Efter V2-historier: Myndighed indkalder Teleindustrien til møde om spoofing

27. juli 2020 kl. 02:5156
Efter V2-historier: Myndighed indkalder Teleindustrien til møde om spoofing
Illustration: Blagoy Nikolaev.
Spoofing kan bruges af kriminelle til at svindle folk ved at ringe eller skrive fra et hvilket som helst dansk nummer, men løsningerne lader vente på sig. Myndigheden på området, Energistyrelsen, har indtil videre valgt ikke at stille nogle tekniske krav til telebranchen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ingen kan stole på de afsendernumre, vi ser på vores telefoner. Hverken når det er mor, lægen, bankrådgiveren eller chefen, der ringer eller skriver.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
56 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
56
12. august 2020 kl. 18:28

Men her er vi, 20 år senere,.og branchen himler op og siger det er er nær umuligt. Jeg har derfor ingen tillid til at branchen taler sandt.

Jeg plejer bestemt ikke at lægge fingre imellem når det gælder kritik af telebranchen - det kan du finde masser af eksemplper på gennem de sidste 20-25 år.

I netop denne sag mener jeg dog at branchen faktisk både annerkender problemet og på sin vis også prøver at gøre noget ved det - selv om det er svært.

Når det er så umanerligt vanskeligt at gøre noget ved SS7, er det fordi men i stedet for at arbejde sig væk fra standarden, reelt er kommet til at vikle den ind i mobilsystemerne og dermed bygge avancerede funktioner oven på et faldefærdigt skellet.

I historisk lys er det selvfølgelig en rigtig dårlig løsning, men den er kommet fordi man hele tiden har været nødt til at rette sig ind efter flertaller og de beslutninger som er taget i bl.a. ITU.

Jeg ved, at vestlige teleselskaber i mange år har gjort opmærksom på det uhensigtsmææige i bl.a. SS7, uden at der rigtig er tager initiativer internationalt.

Det hævner sig nu - og nu er det måske så sent, at det er bedre, hurtigere og lettere at droppe hele det traditionelle switchede telefonsystem, til fordel for VoLTE, VoIP... osv. Om den vej så er farbar må tiden vise.

55
12. august 2020 kl. 18:08

Tak Torben. Da DMTF over SIP osv virkede for mig for 20 år siden med software og udstyr til nogle få hundrede kr så kunne teleselskaberne nok også få det til at virke for 20 år siden. Samtidig sendes næsten al telefoni mig bekendt i dag over fiber til centralen ikke via kobber. Så min konklusion er at når jeg kunne så kunne teleselskaberne nok også have startet migrering væk fra SS7 og dermed på sigt løsning på SPOOFING-problemet. Men her er vi, 20 år senere,.og branchen himler op og siger det er er nær umuligt. Jeg har derfor ingen tillid til at branchen taler sandt. Og personligt mener jeg at teknologi-selskaber der bekæmper innovation og forbedringer ikke er eksistensberettigede.

54
12. august 2020 kl. 12:08

Torben,du snakker uden om og forholder dig ikke til mit løsningsforslag så jeg prøver igen: hvorfor er det ikke muligt at sende Ss7 over SIP?

Det kan man sagtens - Der findes en fuld implementering af SS7 som kører på IP. Intet problem.

Hvorfor er det ikke muligt for et teleselskab at have to modtagende anlæg (alm Ss7 som stripper alle A-numre) samt et sikkert trusted anlæg (SIP, virtualiseret Ss7 eller lign)? Hvorfor?

Du kan sagtens have to. Du kan også splitte dem i SS7 på IP og SS7 på "gammel" protokol. Intet problem. Og ja - du kan også sagtens strippe A-nummeret på de opkald der kommer på "gamle" SS7 forbindelser.

Udfordringer:

  1. Idag kommer 90% af alle voice opkald via "gammel" SS7. IP løsningen virker først når selskaberne skifter til "ny" SS7. Det varer nok noget tid før det sker.

  2. Kan man leve med at A-nummeret strippes i ventetiden?

  3. Hvordan sikrer man sig, at "bandit"-teleselskaberne ikke blot svindler med STIR?

Det er med de udfordringer teleselskaberne forsøger at finde en eller flere overgangsløsninger, som kan fjerne spoofing, uden at man skal vente på at alle kommer over på en ny SS7 platform.

SS7 platformen er død - både i "gammel" og i "ny" udgave, og migreringsvejen er ikke at lægge hele SS7 over i IP, men derimod at bygge videre på VoLTE, VoIP, og IPv6 som i dag bruges i både 4G og 5G.

53
12. august 2020 kl. 11:42

Torben,du snakker uden om og forholder dig ikke til mit løsningsforslag så jeg prøver igen: hvorfor er det ikke muligt at sende Ss7 over SIP? Kan SIP ikke klare tonekoder (DMTF)? Hvorfor er det ikke muligt for et teleselskab at have to modtagende anlæg (alm Ss7 som stripper alle A-numre) samt et sikkert trusted anlæg (SIP, virtualiseret Ss7 eller lign)? Hvorfor?

Hvis man kan have 1 telefoncentral kan man vel også have to, på hvert sig net/netværksteknologi/protokol?

Hvorfor vil branchen kun finde problemer, ikke løsninger? Her 30 år efter Tele Danmark to 20kr/måneden for Vis Nummer kører de stadig på radiorør?

52
12. august 2020 kl. 11:28

Jeg vil tillade mig at være uvidende tvivler. Der er som regel mange måder at løse it-udfordringer på.

Spoofing i telesystemer er ikke kun en it-udfordring. Det er i meget højere grad et spørgsmål om at få fjernet nogle af de gamle systemer som stadig har adgang til telenettene på en usikker måde.

I it-verdenen løser man det ved at fjerne de pågældende protokoller - lukke portene - og så løser resten sig selv.

I SS7 verdenen taler vi om protokoller som er så gamle, at de kører på telefonlinjer, signalerer ved hjælp af DTMF tonekoder (som på de gamle trykknap telefoner), og som distribueres i et netværk som ikke er i stand til at route på andet end netværksniveau (der er intet transport-, sessions- eller applikationslag, ingen IP adresser, ingen porte, nærmest ingenting andet end toner på parsnoet kobber).

Og endnu værre: Hvis du fjerner SS7 stopper al voicetelefoni over offentlige telefonnumre, dvs. hele verdens fastnet og hele mobilnettet over alt. De økonomiske konsekvenser af det er helt umulige at have med at gøre.

Derfor skal løsningen findes ved et tilføje metoder til SS7 som dels sikrer at telefontrafikken fortsætter som hidtil, som fungerer over hele jordkolden, og som kan identificere og udelukke spoofede numre. Man kan sagtens finde på masser af løsninger som vil fungere teknisk - det er egentlig ikke der problemet ligger.

Derimod er det nærmest umuligt at få noget til at virke, hvis ikke dem der skal bruge det ønsker at implementere det. Derfor skal løsningen kunne fungere uden at den hænger sammen med en forpligtelse fra "bandit"-selskaberne. Det er det der er udfordringen.

51
12. august 2020 kl. 11:10

STIR/SHAKEN er den eneste løsning hvis man vil undgå at skulle lave individuelle nationale løsninger.

Jeg vil tillade mig at være uvidende tvivler. Der er som regel mange måder at løse it-udfordringer på.

Og det tager tid - så lang tid at de alternative voice platforme måske når at tage over inden man bliver færdig.

Det er simpelthen mangel på rettidig omhu fra telebranchen! Jeg fik VoIP/SIP for over 20 år siden, telnet osv. er udfaset, og alligevel roder telebranchen rundt i en teknologisk stenalder og modsætter sig alle moderniseringer med argumenter om besvær og umuligheder og resurseforbrug. Branchen er helt klar uvillig til at løse problemerne af sig selv før de bliver tvunget!

50
12. august 2020 kl. 11:00

Er det virkelig så umuligt og besværligt?

Der tegner sig et billede af, at man måske vil følge USA i implementeringen af STIR/SHAKEN metoden ( se: https://en.wikipedia.org/wiki/STIR/SHAKEN )

STIR er kort fortalt, at man kræver et godkendt certifikat for alle opkoblede SIP klienter. Det vil løse problemet for spoofede opkald som kommer via Internettet.

SHAKEN bruges på SS7 - som er langt hovedparten af opkald, da alle mobilkald (også) kører via SS7. Tanken er at man skal sætte yderligere information ind i Call ID feltet i SS7 (f.eks. et CNAME). SHAKEN er dog langt fra gjort færdig, og der er mange løse ender.

Noget af det man slås med er, hvordan man skal håndtere opkald fra selskaber og lande som ikke (vil) implementere(r) STIR/SHAKEN. Skal man droppe opkaldene, skal man straffe eller udelukke, eller skal man fjerne A-nummeret, men lade kaldet gå igennem. Og hvad betyder det for de legale tjenester som rent faktisk godt må bruge andre A-numre end dem der er tildelt. Og hvodans sikre man sig, at en sådan tildeling ikke falder i hænderne på "banditter" (dvs. at man reelt blot flytter problemet fra at være et signaleringsproblem, til et identitetsproblem).

STIR/SHAKEN er den eneste løsning hvis man vil undgå at skulle lave individuelle nationale løsninger. Og det tager tid - så lang tid at de alternative voice platforme måske når at tage over inden man bliver færdig.

49
12. august 2020 kl. 10:41

Jegg aner intet om ss7. men burde det ikke være muligt at virtualisere ss7-anlæg så de kun kan tilgås ved at indkapsle trafikken i en form for vpn/ssl? På den måde kan man sikre at man kan logge forbindelsen og dermed senere kan spore opkaldets afsender-ip. man kan så lave en whitelist og en blacklist. Ved whilelist tillades alle -a-nummer-overskrivninger og blacklistede afsendere afvises selvfølgelig helt. Ukendte afsender (ikke white/black) får strippet a-nummer helt (ulendt nummer).

Virtualisering+vpn er jo en klassisk standardløsning når man har et gammelt usikker legacy-system som man ikke lige ved hvad man skal gøre ved.

Er det virkelig så umuligt og besværligt?

47
12. august 2020 kl. 10:28

Det er derfor fuldstændig naivt at tro at banker og telefonsselskaber af egen drift vil bruge millioner på at sikre sig mod svindel - hvis de ikke får nogen problemer ud af svindlen!

Jeg kan godt følge dit argument og sammenligningen med banker. Der er dog den forskel, at hvis telekunder bliver tilstrækkelig generet af spoofing, kan de flytte til en anden platform, f.eks. Teams, Telegram, Signal, osv. hvor spoofing ikke er mulig.

Det ved teleselskaberne godt, og derfor prøver de af egen drift at finde løsninger. Indtjeningen på taleopkald gennem SS7 er trods alt mange mange gange større end på lokal bredbåndsleverance.

Danske teleselskaber tager det meget alvorligt med misbrug af SS7. En broddent kar blandt danske teleselskabers kunder, vil ikke være i stand til at spoofe uden at blive opdaget. Men alverdens teleselskaber har meget få / ingen muligheder for at gribe ind overfor udenlandske selskaber, og derfor skal der udvikles specielle løsninger nationalt. Om frygten for at maste tale-kunder så er stor nok til at drive den udvikling igennem må tiden vise.

I mellemtiden kunne man jo så håbe på, at de mest udsatte for spoofing (banker, forsikringsselskaber og offentlige myndigheder), ville oprette kantaktmuligheder baseret på de andre platforme.

46
12. august 2020 kl. 10:22

Det er det der er problemet i SS7. Når først opkaldet er sendt af sted, mistes al rutningsinformation, inklusiv information om afgivende teleselskab. Protokollen er 30-40 år gammel,

i mange år brugte man også telnet, men de fleste har da indset at det er håbløst usikkert. Hvis ikke teleindustrien selv ønsker at følge med tiden så må myndighederne jo pålægge dem at lave sikre løsninger. At det er dyrt og besværligt har ikke forhindret myndighederne i at indføre GDPR, krav til hvidvaskkontrol og meget andet som er sikkerhed som er i samfundets interesse,ikke i virksomhedernes.

45
12. august 2020 kl. 10:10

Problemet er at der er negativ business case at beskytte imod spoofing. Fuldstændig ligesom bankernes hvidvaskkontrol er det bare besvær og udgifter at sikre sig mod svindlere - faktisk kan man tjene flere penge ved at droppe kontrollen, for det giver kunder som ønsker detre - sådan som Dansk Bank Estland tydeligt har illustreret. Det er derfor fuldstændig naivt at tro at banker og telefonsselskaber af egen drift vil bruge millioner på at sikre sig mod svindel - hvis de ikke får nogen problemer ud af svindlen! Det er derfor der er kommet strenge lovkrav til bankerne. Men teleselskaberne har i årtier lullet tilsynet og lovgoverne i søvn...

44
30. juli 2020 kl. 09:07

Man behøver ikke løse problemet for hele verden. Danske teleselskaber kan sige at de kun viser A-numre fra kilder som garanterer at det er rigtigt. Hvis teleselskab A modtager kald fra 10 kilder og 8 af dem er "suspekte" så leveres ikke A-nummer for de 8 kilder. Det betyder ikke noget hvor kaldet oprindeligt kom fra - kun om teleselskabets umiddelbare kilde kan garantere at det er rigtigt.

Danske teleselskaber undersøger muligheden for en løsning som muligvis kan netop det - godt nok implementeret på en noget anden måde, da man ikke har kilde information med i opkaldsinformationen. Ved hjælp af forskellige informationer som ligger uden for signaleringen (SS7) kan man muligvis checke sandsynligheden for at A-nummeret kan være spoofet, og dermed enten droppe kaldet eller fjerne A-nummeret, eller erstatte det med 99999999 - eller hvad man nu kan finde på.

I den løsning er det ligegyldigt hvor kaldet kommer fra, blot man kan skelne mellem om det er indenlandsk eller ej, og dermed dækker løsningen opkald fra hele verden, hvilket jo er nødvendigt for at det fungerer pålideligt.

Om det kan lade sig gøre, og med hvor stor sandsynlighed løsningen kan laves, må tiden vise. Hvis man så samtidig for de virksomheder som lider mest under spoofing (banker, off. myndigheder) til at opfordre kunderne til at ringe tilbage eller kontakte via en app, så begynder det at lysne.

43
30. juli 2020 kl. 00:21

Den eneste effektive og 100% sikre løsning er, at man internationalt beslutter sig for at afbryde de internationale teleforbindelser til teleselskaber som ikke checker afgående A-numre. Det vil løse problemet, men efterlader en masse spørgsmål:

Man behøver ikke løse problemet for hele verden. Danske teleselskaber kan sige at de kun viser A-numre fra kilder som garanterer at det er rigtigt. Hvis teleselskab A modtager kald fra 10 kilder og 8 af dem er "suspekte" så leveres ikke A-nummer for de 8 kilder. Det betyder ikke noget hvor kaldet oprindeligt kom fra - kun om teleselskabets umiddelbare kilde kan garantere at det er rigtigt.

Jeg vil hellere have et A-nummer som er garanteret korrekt når det er der end et som man ingen tillid kan have til. Alternativt kan man "modificere" A-numre fra suspekte kilder ved at prefikse nummeret med noget let-genkendeligt.

Jeg stoler af naturlige grunde mere på et kald fra et dansk teleselskab (fordi det er underlagt dansk lov) end et fra Bulgurien. Der er ingen grund til at behandle alle teleselskaber på kloden ens.

42
29. juli 2020 kl. 11:45

Jeg accepterer ikke rigspolitiets fortolkning, hvorefter identitetstyveri kun er strafbart, hvis det bevisligt anvendes med kriminel hensigt.

Hermed Rigspolitiets svar på min anmeldelse. Svaret betyder, at Spoofing i sig selv ikke anses for at være ulovlig identitetstyveri af politiet.

"Afgørelse i sagen, hvor du har anmeldt forsøg på bedrageri.

Jeg skriver til dig for at oplyse dig om, at LCIK har besluttet ikke at indlede en efterforskning sagen, hvor du den 6. januar 2020 indgav anmeldelse om, at du mistænkte dit telefonnummer xxxxxxx anvendt til spoofing og derved forsøgt anvendt i bedragerisk henseende ved, at forsøge at få andre personer til at udlevere personlige oplysninger.

Baggrunden for vores beslutning: Vi vurderer, at der ikke er en rimelig formodning om, at der er begået noget strafbart. Derfor har vi besluttet ikke at indlede efterforskning i sagen.

Vi har lagt vægt på, at uberettiget brug af andres oplysninger – i dette tilfælde dit telefonnummer – som udgangspunkt ikke er strafbart med mindre anvendelsen er foretaget i forbindelse med andre strafbare lovovertrædelser, herunder bedrageri.

Du har ikke selv haft et økonomisk tab i forbindelse med spoofingen, og du har ikke kendskab til, hvem der er blevet kontaktet.

Ved søgning i politiets registre er der ikke konstateret anmeldelser, hvor dit telefonnummer xxxxxxxx fremgår som misbrugt til en strafbar handling. Da der således ikke er oplysninger om, at der er begået strafbare forhold, findes der ikke grundlag for at indlede en efterforskning.

Såfremt nogen konstaterer at de har været udsat for et strafbart forhold, så er det vores erfaring, at sådanne forhold vil blive anmeldt til politiet.

Hvis du har brug for at få forklaret afgørelsen nærmere eller har spørgsmål, er du velkommen til at kontakte mig på

xxxx@politi.dk. Dette er lovgrundlaget • Sagen handler om straffelovens kap. 28 jf. § 21 (forsøg på bedrageri) . • Vi har afgjort sagen efter reglerne i retsplejelovens § 749, stk. 1, der handler om, at der ikke er grundlag for at indlede efterforskning.

Hvis du har et erstatningskrav Selvom der ikke bliver nogen straffesag, kan du have et erstatningskrav f.eks. for ødelagte ting, tøj eller for tabt arbejdsfortjeneste.

Du kan kontakte dit forsikringsselskab og høre, om de dækker dit erstatningskrav.

Du har mulighed for at klage over vores afgørelse. Hvis du vælger at klage, skal du sende klagen hertil eller til Statsadvokaten i København, Kampmannsgade 1, 1604 København V.

Du kan også sende klagen via e-Boks til Statsadvokaten i København (du kan finde adressaten i e-Boks under Myndighed/Stat/Rigspolitiet). "

41
29. juli 2020 kl. 11:18

Jeg vil mene at, hvis man virkelig ville løse det her problem, så kunne man med en gruppe af kompetente mennesker skabe en løsning der sikre danske numre i Danmark fra at blive spoofet ude fra.

Fuldstændig enig.

Man kan forestille sig mange løsninger, hvis man tænker lidt ud af boksen. F.eks. en anmeldelsesordning, der automatisk og straks medfører en eller anden form for kontrol eller screening af kald med det anmeldte nummer osv.

Men det skal samtidigt også være tydeligt, at det er strafbart at påtage sig en andens identitet ved at bruge deres nummer.

Jeg accepterer ikke rigspolitiets fortolkning, hvorefter identitetstyveri kun er strafbart, hvis det bevisligt anvendes med kriminel hensigt.

Det er for slapt.

40
28. juli 2020 kl. 23:57

Hvordan ser man at de kommer fra en udenlandsk udbyder?

Det ved jeg ikke praktisk noget om og har ikke tid til at læse alt om SS7 til at indgående forstå, hvordan der bliver termineret kald imellem lande. Det må teleselskaberne løse. Men jeg antager at trafikken med telefonsamtaler fra udlandet bliver termineret et eller flere steder hos hhv. TDC, Telia, Telenor, 3 etc. Disse steder må man inplementere en ny (lad os kalde den SS7+) som vi kommunikere internt i Danmark, udadtil kan vi kommunikere SS7. For SS7 i sig selv kommer ikke til at løse det her problem, der skal mere til.

Men buttomline er ikke, hvordan det i praksis bliver løst. Det er teleselskaberne sammen med producenterne af udstyret der terminere samtalerne i Danmark, der skal løse det.

Jeg vil mene at, hvis man virkelig ville løse det her problem, så kunne man med en gruppe af kompetente mennesker skabe en løsning der sikre danske numre i Danmark fra at blive spoofet ude fra.

Men det bliver ikke løst, da der ikke er nogen bussines case. Det handler ikke OM det er teknisk muligt at skabe en løsning, men den manglende bussines case.

Som teleselskab, så er der ikke nogen økonimisk gevindst, ved at løse det.

  • Der er ingen kunder der betaler nok penge og samtidig efterspørge det, til at der er gevindst i det.
  • Der er ikke noget tab ved at lade stå til.
  • De lider ikke noget imagetab ved at lade stå til.
  • De får ikke nogen sanktiner fra myndighederne for at lade stå til.

Derfor skubber de ikke på hos producenter for at komme med en løsning, hvorfor skulle de? Der har ikke været nogen bussines case for dem de sidste 14 år, hvorfor så nu?

38
28. juli 2020 kl. 19:26

Grunden til at man ikke har løst det er, at de teknologiske muligheder ikke er til stede i SS7. Dedikerede linjer til hvert eneste af verdens over 25.000 teleselskaber er selvfølgelig ikke teknisk muligt, og giver ikke mening.

Det er som om at du kun vil se en total løsning. Start nu i DK. Jeg forstår begrænsningerne i SS7. Hvem snakker om at der skal være forbindelse til alle udbydere i verdenen, vi skal blot tjekke ved kald der kommer ind i landet. Det er de danske udbyderes problem at finde en intern løsning på det problem, for ja der er nogle af disse udbydere, som spender over flere lande, men det er så deres problem at løse ud over SS7. Encapsuler SS7 i et nyt pakkeformat internt i deres net. Det kan man med andre systemer, så kan man også godt finde ud af det her. Det er blot et spørgsmål om vilje.

Det er jo ligemeget med resten af verdene.

Vedtag en liste ovre sikrede danske numre, banker, offentlige myndigheder etc, disse opkald kan ikke komme fra udelandske udbydere.

Kommer der sådan et opkald fra en udenlandsk udbyder, så bliver a-nummeret fjernet fra det opkald der stilles igennem og modtageren af opkaldet ser det som ukendt nummer. Ja, det betyder så at banker ikke kan have folk siddende i udlandet og ringe til en dansker med et a-nummer, der vil stå ukendt nummer og modtageren kan tage sine forholdsregler.

Er det en alm dansker der er på ferie i udlandet og ringer hjem, så kommer nummeret med, da de ikke står på nogen liste.

37
28. juli 2020 kl. 16:35

Den enste grund til at man ikke har løst det = ingen straf for at lade det ske

Grunden til at man ikke har løst det er, at de teknologiske muligheder ikke er til stede i SS7. Dedikerede linjer til hvert eneste af verdens over 25.000 teleselskaber er selvfølgelig ikke teknisk muligt, og giver ikke mening.

Og straf for at viderebringe andre teleselskabers spoofede numer vil nok kun have den effekt, at teleselskaberne fjerner alle A-numre. Så er problemet "løst" - eller erstattet af et andet.

Straf for andres forbrydelser er jo ellers et interessant emne. Men det hjælper sjældent på forbryderen.

36
28. juli 2020 kl. 16:03

Men sådan er det ikke med SS7. Ihvertfald ikke den user part (DUP), som jeg var med til at udvikle i sin tid.

DUP benyttes ikke længere i SS7. ISUP (ISDN User Part) også kaldte Q761-7 - Kan hentes hos ITU her: https://www.itu.int/rec/dologin_pub.asp?lang=e&id=T-REC-Q.761-198811-S!!PDF-E&type=items har erstattet DUP.

Og nej, ISUP indeholder IKKE kilde information, men bruges til at overføre særlige kald egenskaber som viderestilling, blokering, lukket brugergruppe, og direkte indringning.

Brugeren kan også udnytte ISUP til selv at sætte en user-til-user signalering op. Og det vil selvfølgelig være en "løsning". Så skal vi bare have alle spoofer selskaberne til at sætte en brugerbesked i ISUP som siger "Dette opkald er spoofet". Jeg tror ikke de vil være med.

34
28. juli 2020 kl. 15:55

Den eneste måde du kan skelne er, hvis der i SS7 oprettes et dedikeret SSP (Service Switching Point) og så tvinger samtlige udenlandske teleselskaber til at sende dansk telefontrafik med SS7 signalering til dette SSP. Så kan danske IN centraler finde ud af at gøre noget ved disse opkald.

Det er så her der skal startes. Det kan godt være det er dyrt/tungt i starten, men der er så mange nye ting som er træls i starten. Der er ikke noget teknisk til hinder for at det er måde at komme det til livs på. Det kan godt være at man til at starte med ikke kan ramme helt plet, men lad det være en start i stedet for at blive ved med at undskylde, det har man gjort i 14 år - dybt useriøst.

Det er helt fint at man ikke kan med nuværende teknik, men så må man ind i kampen og gøre noget ved det. Med et strafansvar, så skal der nok komme fart over feltet i at få udviklet noget. Man kunne jo passende sætte som lovgivning at inden 31 december 202x, så skal der være en implementeret løsning i Danmark, ellers kan man ikke drive teleselskab i Danmark. Så skal selskaberne nok få producenterne til at lave noget udstyr/firmwave opdateringer der løser det her problem.

Den enste grund til at man ikke har løst det = ingen straf for at lade det ske = ingen bussines case.

33
28. juli 2020 kl. 15:30

Det var da så et (fornuftigt) sted at starte?

Bortset fra den enorme omkostning - ikke mindst administrativt - så er det ikke nok. Du skal også have alle verden teleselskaber til at være med. Mon ikke nogle af "bandit" selskaberne som tjener penge på at spoofe, takker pænt nej. Og så er vi lige vidt.

Bortfiltrering af A-nummer er en mulighed - men ulempen ved det er nok trods alt større end fordelen (jeg tænker, at antaller af legitime kald trods alt er mange størrelsesordner større end antallet af spoofede).

Men alle idéer skal selvfølgelig vendes og drejes, og derfor er en diskussion som den i tråden her rigtig værdifuld, også selv om jeg er lidt af en "djævlens advokat" når de "trykprøves".

Jeg vil ønske at der kunne laves løsninger, og jeg ved, at man tager sagen alvorligt hos danske teleselskaber, som fortsat ser på hvad der er af mulige løsninger.

32
28. juli 2020 kl. 15:28

I et SS7 net kan man ikke se hvor et opkald kommer fra - hverken indenlandske eller udenlandske.

Jeg er ikke sikker på, at det er helt rigtigt.

SS7 er ganske rigtigt en underliggende datagramtjeneste til overførsel af signalering mellem signaleringspunkter, der både har nationale og internationale adresser.

Så egenskaberne ved SS7 siger ikke så meget om selve signaleringen og de oplysninger, der kan udveksles. Det ligger i user part, der anvender SS7 til transport af protokolelementer...

Og der er ikke noget til hinder for end-to-end signaling ved brug af SS7.

I hvilket omfang det bruges i dagens user parts er mig ukendt. Men det var sammen med muligheden for ikke- viaassocieret signalering et af de grundlæggende fremskridt ved SS7 som transport til signalering. Altså den totale frigørelse fra trafikkanalerne.

Tidligere signaleringssystemer var i sagens natur viaassocieret, da trafikkanalen blev benyttet til signalering inden gennemkobling i det enkelte punkt. Så efter gennemkobling er punktet ude af signaleringen. Det kan ikke nås.

Men sådan er det ikke med SS7. Ihvertfald ikke den user part (DUP), som jeg var med til at udvikle i sin tid.

Jeg tror, at eksperterne må vurdere nulighederne - hvis vi ellers har nogen tilbage med hands-on i Danmark. Alt er jo efterhånden outsourcet til leverandører eller udenlandske teleselskaber.

31
28. juli 2020 kl. 15:10
30
28. juli 2020 kl. 13:59

Hvorfor forudsætter det det?. Når vi snakker kun indlands i første omgang. Så kan udlands komme bag efter.

I et SS7 net kan man ikke se hvor et opkald kommer fra - hverken indenlandske eller udenlandske.

Den eneste måde du kan skelne er, hvis der i SS7 oprettes et dedikeret SSP (Service Switching Point) og så tvinger samtlige udenlandske teleselskaber til at sende dansk telefontrafik med SS7 signalering til dette SSP. Så kan danske IN centraler finde ud af at gøre noget ved disse opkald.

Ellers er der intet at gøre. Der ER ikke kildeoplysninger med i SS7 - det er en protokol uden transportlag. Noderne i netværkslaget kender kun ruten mod desitnationspunktet - ikke ruten fra modtagne datagrammer. De enkelte STPer i SS7 kender end ikke DPC (Destination Point Code / adressen) på de noder der forwarder til den. SS7 er logisk set baseret på den måde de gamle mekaniske telefoncentraler fungerede. Når relæerne først var faldet i hak, så behøvede man ikke at bekymre sig om routningen. I SS7: Når først switching informationen er forwardet, behøver noderne ikke bekymre sig om forbindelsen - den opstår efterhånden som SS7 beskeden løber igennem den enkelte STP.

Indenlands trafik er ikke det store problem, og danske teleselskaber checker i et vist omfang om A-nummer overførsel misbruges her i landet.

Mere om SS7 her: https://www.patton.com/whitepapers/Intro_to_SS7_Tutorial.pdf

28
27. juli 2020 kl. 23:29

Det gørt de sikkert også, men indtil da vil man få et rent helvede med misbrug af gateways og SS7 fra områder hvor man opretholder den teknologi.

Man kunne jo på et tidspunkt, når der er nok SIP kald, blot strippe A nummeret på kald fra SS7, så de bliver anonyme.

Problemet er blot, at call centrene allerede bruger SIP og SIP baserede selskaber. Og så er der alle PBX'er med ClipSA.

Det er stadigt et stykke vej, selvom SS7 udfases.

27
27. juli 2020 kl. 21:51

Så telebranchen burde selv være interesseret i at muge ud.

Jeg er sådan set enig i @Mogens' betragtninger, men som @Kjeld (#25) skriver, så er det data og ikke taletelefoni som er interessant.

Efterhånden som alle får VoLTE (og VoIP), går færre og færre kald gennem SS7, og jeg tror selskaberne håber på at SS7 forsvinder - helst så hrutigt som muligt.

Det gørt de sikkert også, men idntil da vil man få et rent helvede med misbrug af gateatys og SS7 fra områder hvor man opretholder den teknologi.

Mit gæt er, at ITU på et tidspunkt bliver nødt til at lave en afviklingsplan for klassisk kredsløbskoblet international telefoni. En køreplan som betyder at teleselskaberne mister eksterne SS7 forbindelser, og at al international voicetrafik afvikles pakkekoblet. Først når det sker får man styr på SS7 misbruget.

24
27. juli 2020 kl. 19:28

Jeg kender flere, der kun tager telefonen, hvis det er et A-nummer, de kender.

Dermed forsvinder en afgørende kvalitet ved telefontjenesten. Og hvorfor skal man bruge den frem for IT-tjenester, hvis man alligevel kun vil i kontakt med dem, som man kender.

Så telebranchen burde selv være interesseret i at muge ud. Konkurrencen sker på lavere og lavere kvalitet. Og til sidst dør produktet. Det kendes også for andre produkter, hvor brancherne selv har en interesse i minimumsnormer.

Telebranchen tror stadig, at absolut frihed er det bedste. Men det er som sagt på sigt selvmord.

Jeg har selv en rem af huden.

En dag blev jeg ringet op på fastnet, og der stod 112 i displayet. Det må være en eller anden form for svindel, tænkte jeg. Men alligevel tog jeg den heldigvis efter en smule tøven.

Det viste sig, at det faktisk var alarmcentralen, som ønskede min bistand til et hjertestop tæt ved min bolig.

Kan man bedre illustrerer velfærdstabet ved en telefontjeneste præget af svindel?

Og selvfølgelig kan det lade sig gøre at muge ud, hvis bare man vil.

23
27. juli 2020 kl. 19:03

Jeg er sådanset ligeglad med opkald der kommer ude fra. Hvis vi holder fokus på at en godkendt liste af numre (bankernes) kun kan komme fra Danmark og givne teleselskaber, så kan alle andre danske teleselskaber droppe opkalet, hvis det ikke kommer fra et på den godkendte liste.

Du har helt ret, men den information du skal bruge til dette er ikke med i SS7, så løsningen er umulig som SS7 ser ud nu.

Man vil da kunne lave en ny standard i Danmark, lad os kalde den for SS7+, alle opkald der kommer ind i landet, får påstemplet et trace.

Det kan man godt, men det vil forudsætte, at der etableres dedikerede forbindelser til samtlige teleselskaber i hele verden. Og når et eller flere selskaber ikke vil være med til det, hvad gør man så?

22
27. juli 2020 kl. 18:49

Du tænker for pænt om alverdens teleselskaber. I Danmark kan danske selskaber checke numrene, men i visse mindre udviklede lande gør man det til en forretning at snyde med A-numrene. Resultat: Der strømmer opkald med alle mulige og umulige afsendernumre gennem SS7.

Jeg er sådanset ligeglad med opkald der kommer ude fra. Hvis vi holder fokus på at en godkendt liste af numre (bankernes) kun kan komme fra Danmark og givne teleselskaber, så kan alle andre danske teleselskaber droppe opkalet, hvis det ikke kommer fra et på den godkendte liste.

Man vil da kunne lave en ny standard i Danmark, lad os kalde den for SS7+, alle opkald der kommer ind i landet, får påstemplet et trace. Altså kommer et opkald fra T-mobile, så er første trace dem og siden alle andre som opkaldet skal igennem inden det rammer modtageren.

Når det først er implementeret i Danmark, så er det klart nemmere at gå videre med det end at vente til der kommer en big bang løsning. For som du skriver, så er det økonomiske interesser i at holde det her cirkus kørende. Ergo skal der lov til som tvinger en ændring igennem på det her område.

21
27. juli 2020 kl. 18:43

Det kan sagtens kontrolleres. For i SS7 skal både det rigtige A-nummer og det påtagede nemlig signaleres, selv om B-kunden kun ser det påtagede.

Jeg er fuldstændig enig med Mogens' forklaring. Og teleselskaberne kan sagtens kontrollere om A-numrene misbruges - og gør det også.

MEN! det forudsætter at selskaberne er villige til at gøre det. Det er de her i Danmark, og i de fleste andre vestlige lande, så det er ikke her problemet opstår.

I fattige, underudviklede lande, med svage myndigheder, bliver A-nummer spoofing desværre til en givtig kriminel forretning, hvor både kurrupte medarbejdere og teleselskaber deltager i bedrageriet.

Disse selskaber og lande er fuldstændig ligeglade med hvad misbruget fører til, blot kunden betaler.

Jeg tror desværre ikke, at man kan løse den problemstilling, for dels er det meget drastisk at hive stikket til bestemte lande, dels finder kriminelle hurtigt veje til at omgå det.

Løsningen er, at sensitive opkald fra banker, politi og andre offentlige myndigheder skal væk fra SS7 og over i andre systemer - f.eks. som dedikerede apps og mobilt bredbånd.

20
27. juli 2020 kl. 18:31

Man har vel styr på, hvor de kan ringe fra fysisk og hvilket teleselskab der har ansvaret for de numre?

Ja, det skulle man jo tro, men nej. Det er det der er problemet i SS7. Når først opkaldet er sendt af sted, mistes al rutningsinformation, inklusiv information om afgivende teleselskab. Protokollen er 30-40 år gammel, og stammer oprindeligt fra de først semi-automatiske centraler. Her skabes forbindelsen og man har ingen anelse om hvem der kalder op - kun det A-nummer som SS7 afleverer. Bummer.

Pågældende teleselskab sender kun opkald ud til andre selskaber, hvis nummeret der rinder ud kommer fra deres eget net, ellers bliver det droppet.

Du tænker for pænt om alverdens teleselskaber. I Danmark kan danske selskaber checke numrene, men i visse mindre udviklede lande gør man det til en forretning at snyde med A-numrene. Resultat: Der strømmer opkald med alle mulige og umulige afsendernumre gennem SS7.

Så har vi da løst problemet med at fru hansen tror hun snakker med Danske Bank uden at det rent faktisk er dem, så længe hun er på et dansk telenet.

Den eneste effektive og 100% sikre løsning er, at man internationalt beslutter sig for at afbryde de internationale teleforbindelser til teleselskaber som ikke checker afgående A-numre. Det vil løse problemet, men efterlader en masse spørgsmål:

  • Hvem skal håndhæve en sådan beslutning?

  • Hvordan kan et lokalt teleselskab i et "bandit"-land afgøre om et A-nummer er lovligt når der ringes til et nummer i Danmark.

  • Hvordan sikrer man sig, at "bandit" landene ikke omgår en afbrydelse ved at rute kald ad andre kanaler.

  • Hvordan håndteres nummerændringer, nedlæggelse af numre, oprtettelse af nye numre (de skal meldes ud på verdensplan og alle teleselskaber skal checke dem for ikke at risikere at blive afkoblet).

  • Er indgrebet uproportionalt med ulempen for landet.

19
27. juli 2020 kl. 18:18

Signalsystemet er således indrettet, at en almindelig kundetilslutning ikke kam manipulere A-nummeret.

Spoofing sker derfor via tvivlsomme operatører eller særlige tilslutninger, herunder især de tilslutninger, der tilbydes call centre, der laver telefonsalg eller support for andre virksomheder.

Min mistanke er, at det især er call centre, der er synderne ved spoofing af almindelige danske numre. Med en særlig tilslutning giver teleudbyderen disse centre retten til at overskrive A-nummeret, så det ser ud som om opkaldet kommer fra den virksomhed, som de betjener. Men de har selvfølgelig kun lov til at bruge numre, som er aftalt med numrenes ejere.

Teleselskaberne kontrollerer det bare ikke. Og så er det blevet en nebengeschæft for call centre at deltage i denne form for identitetstyveri.

Det kan sagtens kontrolleres. For i SS7 skal både det rigtige A-nummer og det påtagede nemlig signaleres, selv om B-kunden kun ser det påtagede.

Jeg mener, at der er en Europæisk norm fra Europarådet, som foreskriver den rette anvendelse af påtagede numre.

Jeg har selv været udsat for Spoofing, og blev i en periode ringet op ustandselig af folk, der mente, at jeg havde ringet til dem.

Jeg henvendte mig til mit teleselskab. For selvfølgelig kan de i signaleringen fange den kilde, der bruger mit nummer. Men det bville de slet ikke. Men jeg blev tilbudt et nyt nummer.

Jeg henvendte mig også til politiet. For jeg mener, at det er identitetstyveri. Jeg fik en juridisk redegørelse om, at jeg jo ikke kunne bevise, at min identitet var brugt til at forsøge at svindle andre.

Det må der rettes op på. For brugen at mit nummer uden min tilladelse er ret så indgribende og et reelt identitetstyveri, som bør være strafbart.

Sandheden er nok, at politiet intet gør fordi teleselskaberne intet gør.

18
27. juli 2020 kl. 17:56

Teleselskabet kan bevise via logning, at der er gået et opkald fra "banken" ind hos kunden, og det er nu et forhold mellem bank og kunde. Hvad "bank" og kunde har talt om ved kun de to parter.

Men, hvis man nu leger med tanken om at det bliver teleselskabernes problem at påvise at det rent faktisk er banken der har ringet, så kunne man jo forestille sig at man i det danske net fant en løsning på problemet her i landet.

Du får det til at lyde som om at en routingtabel over alle danske numre tilhørende banker vil være et problem at filtrere på, hvor de opkald må komme ind i nettet. Så mange numre er der heller ikke. Jeg er godt klar over det formegentligt vil kræve noget nyt udstyr et eller andet sted i kæden, men hvis det kan løse problemt og være med til at sætte en standard, så er vi langt.

Man har vel styr på, hvor de kan ringe fra fysisk og hvilket teleselskab der har ansvaret for de numre?

Pågældende teleselskab sender kun opkald ud til andre selskaber, hvis nummeret der rinder ud kommer fra deres eget net, ellers bliver det droppet. Andre teleselskaber i Danmark dropper alle opkald fra disse numre, hvis de ikke kommer fra det godkendte selskab.

Så har vi da løst problemet med at fru hansen tror hun snakker med Danske Bank uden at det rent faktisk er dem, så længe hun er på et dansk telenet.

16
27. juli 2020 kl. 16:34

Jeg vil da gerne se banksektoren bestille en ny feature til at identificere kunder via telefonnummersystemet.</p>
<p>Der ikke er nogen businesscase i almindelig telefoni længere. Det er noget man får smidt i nakken når man køber en dataforbindelse.

Det er ikke der businesscasen ligger, men derimod at banken ikke kommer til at erstatte de millioner som kunden er blevetr lokket til at overføre, fordi det ikke var "banken" som ringede.

Og jeg er helt enig: "Det er noget man får smidt i nakken når man køber en dataforbindelse.", og netop derfor ligger løsningen mere der, end at holde fast ved SS7. Brug de nye datatjenester, og lad bankerne lave apps til formålet.

14
27. juli 2020 kl. 16:28

Hvis teleselskabets kunde siger "Jeg modtog et opkald med forkert A-nummer klokken ca. 11 idag" er den fisk fanget og kunden modtager automatisk X kr fra teleselskabet, med mindre dette ønsker at spilde tid på at modbevise.

Hvilket teleselskab?

Hvis jeg var et teleselskab og blev præsenteret for sådan et lovkrav, så ville jeg meddele alle kunder at de ikke længere kan modtage A-nummer på indgående kald.

Så nu skal vi til at betale teleindustrien ekstra for at rette deres eget sjusk og slendrian ?

Opringeligt var A nummer visning jo ikke muligt på telefonen. Det er noget som er kommet på senere som en nærmest gratis service.

At nogen så er begyndt at benytte det til authentication er problemet. På samme måde som at det er et problem at bruge CPR nummeret.

Der er helt bestemt en businesscase i at undgå spoofing. Navnlig i banksektoren, som kan komme til at hænge på de overførsler som en spoofer får lokket en sagesløs kunde til at foretage.

Jeg vil da gerne se banksektoren bestille en ny feature til at identificere kunder via telefonnummersystemet.

Der ikke er nogen businesscase i almindelig telefoni længere. Det er noget man får smidt i nakken når man køber en dataforbindelse.

13
27. juli 2020 kl. 16:24

Hvis teleselskabets kunde siger "Jeg modtog et opkald med forkert A-nummer klokken ca. 11 idag" er den fisk fanget og kunden modtager automatisk X kr fra teleselskabet, med mindre dette ønsker at spilde tid på at modbevise.

Nej fisken er ikke fanget - den sidder et sted i afrika, og griner hele vejen ned i banken for at hente offerets pensionsindbetaling.

Teleselskabet kan bevise via logning, at der er gået et opkald fra "banken" ind hos kunden, og det er nu et forhold mellem bank og kunde. Hvad "bank" og kunde har talt om ved kun de to parter.

Du straffer jo heller ikke TetraPak fordi der et forkert produkt i kartonen - det er mejeriets ansvar - selv om det da ville være dejligt hvis jeg kunne få X kr. hos TeratPak hver gang min mælk er sur.

11
27. juli 2020 kl. 16:02

Så nu skal vi til at betale teleindustrien ekstra for at rette deres eget sjusk og slendrian ?

Ikke nødvendigvis - det kommer jo an på hvordan en løsning og et lovindgreb kommer til at se ud. Hvis "indgrebet" bliver, at kunder altid skal ringe tilbage til banken på et gratis-nummer, så er svaret næsten nej (næsten, fordi banken betaler for trafikken).

Jeg ville bare have lovgivet at per denne og hin dato ifalder televirksomheden en mulkt hvergang der presenteres et forkert A-abn.

Hvis man kan bevise at A-nummeret er forkert har man jo på en måde løst problemet. Det er sådan set bevisbyrden der er problemet her.

10
27. juli 2020 kl. 15:49

Så betallingsvilligheden er klart til stede.

Så nu skal vi til at betale teleindustrien ekstra for at rette deres eget sjusk og slendrian ?

Really ?

Jeg ville bare have lovgivet at per denne og hin dato ifalder televirksomheden en mulkt hvergang der presenteres et forkert A-abn.

9
27. juli 2020 kl. 15:38

Noget helt andet er, hvor er business casen for at lave et sikkert telefonsystem.?</p>
<p>Og hvem er villige til at betale for det?

Der er helt bestemt en businesscase i at undgå spoofing. Navnlig i banksektoren, som kan komme til at hænge på de overførsler som en spoofer får lokket en sagesløs kunde til at foretage.

Det samme gælder hvis f.eks. politi, eller redningsmyndigheder, kommuner og regioner spoofes, hvorved sagesløse borgere måske foretager sig et eller andet som potentielt kan blive meget dyrt.

Så betallingsvilligheden er klart til stede.

Jeg kan godt forestille mig, at der - i lyste af det lovindgreb som er på vej i forhold til telesektoren (som gør tele til kritisk infrastruktur) - også kan komme krav om spoofing-sikring af bestemte telefonnumre i bestemte sektorer - også selv om det er meget svært - og i nogle tilfælde umuligt - at lave.

8
27. juli 2020 kl. 15:09

Noget helt andet er, hvor er business casen for at lave et sikkert telefonsystem.?

Og hvem er villige til at betale for det?

Den primære udvikling er på at levere data forbindelser. Telefoni og SMS er blot en cash cow hos teleselskaberne.

Vil kunderne have et sikkert system, så lægger bruger de blot en app.

6
27. juli 2020 kl. 14:25

Og dem der snyder får du alligevel aldrig med på at checke noget som helst. Og endnu værre - en del af de danske numre som kommer fra udenlandske oparatører er faktisk lovlige nok. Mange virkomsheder har f.eks. driftsfolk siddende i andre lande, og de kan altså ringe ud i Danmark med nationale danske numre - helt legitimt.

Eller omvendt. Da jeg arbejde hos Viptel havde vi call centre i Spanien, som ringede ud med f.eks. svenske numre, via vores TDC trunk.

Selv ny teknik, vil næppe kunne løse problemet. SIP protokollen gør det i hvertfald ikke out of the box. Men SIP var måske lettere at lægge nogle protokoller på, al.a. dem der findes til e-mail.

5
27. juli 2020 kl. 11:44

@Klavs Jeg antager at det er et problem i mange lag, for et opkald kan jo gå igennem mange udbydere før det rent faktisk når frem til modtager. Så det er en hel masse udbydere du skal have til at lave den slags kontrol, og blive enige om processerne omkring det. På det tidspunkt du får dem med på det kan du sikkert ligeså godt bare gå igang med at løse det rigtige problem.

Ja, lige præcis. Havde SS7 blot været lag-delt kunne man have løst problemet ret enkelt ved at udelukke ulovlige kilder til danske numre, men sådan er SS7 desværre ikke.

Og dem der snyder får du alligevel aldrig med på at checke noget som helst. Og endnu værre - en del af de danske numre som kommer fra udenlandske oparatører er faktisk lovlige nok. Mange virkomsheder har f.eks. driftsfolk siddende i andre lande, og de kan altså ringe ud i Danmark med nationale danske numre - helt legitimt.

4
27. juli 2020 kl. 11:40

I så fald - kunne de så ikke checke "source" i det modtagne opkald. i det mindste i mod de numre de har på EGET net - og bekræfte at "source" ikke er noget som ikke kan komme "udenfor eget net" ?</p>
<p>Jeg tænker de har noget mulighed for at lave kald processering, før de bare viderestiller kaldet.

Du har lige præcis fat i problemets kerne her. Den gamle SS7 protokol er så gammel, at der ikke er nogen "kilde" adresse på opkaldet. Den eneste "kilde" er A-nummeret, dvs. telefonnummeret på den der har startet opkaldet. SS7 er udviklet på et tidspunkt hvor det var utænkeligt, at nogen ville sætte et fup-nummer på opkaldet - naivt, men sådan er det og det er de vil lider under nu.

Idet SS7 datagrammet kommer frem til den udbyder som skal terminere kaldet, er det eneste han kan gøre, at ekspedere det til B-abonnenten (modtageren). Teleselskabet har basalt set ingen (som i absolut ingen) mulighed for at checke om nummeret faktisk kommer fra en abonnent med dette nummer.

Det eneste man kan gøre er, at de numre man vil beskytte, f.eks. bankernes numre, alle samles i et bestemt tilslutningspunkt hos den danske udbyder, og at kun opkald fra dette punkt kan ekspederes i det danske net. I alle andre tilfælde afvises kaldet med det pågældende A-nummer.

Det er en kompliceret løsning som kræver meget administration, store rutetabeller, særlige abonnementer til bankerne osv. og så er løsningen alligevel ikke særlig sikker.

3
27. juli 2020 kl. 11:29

@Klavs Jeg antager at det er et problem i mange lag, for et opkald kan jo gå igennem mange udbydere før det rent faktisk når frem til modtager. Så det er en hel masse udbydere du skal have til at lave den slags kontrol, og blive enige om processerne omkring det. På det tidspunkt du får dem med på det kan du sikkert ligeså godt bare gå igang med at løse det rigtige problem.

2
27. juli 2020 kl. 11:16

Hvordan sker denne spoofing egentlig? Er det når opkald udenfor providerens eget net, skal termineres - at de "bare må stole på hvad der kommer" ?

I så fald - kunne de så ikke checke "source" i det modtagne opkald. i det mindste i mod de numre de har på EGET net - og bekræfte at "source" ikke er noget som ikke kan komme "udenfor eget net" ?

Jeg tænker de har noget mulighed for at lave kald processering, før de bare viderestiller kaldet.

1
27. juli 2020 kl. 08:39

Det er, som det fremgår af flere af de øvrige artikler om emnet her på V2, et problem som opstår fordi SS7 protokollen ikke er tilstrækkelig teknisk sikret til at imødegå spoofing.

Det er selvfølgelig ikke en undskyldning for ikke at gøre noget, men da SS7 anvendes globalt, og er forudsætningen for, at alle vores telefonsystemer virker (både fastnet og mobil), er det sin sag at stille specifikke karv til danske teleselskaber.

Spoofing er meget vanskeligt at bekæmpe fordi muligheden indgår som et "produkt" blandt suspekte udenlandske teleselskaber, som ikke på nogen måde ønsker at deltage i en løsning - det ødelægger nemlig den lukretive forretning der ligger i at tilbyde kriminelle spoofing.

Man har altså at gøre med en problemstilling som 1) ikke er national, 2) skyldes dubiøse teleselskaber i lande med svage myndigheder og 3) en teknologi som ikke kan løse problemet.

Energistyrelsen kan selvfølgelig godt stille en række krav, som måske løser en lille del af problemet. Men det er en lappeløsning, som er både dyr for selskaberne (og dermed for forbrugerne), og som ikke giver tilstrækkelig sikkerhed alligevel.

I dag har vi helt andre og meget stærkere muligheder for at kommunikere - muligheder som ikke benytter SS7. Jeg mener det er den vej man skal gå, og det vil være fornuftigt at udnytte de muligheder til at styrke netop denne type af vigtig kommunikation. Om nogle af bankerne stadig har en "ring til os" funktion i deres mobilapps ved jeg ikke, men det er et eksempel på en god og sikker mulig løsning.