Le telecomunicazioni americane competeranno con lo spam telefonico

Negli Stati Uniti, la tecnologia di autenticazione degli abbonati, il protocollo SHAKEN/STIR, sta guadagnando slancio. Parliamo dei principi del suo funzionamento e delle potenziali difficoltà di implementazione.

/flickr/ Mark Fisher / CC BY-SA

Problema con le chiamate

Le chiamate automatiche non richieste sono la causa più comune di reclami dei consumatori alla Federal Trade Commission. Nel 2016 l'organizzazione ha registrato cinque milioni di visite, un anno dopo questa cifra ha superato i sette milioni.

Tali chiamate spam non portano via solo tempo alle persone. I servizi di chiamata automatizzata vengono utilizzati per estorcere denaro. Secondo YouMail, nel settembre dello scorso anno, il 40% dei quattro miliardi di chiamate robotizzate sono stati commessi da truffatori. Nell’estate del 2018, i newyorkesi hanno perso circa tre milioni di dollari in trasferimenti a favore di criminali che li chiamavano per conto delle autorità ed estorcevano denaro.

Il problema è stato portato all'attenzione della Federal Communications Commission (FCC) degli Stati Uniti. Rappresentanti dell'organizzazione ha fatto una dichiarazione, che richiedeva alle società di telecomunicazioni di implementare una soluzione per combattere lo spam telefonico. Questa soluzione era il protocollo SHAKEN/STIR. A marzo è stato testato congiuntamente condotto AT&T e Comcast.

Come funziona il protocollo SHAKEN/STIR

Gli operatori di telecomunicazioni lavoreranno con certificati digitali (sono costruiti sulla base della crittografia a chiave pubblica), che consentiranno loro di verificare i chiamanti.

La procedura di verifica si svolgerà come segue. Innanzitutto, l'operatore della persona che effettua la chiamata riceve una richiesta SIP INVITA a stabilire una connessione. Il servizio di autenticazione del provider controlla le informazioni sulla chiamata: posizione, organizzazione, dati sul dispositivo del chiamante. In base ai risultati della verifica, alla chiamata viene assegnata una delle tre categorie: A - sono note tutte le informazioni sul chiamante, B - sono note l'organizzazione e l'ubicazione e C - è nota solo la posizione geografica dell'abbonato.

Successivamente l'operatore aggiunge nell'intestazione della richiesta INVITE un messaggio con timestamp, categoria di chiamata e collegamento al certificato elettronico. Ecco un esempio di tale messaggio dal repository GitHub una delle telecomunicazioni americane:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Successivamente la richiesta va al fornitore dell'abbonato chiamato. Il secondo operatore decripta il messaggio utilizzando la chiave pubblica, confronta il contenuto con il SIP INVITE e verifica l'autenticità del certificato. Solo dopo viene stabilita una connessione tra gli abbonati e la parte "ricevente" riceve una notifica su chi lo sta chiamando.

L'intero processo di verifica può essere rappresentato nel seguente diagramma:

Secondo gli esperti, verifica del chiamante prenderà non più di 100 millisecondi.

Мнения

Come noto presso l'Associazione USTelecom, SHAKEN/STIR offrirà alle persone un maggiore controllo sulle chiamate che ricevono, rendendo più semplice per loro decidere se alzare il telefono.

Leggi sul nostro blog:

• Botnet “spam” attraverso i router: cosa c'è da sapere
• DDOS e 5G: "tubo" più spesso - più problemi

Ma nel settore c’è consenso sul fatto che il protocollo non sarà una soluzione miracolosa. Gli esperti affermano che i truffatori utilizzeranno semplicemente soluzioni alternative. Gli spammer potranno registrare un PBX "fittizio" nella rete dell'operatore a nome di un'organizzazione ed effettuare tutte le chiamate attraverso di esso. Se il PBX risulta bloccato sarà possibile semplicemente registrarlo nuovamente.

Su secondo rappresentante di una delle società di telecomunicazioni, la semplice verifica dell'abbonato tramite certificati non è sufficiente. Per fermare truffatori e spammer, è necessario consentire ai provider di bloccare automaticamente tali chiamate. Ma per fare ciò, la Commissione per le Comunicazioni dovrà sviluppare una nuova serie di norme che regoleranno questo processo. E la FCC potrebbe occuparsi di questo problema nel prossimo futuro.

Dall'inizio dell'anno, i deputati stanno considerando un nuovo disegno di legge che obbligherà la Commissione a sviluppare meccanismi per proteggere i cittadini dalle chiamate robotizzate e monitorare l'attuazione dello standard SHAKEN/STIR.

/flickr/ Jack Sem / CC BY

Vale la pena notare che SHAKEN/STIR implementato presso T-Mobile - per alcuni modelli di smartphone e prevede di espandere la gamma di dispositivi supportati - e Verizon — i suoi operatori clienti possono scaricare un'applicazione speciale che avviserà delle chiamate provenienti da numeri sospetti. Altri operatori statunitensi stanno ancora testando la tecnologia. Si prevede che completeranno i test entro la fine del 2019.

Cos'altro leggere nel nostro blog su Habré:

• La battaglia per la neutralità della rete è una possibilità di rimonta
• Situazione: il Giappone potrebbe limitare il download di contenuti dalla rete: comprendiamo e discutiamo
• Il nuovo standard basato su PCIe 5.0 "collegherà" la CPU e la GPU - ciò che si sa al riguardo

Fonte: habr.com