Amerikansk telekom kommer att konkurrera med telefonspam

I USA tar teknologin för autentisering av abonnenter – SHAKEN/STIR-protokollet – fart. Låt oss prata om principerna för dess funktion och de potentiella svårigheterna med genomförandet.

/flickr/ Mark Fischer / CC BY-SA

Problem med samtal

Oönskade robosamtal är den vanligaste orsaken till konsumentklagomål till Federal Trade Commission. 2016 organisationen spelade in fem miljoner träffar, ett år senare översteg denna siffra sju miljoner.

Sådana spamsamtal tar bort mer än bara människors tid. Automatiserade samtalstjänster används för att pressa pengar. Enligt YouMail, i september förra året, 40% av de fyra miljarder robocalls begicks av bedragare. Under sommaren 2018 förlorade New York-bor cirka tre miljoner dollar i överföringar till kriminella som ringde dem på uppdrag av myndigheterna och utpressade pengar.

Problemet uppmärksammades av US Federal Communications Commission (FCC). Representanter för organisationen gjorde ett uttalande, vilket krävde att telekommunikationsföretagen implementerade en lösning för att bekämpa telefonskräppost. Denna lösning var SHAKEN/STIR-protokollet. I mars testades den gemensamt tillbringade AT&T och Comcast.

Hur SHAKEN/STIR-protokollet fungerar

Telekomoperatörer kommer att arbeta med digitala certifikat (de är byggda på basis av kryptografi med publik nyckel), vilket gör att de kan verifiera uppringare.

Verifieringsproceduren kommer att fortsätta enligt följande. Först får operatören för den person som ringer en förfrågan SIP BJUD IN för att upprätta en anslutning. Leverantörens autentiseringstjänst kontrollerar information om samtalet - plats, organisation, data om uppringarens enhet. Baserat på resultaten av verifieringen tilldelas samtalet en av tre kategorier: A - all information om den som ringer är känd, B - organisationen och platsen är kända och C - endast abonnentens geografiska plats är känd.

Efter detta lägger operatören till ett meddelande med en tidsstämpel, samtalskategori och en länk till det elektroniska certifikatet till INVITE-förfrågningshuvudet. Här är ett exempel på ett sådant meddelande från GitHub-förrådet en av de amerikanska telekombolagen:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Därefter går begäran till den uppringda abonnentens leverantör. Den andra operatören dekrypterar meddelandet med den publika nyckeln, jämför innehållet med SIP INVITE och verifierar certifikatets äkthet. Först efter detta upprättas en förbindelse mellan abonnenterna och den "mottagande" parten får ett meddelande om vem som ringer honom.

Hela verifieringsprocessen kan avbildas i följande diagram:

Enligt experter, verifiering av den som ringer ska ta inte mer än 100 millisekunder.

yttranden

hur noterade på USTelecom Association kommer SHAKEN/STIR att ge människor mer kontroll över de samtal de tar emot - vilket gör det lättare för dem att bestämma sig för om de ska lyfta luren.

Läs på vår blogg:

• Botnet "spam" via routrar: vad du behöver veta
• DDOS och 5G: tjockare "rör" betyder fler problem

Men det råder konsensus i branschen om att protokollet inte kommer att vara en silverkula. Experter säger att bedragare helt enkelt kommer att använda lösningar. Spammare kommer att kunna registrera en "dummy" PBX i operatörens nätverk i en organisations namn och ringa alla samtal via den. Om telefonväxeln är blockerad kommer det att vara möjligt att helt enkelt omregistrera den.

På enligt representant för en av telekomföretagen räcker det inte med enkel abonnentverifiering med certifikat. För att stoppa bedragare och spammare måste du tillåta leverantörer att automatiskt blockera sådana samtal. Men för att göra detta måste kommunikationskommissionen utveckla en ny uppsättning regler som kommer att reglera denna process. Och FCC kan ta upp denna fråga inom en snar framtid.

Sedan början av året, kongressledamöter överväger ett nytt lagförslag som kommer att tvinga kommissionen att utveckla mekanismer för att skydda medborgare från robocall och övervaka implementeringen av SHAKEN/STIR-standarden.

/flickr/ Jack Sem / CC BY

Det är värt att notera att SHAKEN/STIR genomförs på T-Mobile - för vissa smartphonemodeller och planer på att utöka utbudet av enheter som stöds - och verizon — dess operatörsklienter kan ladda ner en speciell applikation som varnar för samtal från misstänkta nummer. Andra amerikanska operatörer testar fortfarande tekniken. De förväntas slutföra testerna i slutet av 2019.

Vad mer att läsa i vår blogg om Habré:

• Kampen om nätneutralitet är en chans för en comeback
• Situation: Japan kan begränsa nedladdning av innehåll från nätverket - vi förstår och diskuterar
• Den nya standarden baserad på PCIe 5.0 kommer att "länka" CPU och GPU - vad som är känt om det

Källa: will.com