam te bestriden. Dizze oplossing wie it SHAKEN/STIR-protokol. Yn maart, mienskiplike testen bestege AT&T en Comcast.

Hoe't it SHAKEN / STIR-protokol wurket

Telecom operators sille wurkje mei digitale sertifikaten (se binne basearre op publike kaai kryptografy) dat sil tastean de ferifikaasje fan callers.

De ferifikaasjeproseduere sil as folgjend trochgean. Earst krijt de operator fan 'e persoan dy't de oprop makket in fersyk SIP NODIG om in ferbining te meitsjen. De autentikaasjetsjinst fan de provider kontrolearret ynformaasje oer de oprop - lokaasje, organisaasje, apparaatdetails fan beller. Op grûn fan de resultaten fan 'e kontrôle wurdt de oprop ien fan' e trije kategoryen tawiisd: A - alle ynformaasje oer de beller is bekend, B - de organisaasje en lokaasje binne bekend, en C - allinich de geografyske lokaasje fan 'e abonnee is bekend.

Dêrnei foeget de operator in berjocht ta mei in tiidstempel, opropkategory en in keppeling nei in elektroanysk sertifikaat oan de INVITE-fersykkop. Hjir is in foarbyld fan sa'n berjocht fan GitHub repository ien fan 'e Amerikaanske telekommunikaasje:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Fierder giet it fersyk nei de provider fan 'e oproppen abonnee. De twadde operator ûntsiferet it berjocht mei de iepenbiere kaai, fergeliket de ynhâld mei de SIP INVITE, en ferifiearret de autentisiteit fan it sertifikaat. Pas dêrnei wurdt in ferbining makke tusken de abonnees, en de "ûntfangende" partij krijt in notifikaasje oer wa't him ropt.

It hiele ferifikaasjeproses kin wurde fertsjintwurdige troch in diagram:

Neffens saakkundigen, beller ferifikaasje sil nimme net mear as 100 millisekonden.

Opinyen

Hoe notearre yn 'e USTelecom-feriening sil SHAKEN / STIR minsken mear kontrôle jaan oer de oproppen dy't se ûntfange, wêrtroch't it makliker is foar har om te besluten oft se de tillefoan al of net opnimme.

Lês op ús blog:

• Botnet "spams" fia routers: wat jo witte moatte
• DDOS en 5G: dikker "pipe" - mear problemen

Mar d'r is in miening yn 'e yndustry dat it protokol gjin "sulveren kûgel" wurde sil. Eksperts sizze dat oplichters gewoan oplossingen sille brûke. Spammers kinne in "dummy" PBX registrearje yn it netwurk fan 'e operator yn' e namme fan in organisaasje en meitsje alle oproppen fia it. Yn gefal fan PBX-blokkering sil it mooglik wêze om gewoan opnij te registrearjen.

By neffens fertsjintwurdiger fan ien fan de telecoms, ienfâldige ferifikaasje fan de abonnee mei help fan sertifikaten is net genôch. Om oplichters en spammers te stopjen, moatte jo ISP's tastean om sokke petearen automatysk te blokkearjen. Mar hjirfoar sil de Kommunikaasjekommisje in nije set regels moatte ûntwikkelje dy't dit proses regelje. En de FCC kin dit probleem yn 'e heine takomst behannelje.

Sûnt it begjin fan it jier, kongresleden beskôgje in nij wetsfoarstel dat de Kommisje sil ferplichtsje om meganismen te ûntwikkeljen om boargers te beskermjen tsjin robo-oproppen en de ymplemintaasje fan 'e SHAKEN / STIR-standert te kontrolearjen.

/flickr/ Jack Sem / CC BY

It moat opmurken wurde dat SHAKEN / STIR útfierd yn T-Mobile - foar guon smartphone modellen en plan te wreidzjen it oanbod fan stipe apparaten - en Verizon - Klanten fan syn operator kinne in spesjale applikaasje downloade dy't warskôget oer oproppen fan fertochte nûmers. Oare Amerikaanske dragers testen de technology noch. Se wurde ferwachte te foltôgjen testen oan 'e ein fan 2019.

Wat oars te lêzen yn ús blog op Habré:

• De striid om netneutraliteit is in kâns foar in comeback
• Situaasje: Japan kin it downloaden fan ynhâld fan it netwurk beheine - wy begripe en besprekke
• De nije standert basearre op PCIe 5.0 sil de CPU en GPU "keppelje" - wat der oer bekend is

Boarne: www.habr.com