В США набирает обороты технология аутентификации абонентов — протокол SHAKEN/STIR. Поговорим о принципах его работы и потенциальных сложностях внедрения.
/ Flickr / Mark Fischer / CC BY-SA
Нежелательные робо-звонки — это самая распространенная причина жалоб в потребителей в Федеральную торговую комиссию США. В 2016 году организация зафиксировала пять миллионов обращений, через год эта цифра перевалила за семь миллионов.
Такие спам-звонки отнимают у людей не только время. Сервисы автоматического обзвона используются для вымогательства денег. По данным YouMail, в сентябре прошлого года 40% из четырех миллиардов робо-звонков были совершены мошенниками. За лето 2018 года жители Нью-Йорка потеряли около трех миллионов долларов на переводах преступникам, которые звонили им от лица властей и вымогали деньги.
На проблему обратили внимание в Федеральной комиссии по связи США (FCC). Представители организации выступили с заявлением, в котором потребовали от телекоммуникационных компаний внедрить решение для борьбы с телефонным спамом. Этим решением стал протокол SHAKEN/STIR. В марте совместные его тестирование провели AT&T и Comcast.
Операторы связи будут работать с цифровыми сертификатами (они строятся на базе криптографии с открытым ключом), которые позволят верифицировать звонящих.
Процедура верификации будет происходить следующим образом. Сперва оператор человека, совершающего звонок, получает запрос SIP INVITE для установки соединения. Сервис аутентификации провайдера проверяет информацию о вызове — местоположение, организацию, данные об устройстве звонящего. По результатам проверки звонку присваивается одна из трех категорий: A — известная вся информация о звонящем, B — известна организация и местоположение, и C — известно лишь географическое положение абонента.
После этого оператор добавляет в заголовок запроса INVITE сообщение с временной отметкой, категорией звонка и ссылкой на электронный сертификат. Вот пример такого сообщения из GitHub-репозитория одного из американских телекомов:
Далее, запрос попадает к провайдеру вызываемого абонента. Второй оператор расшифровывает сообщение с помощью публичного ключа, сравнивает содержимое с SIP INVITE и проверяет подлинность сертификата. Только после этого устанавливается соединение между абонентами, и «принимающая» сторона получает оповещение о том, кто ему звонит.
Весь процесс проверки можно изобразить схемой:
По словам экспертов, верификация звонящего займёт не больше 100 миллисекунд.
Как отметили в ассоциации USTelecom, SHAKEN/STIR даст людям больше контроля за звонками, которые они получают — им станет легче решить, стоит ли поднимать трубку.
Но в индустрии есть мнение, что протокол не станет «серебряной пулей». Эксперты говорят, что мошенники просто воспользуются обходными путями. Спамеры смогут зарегистрировать в сети оператора «подставную» АТС на имя какой-либо организации и проводить все звонки через неё. В случае блокировки АТС можно будет попросту перерегистрировать.
По словам представителя одного из телекомов, простой верификации абонента с помощью сертификатов недостаточно. Чтобы остановить мошенников и спамеров, необходимо разрешить провайдерам автоматически блокировать такие звонки. Но для этого Комиссии по связи придётся разработать новый свод правил, который позволит регулировать этот процесс. И этим вопросом в FCC могут заняться уже в ближайшее время.
С начала года конгрессмены рассматривают новый законопроект, который обяжет Комиссию разработать механизмы защиты граждан от робо-звонков и проследить за реализацией стандарта SHAKEN/STIR.
/ Flickr / Jack Sem / CC BY
Стоит отметить, что SHAKEN/STIR реализовали в T-Mobile — для некоторых моделей смартфонов и планируют расширить ряд поддерживаемых устройств — и Verizon — его клиенты оператора могут скачать специальное приложение, которое будет предупреждать о звонках с подозрительных номеров. Другие американские операторы еще только тестируют технологию. Ожидается, что они закончат испытания до конца 2019 года.
/ Flickr / Mark Fischer / CC BY-SA
Проблема со звонками
Нежелательные робо-звонки — это самая распространенная причина жалоб в потребителей в Федеральную торговую комиссию США. В 2016 году организация зафиксировала пять миллионов обращений, через год эта цифра перевалила за семь миллионов.
Такие спам-звонки отнимают у людей не только время. Сервисы автоматического обзвона используются для вымогательства денег. По данным YouMail, в сентябре прошлого года 40% из четырех миллиардов робо-звонков были совершены мошенниками. За лето 2018 года жители Нью-Йорка потеряли около трех миллионов долларов на переводах преступникам, которые звонили им от лица властей и вымогали деньги.
На проблему обратили внимание в Федеральной комиссии по связи США (FCC). Представители организации выступили с заявлением, в котором потребовали от телекоммуникационных компаний внедрить решение для борьбы с телефонным спамом. Этим решением стал протокол SHAKEN/STIR. В марте совместные его тестирование провели AT&T и Comcast.
Как устроен протокол SHAKEN/STIR
Операторы связи будут работать с цифровыми сертификатами (они строятся на базе криптографии с открытым ключом), которые позволят верифицировать звонящих.
Процедура верификации будет происходить следующим образом. Сперва оператор человека, совершающего звонок, получает запрос SIP INVITE для установки соединения. Сервис аутентификации провайдера проверяет информацию о вызове — местоположение, организацию, данные об устройстве звонящего. По результатам проверки звонку присваивается одна из трех категорий: A — известная вся информация о звонящем, B — известна организация и местоположение, и C — известно лишь географическое положение абонента.
После этого оператор добавляет в заголовок запроса INVITE сообщение с временной отметкой, категорией звонка и ссылкой на электронный сертификат. Вот пример такого сообщения из GitHub-репозитория одного из американских телекомов:
{
"alg": "ES256",
"ppt": "shaken",
"typ": "passport",
"x5u": "https://cert-auth.poc.sys.net/example.cer"
}
{
"attest": "A",
"dest": {
"tn": [
"1215345567"
]
},
"iat": 1504282247,
"orig": {
"tn": "12154567894"
},
"origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}
Далее, запрос попадает к провайдеру вызываемого абонента. Второй оператор расшифровывает сообщение с помощью публичного ключа, сравнивает содержимое с SIP INVITE и проверяет подлинность сертификата. Только после этого устанавливается соединение между абонентами, и «принимающая» сторона получает оповещение о том, кто ему звонит.
Весь процесс проверки можно изобразить схемой:
По словам экспертов, верификация звонящего займёт не больше 100 миллисекунд.
Мнения
Как отметили в ассоциации USTelecom, SHAKEN/STIR даст людям больше контроля за звонками, которые они получают — им станет легче решить, стоит ли поднимать трубку.
Читайте в нашем блоге:
- Ботнет «спамит» через роутеры: что нужно знать
- DDOS и 5G: толще «труба» — больше проблем
Но в индустрии есть мнение, что протокол не станет «серебряной пулей». Эксперты говорят, что мошенники просто воспользуются обходными путями. Спамеры смогут зарегистрировать в сети оператора «подставную» АТС на имя какой-либо организации и проводить все звонки через неё. В случае блокировки АТС можно будет попросту перерегистрировать.
По словам представителя одного из телекомов, простой верификации абонента с помощью сертификатов недостаточно. Чтобы остановить мошенников и спамеров, необходимо разрешить провайдерам автоматически блокировать такие звонки. Но для этого Комиссии по связи придётся разработать новый свод правил, который позволит регулировать этот процесс. И этим вопросом в FCC могут заняться уже в ближайшее время.
С начала года конгрессмены рассматривают новый законопроект, который обяжет Комиссию разработать механизмы защиты граждан от робо-звонков и проследить за реализацией стандарта SHAKEN/STIR.
/ Flickr / Jack Sem / CC BY
Стоит отметить, что SHAKEN/STIR реализовали в T-Mobile — для некоторых моделей смартфонов и планируют расширить ряд поддерживаемых устройств — и Verizon — его клиенты оператора могут скачать специальное приложение, которое будет предупреждать о звонках с подозрительных номеров. Другие американские операторы еще только тестируют технологию. Ожидается, что они закончат испытания до конца 2019 года.
Что еще почитать в нашем блоге на Хабре:
- Битва за сетевой нейтралитет — шанс на возвращение
- Ситуация: Япония может ограничить скачивание контента из сети — разбираемся и обсуждаем
- Новый стандарт на базе PCIe 5.0 «свяжет» CPU и GPU — что о нем известно
