Energistyrelsen: Spoofing er ikke ulovligt

Illustration: Mojoje | Bigstock
Ændring af afsendernummeret i SMS’er og opkald er udbredt hos danske virksomheder, fortæller Energistyrelsen.

Det er ganske lovligt at lave og bruge sit eget spoofing-selskab. Det skriver Energistyrelsen i en mail til Version2, efter at vi kunne bevise, at man på under en time kan lave sit eget, danskbaserede spoofing-selskab.

Læs også: Dansk sikkerhedsguru laver egen spoofing-tjeneste: »Det er nemt og uhyre effektivt«

»Vi noterer os, at det er forholdsvis let at anskaffe sig et program, der gør det muligt at få vist et andet nummer hos modtageren, end det man ringer eller sms’er fra. Dette er ikke i sig selv ulovligt,« skriver Energistyrelsen, der ikke ønsker at stille op til interview om, hvad de som telemyndighed gør for at beskytte danskerne mod det mere end 14 år gamle hacker-trick.

Læs også: »Idiotisk telefonsystem«: Derfor kan enhver stå bag SMS'en fra din mor eller chef

Styrelsen erkender dog, at der er tale om et problem, og at der skal gøres noget. Indtil videre tyder intet dog på, at der er regulering på vej. I stedet er Energistyrelsen i flere omgange ‘gået i dialog’ med Teleindustrien.

Læs også: Efter V2-historier: Myndighed indkalder Teleindustrien til møde om spoofing

»Energistyrelsen er opmærksom på, at spoofing med det formål uberettiget at skaffe sig adgang til andres oplysninger, er et problem, hvorfor styrelsen er i dialog med telebranchen herom,« skriver Energistyrelsen.

Vigtig funktion for danske virksomheder

Da Version2 spørger ind til, hvorfor man i det hele taget tillader ændringen af afsendernumrene, skriver Energistyrelsen:

»Det er f.eks. meget udbredt ved fremsendelse af sms fra banker, tandlæger osv., hvor modtageren får vist navnet på banken eller tandlægen i stedet for det nummer, der sms’es fra.«

Da Version2 beder Energistyrelsen om at forholde sig til, om de danske selskaber, der udbyder disse spoofing-tjenester bør ses efter i sømmene, afviser Energistyrelsen, der ifølge Erhvervsstyrelsen ellers har myndigheden på området:

»Energistyrelsen administrerer ikke regler, der stiller krav til specifikt udbydere af programmer, der gør det muligt at få vist et andet nummer, end det der kaldes fra,« lyder det.

»Vi har iværksat filtre og begrænsninger«

Energistyrelsen fortæller desuden i mailen, at der er arbejde i gang i branchen.

»Branchen har iværksat en række aktiviteter såsom filtre og blokeringer for at begrænse kriminalitet ved spoofing og lignende, som kriminelle benytter til at forsøge at svindle danskere med.«

Ingen af disse filtre hjalp imidlertid med at blokere én af de snesevis af opkald og SMS’er, som Version2 har sendt gennem de seneste måneders research. Om de så var fra fra bekendte, chefer, ekskærester, politikere, ‘Julemanden’, ‘Politiet’, ‘Covid-19 Testcenter’ eller ‘Beredskabet’

Læs også: Teleindustrien: Spoofing skal indgå i national cybersikkerhedsstrategi

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Nis Schmidt

De fleste modtager spoofede opringer og SMS'er en gang imellem. Fra læger, banker, børnehaver og kommunen m.fl.

De eneste som aldrig ringer uopfordret, er mig bekendt Microsoft.

Man burde indføre en ny regel om spoofing: man kan kun spoofe telefonnumre man selv ejer/betaler for - og denne spoofing må kun virke, hvis den er registreret hos den relevante teleudbyder.

Sådan er det IKKE nu og det vil kræve en del arbejde af ITU at indføre internationalt.

  • 17
  • 1
#2 Mogens Lysemose

Det virker helt igennem urimeligt at elektronisk identitetstyveri er lovligt. Burde vi/nogen ikke kave et borger lovforslag om at gøre det ulovligt at udgive sig for andre elektronisk?

Eksempler, som pt er ikke er strafbare: 1. brug af andres telefonnummer som afsender (spofing) 2. brug af andres email som afsender 3. opret profil på sociale medier og datingssider med andres navn/profilbillede*

Brug af andres profilbilleder er formodentlig en krænkelse af gdpr og ophavsret, men da bevisbyrden og dermed arbejdsbyrden påhviler den krænkede og straframmen er mikroskobisk er det i praksis strafrit.

  • 22
  • 2
#3 Torben Rune

I USA gjorde man spoofing ulovligt tilbage i 2010, med "Truth in Caller ID Act of 2010" (se: https://www.congress.gov/congressional-report/111th-congress/house-repor...)

Hos FCC har man desuden oprettet en anmeldelsesordning, så man kan anmelde spoofing (se: https://www.fcc.gov/consumers/guides/spoofing-and-caller-id)

Desværre viser statistikken, at ulovliggørelsen ikke hjælpe. I USA ser statistikken således ud:

I 2017 var 2,7% af alle telefonopkald scam.

I 2019 er 44,6% af alle telefonopkald scam.

Det samlede økonomiske tab i 2019 ved telefon scamming i USA er opgjort til 9 mia. dollar, og statistikken siger at 1 ud af 10 amerikanere har tabt penge ved telefonscam.

Kilder: https://ecfsapi.fcc.gov/file/109272058817712/FirstOrion_Scam_Trends_Repo... og https://truecaller.blog/2018/12/18/truecaller-insights-the-top-20-countr...

Uanset ulovliggrøelse, og uanset teleselskabernes manglende evner til at løse problemet, så er den nærliggende konklusion, at spoofing formodentlig vil gøre de eksisterende telefonsystemer så usikre at bruge, at kunderne vælger andre løsninger, dvs. at telefonnummer baseret kommunikation helt forsvinder inden for en overskuelig fremtid. Der mangler i hver fald ikke alternativer - listen er lang: Skype, Telegram, Signal, Viber, WhatsApp, Hangouts, Messenger, Snapchat, iMessage, Faceime, Talky, Jami, Element, Discord, Slack, Matrix, Pidgin, Zulip, Threema, Tox, GroupMe, Line, Rocket.Chat, Mattermost, IRC, ....

  • 18
  • 0
#4 Torben Rune

Det virker helt igennem urimeligt at elektronisk identitetstyveri er lovligt. Burde vi/nogen ikke kave et borger lovforslag om at gøre det ulovligt at udgive sig for andre elektronisk?

Jeg er enig - det bør være ulovligt, uanset om det så løser problemet. Som jeg beskriver i #3, så er man ved at drukne i telefon scams i USA, selv om det har været ulovligt i 10 år, så effekten af en dansk lov vil formodentlig være til at overse.

Så med mindre den globale teleindustri finder en løsning inden for kort tid - så mister de det marked som ligger i telefonnummerbaseret kommunikation. Men det er åbenbart ikke en stor nok økonomisk trussel til at der sker noget.

  • 15
  • 0
#6 Maciej Szeliga

Prøv lige at læse straffelovens paragraf 172. Stk. 3. Et dokument er falsk, når det ikke hidrører fra den angivne udsteder, eller der er givet det et indhold, som ikke hidrører fra denne.

Ja, og dermed er det ikke ulovligt hvis en virksomhed ejer flere tlf. numre og spoofer eget nummer...

Læger, tandlæger, kommuner etc. kan godt udsende SMS'er eller foretage opkald fra et nummer og vise at det kommer fra et andet uden at det er ulovligt.

  • 7
  • 0
#7 Jørgen Elgaard Larsen

Et dokument er falsk, når det ikke hidrører fra den angivne udsteder

Nu er der jo ikke tale om et dokument.

Det svarer mere til at præsentere sig med et forkert navn i telefonen: "Hej, der er Mads fra Version 2".

Det er ikke i sig selv ulovligt. Det kun ulovligt, hvis du udgiver dig for at være offentlig myndighed, f.x. politi.

Det er naturligvis også ulovligt, hvis du f.x. prøver at narre folk til at sende dig penge. Men det er en anden forbrydelse.

  • 17
  • 3
#8 Ditlev Petersen

Jeg mener også, at hensigten har betydning. Noget i retning af at "skuffe i retsforhold" (jeg har ikke slået efter). Hvis man vil lege Mads fra Version2 som en aprilsnar, så er det ikke rigtigt strafbart.

Og hvis man vil lokke nem-id eller andet godt fra folk, så er det nok ikke netop specialstraffen for spoofingen, man er bekymret for. Især ikke hvis man sidder i udlandet.

  • 2
  • 0
#9 Christian Nobel

»Det er f.eks. meget udbredt ved fremsendelse af sms fra banker, tandlæger osv., hvor modtageren får vist navnet på banken eller tandlægen i stedet for det nummer, der sms’es fra.«

Jamen lad os da endelig få samme holdning fsva. email - så kan man jo begynde at sende emails som Snydbank eller andre banditter i habitter, sikke en forretning man kan lave.

Eller hvad er det lige vi kæmper en daglig kamp for at undgå.

Suk.

  • 4
  • 2
#10 René Nielsen

Enten er Energistyrelsen totale noobs når vi taler teknik eller også er ovenstående en gang tågesnak, hvor Energistyrelsen taler uden om det virkelige problem.

Hvis du har et sikkert telefonsystem hvor man ikke kan udgive for at være en anden (altså Spoofing) så kan du i realiteten heller ikke fortage såkaldt ”lovlig aflytning” fordi identiteten på opkalderen nødvendigvis må baseres på et certifikat eller anden lignede teknik.

Og hvis et opkalds identitet kan kontrolleres via et certifikat … hvor lang tid mon så der er til automatisk end-to-end kryptering imellem modtager og opkalder baseret på f.eks. Petty Good Privacy på en smartphone?

Og det er problemet for politi og efterretningstjeneste, at der ikke går lang tid før certifikatvalidering enten er bygget ind i mobiltelefonen af producenten eller der cirkulerer jailbreak udgaver med indbygget automatisk end-to-end kryptering i kriminelle miljøer.

Og så er vi ved problemets kerne. At myndigheder rundt om i verden aktivt modarbejder at der bliver udviklet sikre telefonsystemer til deres borgere.

Så det gælder om at holde mobiltelefon certifikater væk fra borgere – længst muligt - for hvis ”katten eller certifikatet først slipper ud af sækken”, så det sket med (lovlig) aflytning på med måde som det forgår i dag og måske for altid.

  • 3
  • 11
#11 Christian Nobel

Så med mindre den globale teleindustri finder en løsning inden for kort tid - så mister de det marked som ligger i telefonnummerbaseret kommunikation. Men det er åbenbart ikke en stor nok økonomisk trussel til at der sker noget.

Men er det så ikke også det, som vi er nogen der snart i lang tid har sagt vil ske, at teleindustrien bliver reduceret til udelukkende at være leverandør af data, fuldstændig på linje med at vandværket leverer vand - om man så efterfølgende vil brygge øl eller vin, bruge vandet til rengøring eller toiletskyl er fuldstændig op til en selv.

Det største problem er nok at teleselskabernes selvforståelse blev parkeret engang i sidste halvdel af forrige århundrede, og den holder stadig på samme plads.

  • 9
  • 0
#12 Torben Rune
  • 7
  • 0
#13 Torben Rune

Så det gælder om at holde mobiltelefon certifikater væk fra borgere – længst muligt - for hvis ”katten eller certifikatet først slipper ud af sækken”, så det sket med (lovlig) aflytning på med måde som det forgår i dag og måske for altid.

Lawful Interception har absolut intet med denne sag at gøre. Selv om brugeren krypterer sin payload (uanset hvad den består af), så er mobiltelefonen stadig identificerbar via telefonens signalering med mobilsystemet. Den kryptering som anvendes til at sikre det, er en del af mobilsystemet, og kan ikke kompromitteres af brugeren, og har i øvrigt absolut intet med telefonens E.164 nummer at gøre. Nummeret indgår end ikke i hverken telefonen eller i kontrollen af den - det er en administrativ egenskab som sættes på i core nettet.

  • 9
  • 1
#16 Mogens Lysemose

Uanset ulovliggrøelse, og uanset teleselskabernes manglende evner til at løse problemet, så er den nærliggende konklusion, at spoofing formodentlig vil gøre de eksisterende telefonsystemer så usikre at bruge, at kunderne vælger andre løsninger, dvs. at telefonnummer baseret kommunikation helt forsvinder inden for en overskuelig fremtid.

Helt enig, med følgende tilføleser: 1) hvorfor er der ingen telefonselskaber der tilbyder et "spoofing"-filter - ligesom spam-filter er standard-service på email i dag? der gik ikke lang tid fra vi alle fik email til vi alle krævede spamfiltre, fordi vi var træt af spam. 2) hvis spoofing og lign. identitetstyveri ulovliggøres, så kan der også stilles krav til serviceudbydderne i loven. f.eks. Enten at de skal implementere spoofing-filter eller tilbyde det som ekstraservice. Branchen har tydeligvis ikke magtet at imødekomme det forbrugerønske selv. 3) Hvis identitetstyveri ulovliggøres og ikke skal afvente at folk bruger det til noget "alvorligt" ulovligt, så kan man gribe ind og forebygge mere alvorlig kriminialitet. 4) Som det er nu kan små erhvervsdrivende bringes i problemer når telefonscammere vælger at misbruge den erhvervsdrivendes telefonnumer, email osv som afsender/opkalder. det kan drukne vedkommende i sure returopkald og negativ omtale og negative anmeldelser osv.

  • 1
  • 0
#17 Torben Rune

1) hvorfor er der ingen telefonselskaber der tilbyder et "spoofing"-filter logespm spam-filter er standard-service på email i dag?

Eller skal måske omformuleres til: Hvorfor byggede man hele telefonisystemet inklusiv mobiltelefonsystemet oven på SS7 systemet som alle vidste var "råddent". Økonomi, konkurrence og bekvemmelighed.

2) hvis spoofing og lign. identitetstyveri ulovliggøres så kan der også stilles krav til serviceudbydderne i loven.

Måske er der allerede elementer af det i Teleloven. Jeg kan ikke afgøre om det er holdbart, og der skal måske også fortolkes på det. Det er Kapitel 8 §30. Det er regler som har med dirigering i forhold til nummerportering, og man kunne godt vælge at betragte et spoofet nummer som "porteret", og dermed omfattet, så...

3) Hvis identtetstyveri ulovliggøres og ikke skal afvente at folk bruger det til noget "alvorligt" ulovligt, så kan man gribe ind og forebygge mere alvorlig kriminialitet.

Ja, helt enig.

4) Som det er nu kan små erhvervsdrivende bringes i problemer når telefonscammere vælger at misbruge den erhvervsdrivendes telefonnumer

Ja, og kan havne i uføre hvis de reagerer på et scam. I USA er det nu helt almindeligt, ikke at svarer på telefoner, men ringe tilbage på beskedder på telefonsvareren.

Så spoofing via SS7 er et kæmpe problem som bare vokser sig større og større. Men det skal løses - måske ved at benytte andre transmissionsmetoder - måske ved adfærdsændringer, og bestemt også gerne med lovændringer og krav til teleselskaberne.

  • 3
  • 1
#18 Poul-Henning Kamp Blogger

der er kun et stykke 2 til paragraf 172, ikke et stykke 3. desuden er en sms eller et telefonopkald ikke et dokument.

Her ville det hjælpe gevalidigt på forståelsen hvis IT-liberalister satte sig ind i forskellen på "en besked" og "en beskeds indpakning", f.eks forskellen på et brev og den konvelut det ankom i.

Hvis jeg modtager et brev fra min ven Ib, i en konvelut med et stort fedt "Statsministeriet" logo, betyder det ikke at statsministeriet på nogen måde forpligtes af indholdet, det betyder bare at Ib har tiltaget sig et usanktioneret personalegode.

Hvis jeg derimod modtager en blank hvid konvelut, med et brev på statsministeriets brevpapir og underskrevet "på ministerens vegne", har jeg ingen grund eller pligt til at mistænke brevets autencitet, med mindre andre tydelige forhold, f.eks et poststempel fra Elbonien, burde gøre mig mistænksom.

Indholdet af en SMS kan sagtens være et dokument jvf. straffelovens §171 stk 2, der indgås masser af juridisk bindende aftaler på den vis.

Telefonnummeret teleselskabet indikerer SMS'en kommer fra er derimod kun en konvelut, ovenikøbet en som afsenderen ikke selv har placeret dokumentet i.

Nummeret alene kan derfor ikke tillægges nogen vægt som bevis, med mindre der også fremlægges vidnesbyrd eller udtræk fra tele-overvågningen, som godtgør at beskeden rent faktisk kom fra afsenderens mobiltelefon.

  • 15
  • 0
#19 Ditlev Petersen

Telefonnummeret teleselskabet indikerer SMS'en kommer fra er derimod kun en konvelut, ovenikøbet en som afsenderen ikke selv har placeret dokumentet i.

Men hvis nummeret er spoofet til at være en minister eller en direktør, og indholdet af en sms er beregent til "at skuffe i retsforhold", så har man en helhed, der faktisk er et forsøg på dokumentfalsk. Men det skal også accepteres af en dommer. Fordi man ikke normalt vil kunne signere en sms, vil afsendernummeret have en helt anden betydning.

  • 2
  • 0
#20 Poul-Henning Kamp Blogger

Eller skal måske omformuleres til: Hvorfor byggede man hele telefonisystemet inklusiv mobiltelefonsystemet oven på SS7 systemet som alle vidste var "råddent". Økonomi, konkurrence og bekvemmelighed.

Mnjae, det er faktisk et meget, meget dybt hul at begynde at grave i.

SS7 kom efter SS6, 5, 4, 3 og 2, men for alle praktiske formål var der ikke noget SS1.

Disse standarder blev udviklet på diplomatisk niveau, først som bilaterale aftaler og senere under og af CCITT's generalkongres, hvor det dengang kun var FN medlemslande der havde stemmeret.

Det var i den sammenhæng 100% underforstået, at hvis der blev det mindste pis med den anden ende af en grænsekrydsende forbindelse, havnede det direkte på ministerens bord og så blev der ballade på de bonede gulve.

Da politikere gav sig til at "liberalisere" telemarkedet, var der ingen af dem der stoppede op og overvejede om f.eks SS7, der i mange år var en del af ministeriets regelværk ("Overholder CCITT's standarder") også kunne de ting der ville blive brug for i en markedssituation hvor klagen gik til Klaus Riskær i stedet for Ministeren.

  • 9
  • 0
#21 Torben Rune

Da politikere gav sig til at "liberalisere" telemarkedet, var der ingen af dem der stoppede op og overvejede om f.eks SS7, der i mange år var en del af ministeriets regelværk ("Overholder CCITT's standarder") også kunne de ting der ville blive brug for i en markedssituation

Jeg er enig i opsummeringen, men sårbarhederne i SS7 var kendt længe inden teleliberaliseringen. SS7 blev udviklet i 70'erne, og blev en del af X.700 i 1984 - dvs. inden de første internationale mobilstandarder kom til. Den seneste udgave af SS7 er fra 1993, hvor en del af de "ulykker" man kæmper med i dag blev implementeret.

I ETSI vidste man i start 90'erne udmærket, at SS7 var et spinkelt fundament for international signalering, men alligevel gjorde man intet. Så længe inden liberaliseringen var en realitet, var der teknisk viden som beskrev de potentielle sårbarheder denne protokol indebar.

Alligevel fortsatte man. Alligevel sagde ingen fra.

Og ja, Poul-Henning har ret i, at blot det, at opnå en verdensomspændende accept af SS7 (liberalisering eller ej) var en kæmpemæssig opgave, som ingen, hverken standardisører, teknikere eller teleselskaber øsnkede at stikke fingrene i. Det var billigere, risikofrit, og nemt (dvs. økonomi, konkurrence og bekvemmelighed) at forstætte med SS7 og lade som om der ikke var problemer.

Så ja, helt enig - det kaninhul bliver dybt, og er samtidig også forklaringen på hvorfor det er så vanskeligta at løse.

  • 3
  • 0
#22 Claus Bruun
  1. Det ville være rart hvis A-nummeret kun stod i klar text, hvis ens udbyder viste det var legitimt og kunne stå inde for det. Så kunne udbyderne opbygge en chain-of-trust, hvor de kun sagde ok, hvis de selv havde checket oprindelsen af forbindelsen eller den kom fra nogen de troede på, og de derfor havde gjort det samme. Hvis trusten manglede kunne man fx sætte 666 foran nummeret eller helt lade være med at levere A-nummeret til kunden.

  2. Det ville være rart, hvis legitime firmaer, som benytter spoofing for at gøre deres service transparent, skulle bede ejeren af A-nummeret om at meddele udbyderen at servicefirmaet må impersonere deres nummer. Udbyderen skulle så checke alle a-numre fra servicefirmaet mod denne positiv liste og sætte firmaets eget a-nummer ind, hvis firmaet ikke havde tilladelse til at spoofe det.

Så vidt jeg kan se, kan dette implementeres administrativt per udbyder uden at ændre SS7.

  • 2
  • 0
#23 Mogens Lysemose

Indholdet af en SMS kan sagtens være et dokument jvf. straffelovens §171 stk 2, der indgås masser af juridisk bindende aftaler på den vis.

Det er jeg meget overrasket over, men jeg antager du ved hvad du taler om (det plejer du jo). Jeg har hidtil antaget at der var en bevismæssig risiko som firmaet påtog sig. Det undrer mig hvordan en sms kan være et gyldigt bevis når du samtidig siger at en sms' afsender-nummer er helt uden sandhedsværdi og betydning:

Telefonnummeret teleselskabet indikerer SMS'en kommer fra er derimod kun en konvelut, ovenikøbet en som afsenderen ikke selv har placeret dokumentet i.

Nummeret alene kan derfor ikke tillægges nogen vægt som bevis, med mindre der også fremlægges vidnesbyrd eller udtræk fra tele-overvågningen, som godtgør at beskeden rent faktisk kom fra afsenderens mobiltelefon.

Jeg opfatter normalt at et dokument har en gyldig underskrift, stempel, vandmærke, eller logo. Intet af det er muligt på sms. Derfor synes jeg lidt dine udsagn står i modsætning til hinanden.

Derudover mener jeg politisk ikke at det er rimeligt at man må svindle med afsender navn og adresse/nummer på breve, mails, sms, osv. Jeg betragter det som en forbrydelse på linje med misbrug af andres varemærke. Bemærk jeg skriver svindle, man må selvfølgelig gerne skrive sin egen virksomheds mail/nummer osv som afsender på noget der er sendt ud gennem tredjepart osv.

  • 1
  • 1
#24 Poul-Henning Kamp Blogger

Jeg opfatter normalt at et dokument har en gyldig underskrift, stempel, vandmærke, eller logo. Intet af det er muligt på sms. Derfor synes jeg lidt dine udsagn står i modsætning til hinanden.

Straffeloven siger, §171 stk 2:

"Ved et dokument forstås en skriftlig eller elektronisk med betegnelse af udstederen forsynet tilkendegivelse, der fremtræder som bestemt til at tjene som bevis."

Det er en sætning der laver rigtig meget arbejde hvis du giver dig tid til at læse den ordentligt.

Derefter siger §171 stk 3:

"Et dokument er falsk, når det ikke hidrører fra den angivne udsteder, eller der er givet det et indhold, som ikke hidrører fra denne."

Dermed er f.eks en SMS til firmaets kasserer der siger "Overfør 1.2 mio kroner til konto ####-######## med det samme ${ceo_fornavn}" indiskutabelt dokumentfalsk i straffelovens forstand, dog stadig med en skaleret bevisbyrde for, at der ikke var noget indlysende mistænksomt ved meddelelsen.

  • 5
  • 0
#25 Poul-Henning Kamp Blogger

I ETSI vidste man i start 90'erne udmærket, at SS7 var et spinkelt fundament for international signalering, men alligevel gjorde man intet.

... fordi mange statslige teleadministrationer, af gammel vane, ville opfatte det som en diplomatisk fornærmelse at blive mistænkeliggjort på den måde.

En yderligere komplikation var hele balladen om (export af) stærk kryptografi.

For det første var der hele det show der endte med "clipper-chippen": Hvis der skulle krypteres noget i tele-nettet, skulle efterretningstjenesterne have en bagdør og man havde ikke til sinde ligefrem at promovere teknologier der gjorde det sværere.

Men det var ikke indenfor reglerne muligt at standardisere bare den nødvendige kryptografiske signering, hvis man ville kunne tale i telefon med lande man ikke ville exportere stærk krypto til.

  • 7
  • 0
#26 Kjeld Flarup Christensen

Det vil ikke være noget problem, at lave en paragraf som ulovliggør at bruge et A-nummer, som man ikke har ret til at bruge.

Men som Torben Rune skriver, hjælper det ikke. Tværtimod vil effekten blot blive at tandlæger m.m. vil få et nyt helvede a.la. GDPR, hvor en masse papirarbejde skal laves.

Så der skal lavet noget smart. En dansk løsning kunne være at indføre et DMARC lignende felt i OCH systemet, som siger at nummeret ikke må kunne spoofes. Og så slå det til som default!

Så kan danske teleoperatører fjerne A-nummeret hvis de finder det mistænkeligt. Og tandlægen kan bede om at få skringen fjernet på sit nummer.

I øvrigt, bruger tandlæger o.s.v. ikke A-numre, men skriver f.eks. "Tandlægen"

  • 1
  • 0
#28 Christian Nobel

En dansk løsning kunne være at indføre et DMARC lignende felt...

Nej, nej, og atter nej.

DMARC er endnu et bøvlet lag hvordan-prøver-vi-at-gøre-bod-på-noget-som -er-fejldesignet.

DMARC lider fuldstændig som telefonsystemet under at det ukritisk har fået lov til at overleve fra forrige århundrede, og man nu lægger lag på lag af kompensationssnavs ovenpå: SPF, DKIM, DMARC, DANE, og hvad der nu bliver sjovt i morgen, i stedet for at rive hele lortet op med rode, og så lave et gennemtænkt challenge-response mailsystem.

Tilsvarende skal telefonsystemet heller ikke sovses ind i alt muligt fnidder, men redesignes så det kommer ind og er funktionelt i dette århundrede - og teleselskaberne skal skynde sig, da nummerbaseret telefoni dybest set er soooo last century, så hvis ikke de tager sig sammen, så bliver de tilbage på perronen med alle deres numre.

  • 1
  • 0
#29 Kjeld Flarup Christensen
  • 1
  • 0
#30 Christian Nobel

Ethvert nydesign er nødt til at være bagud kompatibelt.

Ikke nødvendigvis.

Ved at lave et challenge response system som jeg plæderer for, så kan hele mailparadigmet simplificeret ekstremt - og så kan man, hvis der sluttes op om det, og "de store" går med på den, vedtages en periode på f.eks. 2 år hvor der køres parallelt, herefter lukkes det gamle.

Det kan man jo gøre med fjernsyn, ligesom der heller ikke er vand til hestene på tankstationerne mere (og i fremtiden heller ikke benzin).

Og for at undgå en ny Skype, Whatsapp, eller hvad har vi, er det vigtigt at det er en fælles åben og ratificeret protokol der bruges - det gør en forskel til et proprietært program.

Endnu mere overbygning til et system som er broken by design er i hvert fald ikke vejen frem, og hvor der er en vilje er der en vej.

  • 2
  • 0
#31 Henrik Kramselund Jereminsen Blogger

Lol 2 år

Hvis vi ser på ting der er "ændret" på internet, er der eksempler som:

  • SSL version 2 og 3, skulle ikke bruges siden 2014, men findes stadig mange steder
  • DNSSEC - hvor gammelt er det lige, og stadig undervejs
  • IPv6 blev designet i midt 1990erne og stadig ikke indført i DK, på nær enkelte steder som eksempelvis Bolig:net og Hi3G som er mine leverandører
  • TLS 1.0 og 1.1 burde være ude, men det trækker tænder ud
  • https://dnsflagday.net/2020/ og 2019 viser hvor langt man skal hen før folk bliver enige "nok" til at rokke båden

Trægheden er enorm.

Lille eksempel, min router hjemme er fra 2016 og virker forbløffende fint, hvornår vil DU bestemme at JEG skal skifte min, og vil du give en skilling til det.

  • 3
  • 0
#32 Kjeld Flarup Christensen

Uden at jeg kender detaljerne, så er det en løsning i den stil, danske teleselskaber arbejder på. DMARC-agtigt bliver det ikke, idet man udnytter en anden metode til at give en vægtning af A-nummerets validitet. Hvad den metode går ud på holder teleselskaberne for sig selv.

Det er jo positivt nyt.

I modsætning til f.eks. email og http(s) så har telefonsystemet den fordel at det er på forholdsvis få hænder, og man vil relativt let (+45) kunne lande opdele en løsning.

Det ville være godt med en RFC på den kommende løsning, så den kan bruges af andre lande..

  • 1
  • 0
#33 Michael Cederberg

Enig. Teleindustrien har selv i høj grad medvirket til, at bringe sig i den situation, i stedet for at gøre kerneforretningen mere stærk.

Helt enig med både dig og Nobel. Det er ubegribeligt at teleselskaberne ikke udnytter det faktum at de (i de fleste tilfælde) ved hvem opkaldet kommer fra fordi de kender den der betaler for gildet. Den moderne verden har brug for nogen der kan linke brugere på nettet med fysiske personer.

Det ville være relativt simpelt at danske teleselskaber aftalte ikke at være origin for telefonopkald som udgav sig for at have et andet nummer end kundens. Og at de kun stolede på teleselskaber som også havde tilsluttet sig aftalen. Numre de ikke stolede på kunne de så prefixe med 3 stjerner e.lign. Virksomheder der havde brug for at "lovlig" spoofing kunne så betale for at spoofe numre de selv ejede.

  • 0
  • 0
Log ind eller Opret konto for at kommentere