As telecomunicacións estadounidenses competirán co spam telefónico

Nos Estados Unidos, a tecnoloxía de autenticación de subscritores está gañando impulso: o protocolo SHAKEN / STIR. Falemos dos principios do seu funcionamento e das posibles dificultades de implementación.

/flickr/ Mark Fischer / CC BY-SA

Problema coas chamadas

As chamadas automáticas non solicitadas son o motivo máis común para as queixas dos consumidores ante a Comisión Federal de Comercio dos Estados Unidos. En 2016 a organización rexistrou cinco millóns de visitas, un ano despois esta cifra superou os sete millóns.

Estas chamadas de spam non só levan tempo á xente. Os servizos de chamadas automáticas úsanse para extorsionar diñeiro. Segundo YouMail, en setembro do ano pasado, o 40% dos catro mil millóns de chamadas robotizadas foron cometidos por estafadores. Durante o verán de 2018, os neoiorquinos perderon uns XNUMX millóns de dólares en transferencias a criminais que os chamaron en nome das autoridades e extorsionaron diñeiro.

O problema foi posto en coñecemento da Comisión Federal de Comunicacións (FCC) dos Estados Unidos. Representantes da organización emitiu un comunicado, que obrigaba ás empresas de telecomunicacións a implementar unha solución para combater o spam telefónico. Esta solución foi o protocolo SHAKEN/STIR. En marzo, proba conxunta gastado AT&T e Comcast.

Como funciona o protocolo SHAKEN/STIR

Os operadores de telecomunicacións traballarán con certificados dixitais (están construídos sobre a base da criptografía de clave pública) que permitirán a verificación das persoas que chaman.

O procedemento de verificación procederá do seguinte xeito. En primeiro lugar, o operador da persoa que realiza a chamada recibe unha solicitude SIP INVITA para establecer unha conexión. O servizo de autenticación do provedor verifica a información sobre a chamada: a localización, a organización e os detalles do dispositivo da persoa que chama. En función dos resultados da comprobación, atribúeselle á chamada unha das tres categorías: A: coñécese toda a información sobre a persoa que chama, B: coñécense a organización e a localización e C: só se coñece a localización xeográfica do abonado.

Despois diso, o operador engade unha mensaxe cun selo de hora, categoría de chamada e unha ligazón a un certificado electrónico á cabeceira da solicitude INVITE. Aquí tes un exemplo de tal mensaxe desde o repositorio de GitHub unha das telecomunicacións estadounidenses:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Ademais, a solicitude diríxese ao provedor do abonado chamado. O segundo operador descifra a mensaxe usando a clave pública, compara o contido co SIP INVITE e verifica a autenticidade do certificado. Só despois de que se establece unha conexión entre os subscritores, e a parte "receptora" recibe unha notificación sobre quen o está chamando.

Todo o proceso de verificación pódese representar mediante un diagrama:

Segundo os expertos, a verificación da chamada levará non máis de 100 milisegundos.

Opinións

Como anotado na asociación USTelecom, SHAKEN/STIR dará máis control ás persoas sobre as chamadas que reciben, facilitando que decidan se coller ou non o teléfono.

Le no noso blog:

• Botnet "spam" a través de enrutadores: o que necesitas saber
• DDOS e 5G: "tubo" máis groso - máis problemas

Pero hai unha opinión na industria de que o protocolo non se converterá nunha "bala de prata". Os expertos din que os estafadores simplemente usarán solucións alternativas. Os spammers poderán rexistrar unha PBX "ficticia" na rede do operador a nome dunha organización e realizar todas as chamadas a través dela. En caso de bloqueo da PBX, será posible simplemente rexistrarse de novo.

En segundo representante dunha das telecomunicacións, a simple verificación do abonado mediante certificados non é suficiente. Para deter aos estafadores e aos spammers, cómpre permitir que os ISP bloqueen automaticamente tales chamadas. Pero para iso, a Comisión de Comunicacións deberá elaborar un novo regulamento que regule este proceso. E a FCC pode tratar este problema nun futuro próximo.

Dende comezos de ano, congresistas están considerando un novo proxecto de lei que obrigará á Comisión a desenvolver mecanismos para protexer aos cidadáns das chamadas automáticas e supervisar a implementación do estándar SHAKEN/STIR.

/flickr/ Jack Sem / CC BY

Cómpre ter en conta que AXIDA/AMEXE implementado en T-Mobile - para algúns modelos de teléfonos intelixentes e planea ampliar a gama de dispositivos compatibles - e Verizon - os clientes do seu operador poden descargar unha aplicación especial que avisará sobre chamadas de números sospeitosos. Outros operadores estadounidenses aínda están probando a tecnoloxía. Espérase que completen as probas a finais de 2019.

Que máis ler no noso blog sobre Habré:

• A batalla pola neutralidade da rede é unha oportunidade de remontada
• Situación: Xapón pode restrinxir a descarga de contido da rede. Entendemos e discutimos
• O novo estándar baseado en PCIe 5.0 "enlazará" a CPU e a GPU, o que se sabe sobre el

Fonte: www.habr.com