Америкийн харилцаа холбоо нь утасны спамтай өрсөлдөх болно

АНУ-д захиалагчийн баталгаажуулалтын технологи буюу SHAKEN/STIR протокол хүчээ авч байна. Түүний үйл ажиллагааны зарчим, хэрэгжүүлэхэд тулгарч болзошгүй хүндрэлийн талаар ярилцъя.

/flickr/ Марк Фишер / CC BY-SA

Дуудлагатай холбоотой асуудал

Хүсээгүй робот дуудлага нь Холбооны Худалдааны Комисст хэрэглэгчдийн гомдол гаргах хамгийн түгээмэл шалтгаан болдог. 2016 онд тус байгууллага таван сая хандалт хийсэн байна, жилийн дараа энэ тоо долоон сая давжээ.

Ийм спам дуудлага нь хүмүүсийн цаг хугацаанаас илүү ихийг зарцуулдаг. Мөнгө авахын тулд автомат дуудлагын үйлчилгээг ашигладаг. YouMail-ийн мэдээлснээр өнгөрсөн оны есдүгээр сард дөрвөн тэрбум робот дуудлагын 40% нь луйварчид үйлдсэн. 2018 оны зун Нью-Йоркийн иргэд эрх баригчдын нэрийн өмнөөс тэднийг дуудаж, мөнгө завшсан гэмт хэрэгтнүүдэд гурван сая орчим долларын шилжүүлэг алдсан байна.

Асуудлыг АНУ-ын Холбооны Харилцаа Холбооны Комисс (FCC) анхааралдаа авлаа. Байгууллагын төлөөлөгчид мэдэгдэл хийлээ, энэ нь харилцаа холбооны компаниудад утасны спамтай тэмцэх шийдлийг хэрэгжүүлэхийг шаарддаг. Энэхүү шийдэл нь SHAKEN/STIR протокол байсан. Гуравдугаар сард хамтарсан туршилт хийсэн зарцуулсан AT&T болон Comcast.

SHAKEN/STIR протокол хэрхэн ажилладаг

Харилцаа холбооны операторууд дижитал гэрчилгээтэй ажиллах болно (тэдгээрийг нийтийн түлхүүрийн криптографийн үндсэн дээр бүтээдэг) нь дуудлага хийгчийг шалгах боломжийг олгоно.

Баталгаажуулах үйл явц дараах байдлаар явагдана. Нэгдүгээрт, дуудлага хийж буй хүний ​​оператор хүсэлтийг хүлээн авдаг SIP Холбоо тогтоохыг УРЬЖ БАЙНА. Үйлчилгээ үзүүлэгчийн баталгаажуулалтын үйлчилгээ нь дуудлагын талаархи мэдээллийг шалгадаг - байршил, байгууллага, дуудлага хийгчийн төхөөрөмжийн талаарх мэдээлэл. Баталгаажуулалтын үр дүнд үндэслэн дуудлагыг гурван ангиллын аль нэгээр нь хуваарилдаг: A - дуудагчийн талаархи бүх мэдээлэл, B - байгууллага, байршил нь мэдэгдэж байгаа, C - зөвхөн захиалагчийн газарзүйн байршлыг мэддэг.

Үүний дараа оператор INVITE хүсэлтийн толгой хэсэгт цагийн тэмдэг, дуудлагын ангилал, цахим гэрчилгээний холбоос бүхий мессежийг нэмнэ. Ийм мессежийн жишээ энд байна GitHub репозитороос Америкийн харилцаа холбооны нэг:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Дараа нь хүсэлт нь дуудагдсан захиалагчийн үйлчилгээ үзүүлэгч рүү очно. Хоёр дахь оператор нь нийтийн түлхүүрийг ашиглан мессежийг тайлж, агуулгыг SIP INVITE-тэй харьцуулж, гэрчилгээний жинхэнэ эсэхийг шалгана. Үүний дараа л захиалагчдын хооронд холболт үүсч, "хүлээн авагч" тал түүнийг хэн дуудаж байгаа тухай мэдэгдлийг хүлээн авдаг.

Баталгаажуулах үйл явцыг бүхэлд нь дараах диаграммд дүрсэлж болно.

Шинжээчдийн үзэж байгаагаар дуудагчийг баталгаажуулах авч болно 100 миллисекундээс ихгүй байна.

Бичлэгүүд

Хэрхэн тэмдэглэв USTelecom холбооны дэргэдэх SHAKEN/STIR нь хүмүүст ирж буй дуудлагыг хянах боломжийг олгож, утсаа авах эсэхээ шийдэхэд хялбар болгоно.

Манай блог дээрээс уншина уу:

• Чиглүүлэгчээр дамжуулан ботнет "спам": таны мэдэх ёстой зүйл
• DDOS болон 5G: зузаан "хоолой" нь илүү их асуудалтай байдаг

Гэхдээ энэ протокол мөнгөн сум болохгүй гэдэгтэй салбарынхан санал нэг байна. Мэргэжилтнүүдийн үзэж байгаагаар луйварчид зүгээр л тойрон гарах арга замыг ашигладаг. Спам илгээгчид операторын сүлжээнд байгууллагын нэр дээр "дамми" PBX бүртгүүлж, түүгээр дамжуулан бүх дуудлага хийх боломжтой болно. Хэрэв PBX хаагдсан бол түүнийг зүгээр л дахин бүртгүүлэх боломжтой болно.

Нь дагуу Харилцаа холбооны нэг төлөөлөгчийн гэрчилгээг ашиглан энгийн захиалагчийн баталгаажуулалт хангалтгүй. Луйварчид болон спам илгээгчдийг зогсоохын тулд үйлчилгээ үзүүлэгчдэд ийм дуудлагыг автоматаар хаахыг зөвшөөрөх хэрэгтэй. Гэхдээ үүнийг хийхийн тулд Харилцаа холбооны комисс энэ үйл явцыг зохицуулах шинэ дүрэм боловсруулах шаардлагатай болно. Мөн FCC ойрын ирээдүйд энэ асуудлыг авч магадгүй юм.

Он гарснаас хойш конгрессын гишүүд авч үзэх Иргэдийг роботын дуудлагаас хамгаалах механизмыг боловсруулах, SHAKEN/STIR стандартын хэрэгжилтэд хяналт тавихыг хороонд үүрэг болгох шинэ хуулийн төсөл.

/flickr/ Жак Сем / CC BY

SHAKEN/SIR гэдгийг тэмдэглэх нь зүйтэй хэрэгжүүлсэн T-Mobile дээр - зарим ухаалаг гар утасны загварууд болон дэмжигдсэн төхөөрөмжүүдийн хүрээг өргөжүүлэхээр төлөвлөж байна - болон Веризон - түүний операторын үйлчлүүлэгчид сэжигтэй дугаараас ирсэн дуудлагын талаар анхааруулах тусгай програмыг татаж авах боломжтой. АНУ-ын бусад операторууд энэ технологийг туршиж байгаа хэвээр байна. Тэд 2019 оны эцэс гэхэд туршилтаа дуусгах төлөвтэй байна.

Хабре дээрх манай блогоос өөр юу унших вэ:

• Цэвэр төвийг сахихын төлөөх тулаан бол эргэн ирэх боломж юм
• Нөхцөл байдал: Япон улс интернетээс контент татаж авахыг хязгаарлаж магадгүй - үүнийг судалж, ярилцъя
• PCIe 5.0 дээр суурилсан шинэ стандарт нь CPU болон GPU-г "холбох" болно - энэ талаар мэддэг зүйл

Эх сурвалж: www.habr.com