Американдық телекоммуникациялар телефон спамымен бәсекеге түседі

АҚШ-та абоненттік аутентификация технологиясы қарқын алуда – SHAKEN/STIR протоколы. Оның жұмыс істеу принциптері және іске асырудың ықтимал қиындықтары туралы сөйлесейік.

/flickr/ Марк Фишер / CC BY-SA

Қоңырауларға қатысты мәселе

Сұраныссыз робо қоңыраулар АҚШ Федералды Сауда Комиссиясына тұтынушылардың шағымдарының ең көп тараған себебі болып табылады. 2016 жылы ұйым бес миллион хит жазды, бір жылдан кейін бұл көрсеткіш жеті миллионнан асты.

Бұл спам қоңыраулар адамдардың уақытын ғана алмайды. Ақшаны бопсалау үшін автоматты қоңырау шалу қызметтері қолданылады. YouMail мәліметтері бойынша, өткен жылдың қыркүйегінде төрт миллиард робот қоңырауының 40% -ы алаяқтар жасаған. 2018 жылдың жазында Нью-Йорк тұрғындары билік атынан қоңырау шалып, ақша бопсалаған қылмыскерлерге аударым ретінде шамамен XNUMX миллион доллар жоғалтты.

Мәселе АҚШ-тың Федералдық байланыс комиссиясының (FCC) назарына ұсынылды. Ұйым өкілдері мәлімдеме жасады, бұл телекоммуникация компанияларынан телефон спамымен күресу шешімін енгізуді талап етті. Бұл шешім SHAKEN/STIR протоколы болды. Наурызда бірлескен тестілеу өткізді AT&T және Comcast.

SHAKEN/STIR протоколы қалай жұмыс істейді

Байланыс операторлары қоңырау шалушыларды тексеруге мүмкіндік беретін цифрлық сертификаттармен (олар ашық кілттердің криптографиясына негізделген) жұмыс істейтін болады.

Тексеру процедурасы келесідей жалғасады. Біріншіден, қоңырау шалушы адамның операторы сұрауды алады SIP Байланыс орнатуға ШАҚЫРУ. Провайдердің аутентификация қызметі қоңырау туралы ақпаратты тексереді - орналасқан жері, ұйымы, қоңырау шалушы құрылғысының мәліметтері. Тексеру нәтижелері бойынша қоңырауға үш санаттың біреуі тағайындалады: А - қоңырау шалушы туралы барлық ақпарат белгілі, В - ұйым мен орналасқан жер белгілі, ал С - тек абоненттің географиялық орны белгілі.

Осыдан кейін оператор INVITE сұрауының тақырыбына уақыт белгісі, қоңырау санаты және электрондық сертификатқа сілтемесі бар хабарлама қосады. Міне, осындай хабарламаның мысалы GitHub репозиторийінен американдық телекоммуникациялардың бірі:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Одан әрі сұрау шақырылған абоненттің провайдеріне жіберіледі. Екінші оператор ашық кілттің көмегімен хабарламаның шифрын шешеді, мазмұнды SIP INVITE бағдарламасымен салыстырады және сертификаттың түпнұсқалығын тексереді. Осыдан кейін ғана абоненттер арасында байланыс орнатылып, «қабылдаушы» тарап оған кім қоңырау шалып жатқаны туралы хабарлама алады.

Барлық тексеру процесін диаграмма арқылы көрсетуге болады:

Сарапшылардың пікірінше, қоңырау шалушыны тексеру алады 100 миллисекундтан аспайды.

Пікірлер

қалай атап өтті USTelecom қауымдастығында SHAKEN/STIR адамдарға қабылданатын қоңырауларды көбірек бақылауға мүмкіндік береді, бұл оларға телефонды алу немесе алмау туралы шешім қабылдауды жеңілдетеді.

Біздің блогта оқыңыз:

• Маршрутизаторлар арқылы ботнет «спамдары»: нені білу керек
• DDOS және 5G: қалыңырақ «құбыр» - көп мәселелер

Бірақ салада хаттама «күміс оққа» айналмайды деген пікір бар. Сарапшылардың айтуынша, алаяқтар жай ғана шешу жолдарын пайдаланады. Спам жіберушілер ұйымның атына оператор желісінде «жалған» АТС тіркей алады және сол арқылы барлық қоңырауларды жасай алады. АТС бұғаттаған жағдайда жай ғана қайта тіркеуге болады.

туралы сәйкес телекоммуникациялардың бірінің өкілі, сертификаттарды пайдалана отырып, абонентті қарапайым тексеру жеткіліксіз. Алаяқтар мен спаммерлерді тоқтату үшін Интернет провайдерлеріне мұндай қоңырауларды автоматты түрде блоктауға рұқсат беру керек. Бірақ бұл үшін Байланыс комиссиясы осы процесті реттейтін жаңа ережелер жинағын әзірлеуі керек. Ал FCC бұл мәселемен жақын арада айналыса алады.

Жыл басынан бері конгрессмендер қарастыруда Комиссияны азаматтарды роботтық қоңыраулардан қорғау тетіктерін әзірлеуге және SHAKEN/STIR стандартының орындалуын бақылауға міндеттейтін жаңа заң жобасы.

/flickr/ Джек Сем / CC BY

Айта кету керек, SHAKEN/SIR жүзеге асырылды T-Mobile-де - кейбір смартфон үлгілері үшін және қолдау көрсетілетін құрылғылардың ауқымын кеңейтуді жоспарлап отыр - және Verizon - оның операторының тұтынушылары күдікті нөмірлерден қоңыраулар туралы ескертетін арнайы қосымшаны жүктей алады. АҚШ-тың басқа тасымалдаушылары бұл технологияны әлі де сынап жатыр. Олар тестілеуді 2019 жылдың соңына дейін аяқтайды деп күтілуде.

Хабредегі блогымызда тағы не оқуға болады:

• Таза бейтараптық үшін шайқас - бұл қайта оралу мүмкіндігі
• Жағдай: Жапония желіден мазмұнды жүктеп алуға шектеу қоюы мүмкін - біз түсінеміз және талқылаймыз
• PCIe 5.0 негізіндегі жаңа стандарт процессор мен графикалық процессорды «байланыстырады» - бұл туралы не белгілі

Ақпарат көзі: www.habr.com