Telecomunicações americanas competirão com spam telefônico

Nos EUA, a tecnologia de autenticação de assinantes está ganhando força - o protocolo SHAKEN / STIR. Vamos falar sobre os princípios de seu funcionamento e possíveis dificuldades de implementação.

/flickr/ Marco Fischer / CC BY-SA

Problema com chamadas

Chamadas robóticas não solicitadas são o motivo mais comum para reclamações de consumidores à Comissão Federal de Comércio dos EUA. Em 2016, a organização registrou cinco milhões de acessos, um ano depois esse número ultrapassou sete milhões.

Essas chamadas de spam não levam apenas o tempo das pessoas. Os serviços de chamadas automáticas são usados ​​para extorquir dinheiro. Segundo o YouMail, em setembro do ano passado, 40% das quatro bilhões de ligações robóticas foram cometidos por golpistas. Durante o verão de 2018, os nova-iorquinos perderam cerca de US$ XNUMX milhões em transferências para criminosos que os ligaram em nome das autoridades e extorquiram dinheiro.

O problema foi levado ao conhecimento da Comissão Federal de Comunicações dos Estados Unidos (FCC). Representantes da organização emitiu uma declaração, que exigia que as empresas de telecomunicações implementassem uma solução para combater o spam telefônico. Esta solução foi o protocolo SHAKEN/STIR. Em março, testes conjuntos realizada AT&T e Comcast.

Como funciona o protocolo SHAKEN/STIR

As operadoras de telecomunicações trabalharão com certificados digitais (baseados em criptografia de chave pública) que permitirão a verificação dos chamadores.

O procedimento de verificação será o seguinte. Primeiro, o operador da pessoa que está ligando recebe uma solicitação SIP INVITE para estabelecer uma conexão. O serviço de autenticação do provedor verifica as informações sobre a chamada - localização, organização, detalhes do dispositivo do chamador. Com base nos resultados da verificação, a chamada é atribuída a uma das três categorias: A - todas as informações sobre o chamador são conhecidas, B - a organização e a localização são conhecidas e C - apenas a localização geográfica do assinante é conhecida.

Depois disso, o operador adiciona uma mensagem com carimbo de data/hora, categoria de chamada e um link para um certificado eletrônico no cabeçalho da solicitação INVITE. Aqui está um exemplo de tal mensagem do repositório GitHub uma das telecoms americanas:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Além disso, a solicitação vai para o provedor do assinante chamado. O segundo operador descriptografa a mensagem usando a chave pública, compara o conteúdo com o SIP INVITE e verifica a autenticidade do certificado. Só depois disso é estabelecida uma conexão entre os assinantes, e o "receptor" recebe uma notificação sobre quem está ligando para ele.

Todo o processo de verificação pode ser representado por um diagrama:

De acordo com especialistas, a verificação de chamadas vai levar não mais que 100 milissegundos.

Opiniões

Как anotado na associação USTelecom, o SHAKEN/STIR dará às pessoas mais controle sobre as chamadas recebidas, tornando mais fácil para elas decidir se devem ou não atender o telefone.

Leia em nosso blog:

• Botnet “spams” através de roteadores: o que você precisa saber
• DDOS e 5G: "tubo" mais grosso - mais problemas

Mas há uma opinião na indústria de que o protocolo não se tornará uma “bala de prata”. Especialistas dizem que os golpistas simplesmente usarão soluções alternativas. Os spammers poderão registrar um PBX "fictício" na rede da operadora em nome de uma organização e fazer todas as chamadas por meio dele. Em caso de bloqueio de PABX, será possível simplesmente recadastrar.

Em palavras representante de uma das telecomunicações, a simples verificação do assinante por meio de certificados não é suficiente. Para impedir golpistas e spammers, você precisa permitir que os ISPs bloqueiem automaticamente essas chamadas. Mas, para isso, a Comissão de Comunicações terá que desenvolver um novo conjunto de regras que regulará esse processo. E a FCC pode lidar com esse problema em um futuro próximo.

Desde o início do ano, os congressistas estão considerando um novo projeto de lei que obrigará a Comissão a desenvolver mecanismos para proteger os cidadãos de chamadas robóticas e monitorar a implementação do padrão SHAKEN / STIR.

/flickr/ Jack Sem / CC BY

Deve-se notar que AGITAR/METER implementado na T-Mobile - para alguns modelos de smartphones e planeja expandir a gama de dispositivos suportados - e Verizon - os clientes de sua operadora podem baixar um aplicativo especial que avisará sobre chamadas de números suspeitos. Outras operadoras dos EUA ainda estão testando a tecnologia. Eles devem concluir os testes até o final de 2019.

O que mais ler em nosso blog sobre Habré:

• A batalha pela neutralidade da rede é uma chance de retorno
• Situação: o Japão pode restringir o download de conteúdo da rede - entendemos e discutimos
• O novo padrão baseado no PCIe 5.0 vai "vincular" a CPU e a GPU - o que se sabe sobre isso

Fonte: habr.com