Telekom Amerika akan melawan spam telefon

Di Amerika Syarikat, teknologi pengesahan pelanggan—protokol SHAKEN/STIR—mendapat momentum. Mari kita bincangkan tentang prinsip operasinya dan potensi kesukaran pelaksanaan.

/Flickr/ Mark Fischer / CC BY-SA

Masalah dengan panggilan

Panggilan robot yang tidak diminta adalah punca paling biasa aduan pengguna kepada Suruhanjaya Perdagangan Persekutuan. Pada tahun 2016 organisasi mencatatkan lima juta hits, setahun kemudian angka ini melebihi tujuh juta.

Panggilan spam sedemikian mengambil lebih daripada sekadar masa orang ramai. Perkhidmatan panggilan automatik digunakan untuk memeras wang. Menurut YouMail, pada September tahun lalu, 40% daripada empat bilion panggilan robo dilakukan oleh penipu. Sepanjang musim panas 2018, warga New York kehilangan kira-kira tiga juta dolar dalam pemindahan kepada penjenayah yang memanggil mereka bagi pihak pihak berkuasa dan memeras wang.

Masalah itu telah dibawa ke perhatian Suruhanjaya Komunikasi Persekutuan (FCC) AS. Wakil pertubuhan membuat kenyataan, yang memerlukan syarikat telekomunikasi melaksanakan penyelesaian untuk memerangi spam telefon. Penyelesaian ini ialah protokol SHAKEN/STIR. Pada bulan Mac ia telah diuji bersama dibelanjakan AT&T dan Comcast.

Cara protokol SHAKEN/STIR berfungsi

Pengendali telekomunikasi akan bekerja dengan sijil digital (ia dibina berdasarkan kriptografi kunci awam), yang akan membolehkan mereka mengesahkan pemanggil.

Prosedur pengesahan akan diteruskan seperti berikut. Pertama, pengendali orang yang membuat panggilan menerima permintaan SIP JEMPUTAN untuk mewujudkan sambungan. Perkhidmatan pengesahan pembekal menyemak maklumat tentang panggilan - lokasi, organisasi, data tentang peranti pemanggil. Berdasarkan hasil pengesahan, panggilan diberikan satu daripada tiga kategori: A - semua maklumat tentang pemanggil diketahui, B - organisasi dan lokasi diketahui, dan C - hanya lokasi geografi pelanggan diketahui.

Selepas ini, pengendali menambah mesej dengan cap masa, kategori panggilan dan pautan ke sijil elektronik ke pengepala permintaan INVITE. Berikut adalah contoh mesej sedemikian daripada repositori GitHub salah satu telekomunikasi Amerika:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Seterusnya, permintaan pergi ke pembekal pelanggan yang dipanggil. Operator kedua menyahsulit mesej menggunakan kunci awam, membandingkan kandungan dengan SIP INVITE dan mengesahkan ketulenan sijil. Hanya selepas ini sambungan diwujudkan antara pelanggan, dan pihak "penerima" menerima pemberitahuan tentang siapa yang memanggilnya.

Keseluruhan proses pengesahan boleh digambarkan dalam rajah berikut:

Menurut pakar, pengesahan pemanggil akan mengambil tidak lebih daripada 100 milisaat.

pendapat

bagaimana tercatat di Persatuan USTelecom, SHAKEN/STIR akan memberi orang lebih kawalan ke atas panggilan yang mereka terima - memudahkan mereka membuat keputusan sama ada untuk mengangkat telefon.

Baca di blog kami:

• Botnet "spam" melalui penghala: perkara yang anda perlu tahu
• DDOS dan 5G: "paip" yang lebih tebal bermakna lebih banyak masalah

Tetapi terdapat konsensus dalam industri bahawa protokol itu tidak akan menjadi peluru perak. Pakar berkata penipu hanya akan menggunakan penyelesaian. Spammer akan dapat mendaftarkan PBX "dummy" dalam rangkaian pengendali atas nama organisasi dan membuat semua panggilan melaluinya. Jika PBX disekat, anda boleh mendaftar semula dengan mudah.

Pada menurut wakil salah satu telekomunikasi, pengesahan pelanggan mudah menggunakan sijil tidak mencukupi. Untuk menghentikan penipu dan spammer, anda perlu membenarkan penyedia menyekat panggilan sedemikian secara automatik. Tetapi untuk melakukan ini, Suruhanjaya Komunikasi perlu membangunkan satu set peraturan baharu yang akan mengawal proses ini. Dan FCC mungkin mengambil isu ini dalam masa terdekat.

Sejak awal tahun, ahli kongres sedang mempertimbangkan rang undang-undang baharu yang akan mewajibkan Suruhanjaya untuk membangunkan mekanisme untuk melindungi rakyat daripada panggilan robo dan memantau pelaksanaan piawaian SHAKEN/STIR.

/Flickr/ Jack Sem / CC BY

Perlu diingat bahawa SHAKEN/SIR dilaksanakan di T-Mobile - untuk beberapa model telefon pintar dan rancangan untuk mengembangkan rangkaian peranti yang disokong - dan Verizon — pelanggan pengendalinya boleh memuat turun aplikasi khas yang akan memberi amaran tentang panggilan daripada nombor yang mencurigakan. Pengendali AS yang lain masih menguji teknologi tersebut. Mereka dijangka menyelesaikan ujian menjelang akhir 2019.

Apa lagi yang perlu dibaca dalam blog kami di Habré:

• Pertempuran untuk Berkecuali Bersih Adalah Peluang untuk Kemunculan Kembali
• Situasi: Jepun mungkin mengehadkan muat turun kandungan daripada Internet - mari kita lihat dan bincangkannya
• Piawaian baharu berdasarkan PCIe 5.0 akan "menghubungkan" CPU dan GPU - apa yang diketahui mengenainya

Sumber: www.habr.com