У США набирає обертів технологія аутентифікації абонентів протокол SHAKEN/STIR. Поговоримо про принципи його роботи та потенційні складності впровадження.
/Flickr/ /
Проблема із дзвінками
Небажані робо-дзвінки - це найпоширеніша причина скарг у споживачів до Федеральної торгової комісії США. У 2016 році організація , за рік ця цифра перевалила за сім мільйонів.
Такі спам-дзвінки забирають у людей не лише час. Сервіси автоматичного обдзвону використовуються для здирництва грошей. За даними YouMail, у вересні минулого року 40% із чотирьох мільярдів робо-дзвінків . За літо 2018 року жителі Нью-Йорка втратили близько трьох мільйонів доларів на переказах злочинцям, які дзвонили їм від влади і вимагали гроші.
На проблему звернули увагу до Федеральної комісії зі зв'язку США (FCC). Представники організації , в якому вимагали від телекомунікаційних компаній впровадити рішення для боротьби з телефонним спамом Цим рішенням став протокол SHAKEN/STIR. У березні спільне його тестування AT&T та Comcast.
Як влаштований протокол SHAKEN/STIR
Оператори зв'язку будуть працювати з цифровими сертифікатами (вони будуються на базі криптографії з відкритим ключем), які дозволять верифікувати тих, хто телефонує.
Процедура верифікації відбуватиметься в такий спосіб. Спочатку оператор людини, яка здійснює дзвінок, отримує запит. INVITE для встановлення з'єднання. Сервіс аутентифікації провайдера перевіряє інформацію про виклик - місце розташування, організацію, дані про пристрій телефонуючого. За результатами перевірки дзвінку присвоюється одна з трьох категорій: A - відома вся інформація про дзвонить, B - відома організація та місцезнаходження, і C - відомо лише географічне положення абонента.
Після цього оператор додає до заголовка запиту INVITE повідомлення з тимчасовою позначкою, категорією дзвінка та посиланням на електронний сертифікат. Ось приклад такого повідомлення одного з американських телекомів:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
Далі, запит потрапляє до провайдера абонента. Другий оператор розшифровує повідомлення за допомогою публічного ключа, порівнює вміст із SIP INVITE та перевіряє справжність сертифіката. Тільки після цього встановлюється з'єднання між абонентами, і сторона, що «приймає», отримує оповіщення про те, хто йому дзвонить.
Весь процес перевірки можна зобразити схемою:
За словами експертів, верифікація телефонуючого не більше 100 мілісекунд.
Думки
Як в асоціації USTelecom, SHAKEN/STIR дасть людям більше контролю за дзвінками, які вони отримують – їм стане легше вирішити, чи варто піднімати слухавку.
Читайте у нашому блозі:
Але в індустрії є думка, що протокол не стане срібною кулею. Експерти кажуть, що шахраї просто скористаються обхідними шляхами. Спамери зможуть зареєструвати в мережі оператора «підставну» АТС на ім'я будь-якої організації та проводити всі дзвінки через неї. У разі блокування АТС можна буде просто перереєструвати.
За представника одного з телекому, простої верифікації абонента за допомогою сертифікатів недостатньо. Щоб зупинити шахраїв та спамерів, необхідно дозволити провайдерам автоматично блокувати такі дзвінки. Але для цього Комісії зі зв'язку доведеться розробити нове зведення правил, яке дозволить регулювати цей процес. І цим питанням у FCC можуть зайнятися вже найближчим часом.
З початку року конгресмени новий законопроект, який зобов'яже Комісію розробити механізми захисту громадян від робо-дзвінків та простежити за реалізацією стандарту SHAKEN/STIR.
/Flickr/ /
Варто зазначити, що SHAKEN/STIR у T-Mobile — для деяких моделей смартфонів і планують розширити низку підтримуваних пристроїв — і — його клієнти оператора можуть завантажити спеціальний додаток, який попереджатиме про дзвінки з підозрілих номерів. Інші американські оператори ще лише тестують технологію. Очікується, що вони закінчать випробування до кінця 2019 року.
Що ще почитати в нашому блозі на Хабрі:
Джерело: habr.com