Pærelet at sende snyde-sms'er og lave falske opkald: »Dybt problematisk«

Det ville da ikke forvirre, hvis reglen var, at der skulle gøres opmærksom på, at en sms er spoofet. Så ville du kunne stole på dem, der ikke er spoofet, og du ville have en chance for at bruge energi på at overveje dem, der er.

Så teoretisk, inden vi forholder os til de praktiske problemer, så kan man lave et filter i stil med "hvis SMSC nummer = udenlandsk, og afsender = dansk" filtrer SMS eller man kunne tagge afsender nummer med "muligvis_scam_nummer"?

Det ville lukke ned for alle SMS tjenester der ikke sender ud via en dansk udbyder. EU vil slå ned på det med en kæmpe hammer.

Man kan ikke kritisere de danske teleselskaber for at undlade at tage midler i brug som er ulovlige. Og det jo ikke bare EU der er dumme, det handler reelt om at markedet skal være åbent for alle i Europa. De danske selskaber vil nok ellers elske at tage den metode i brug, da vil være en ret effektiv måde at beskytte deres egen forretning på.

Det har jeg bestemt heller ikke sagt, som tidligere nævnt bliver der allerede gjort meget, men som du selv skriver - katten efter musen...

Nej, det har du ikke - det var bare min "afrunding". :)

Og tak for svar.

At vi ved de kriminelle altid vil forsøge at omgå sikkerheden, kan jo ikke medføre at vi så slet ikke skal forsøge noget. :)

Og hvem skal have rettigheden til at sende fra</p>
<p>Tandlægen
Biblioteket
Blodbanken

Det har nu ikke min store interesse, men i stil med domænenavne eller lign.

I praksis vil der så ske det at svindlerne i stedet sender fra</p>
<p>S K A T
Ska t
ToldSkat
Told&Skat
Skat!

Jojo, man er aldrig sikret 100%. Deri ligger den evindelige kamp - når politiet køber hurtigere biler, stjæler bankrøverne endnu hurtigere biler.

At vi ved de kriminelle altid vil forsøge at omgå sikkerheden, kan jo ikke medføre at vi så slet ikke skal forsøge noget. :) Det handler om at gøre det så besværligt som muligt, samtidig med en høj grad af mulig opklaring. Det er altid katten efter musen, så at undgå det, er der vel ingen der tror på. :) Hvis vi ikke gør noget, giver vi de kriminelle frit lejde.

Tak.</p>
<p>Så teoretisk, inden vi forholder os til de praktiske problemer, så kan man lave et filter i stil med "hvis SMSC nummer = udenlandsk, og afsender = dansk" filtrer SMS

Dertil kan teleudbyderne relativt nemt indføre en mekanisme der kan låse unikke navne (og deres tilhørende numre) som for eks PostDanmark, MobilePay, Skat m.v.. En sådan afsender godkendes kun, hvis den kommer fra en specifik godkendt SMSC? I stil med "hvis afsender = PostDanmark, tillad kun hvis SMSC = godkendt SMSC"?</p>
<p>Det er vel forholdsvis simpelt at forlange, at når Skat (og deres nummer) sender en SMS at de skal bruge en autoriseret SMSC? Og at alle andre SMSC forsøg på at sende med Skat eller deres nummer, bliver filtreret?

I praksis vil der så ske det at svindlerne i stedet sender fra

S K A T Ska t ToldSkat Told&Skat Skat!

-eller hvilken kombination de nu kan finde som slipper igennem

Og hvem skal have rettigheden til at sende fra

Tandlægen Biblioteket Blodbanken

etc.

Vi er ikke spor bedre end andre. Der er penge at tjene på at sende SMS og det vil de hjemmelige operatører også være med på. Naturligvis inklusiv muligheden for at sætte et nummer på. I 99% er der ikke tale om spoofing men blot om at det skal være et nummer folk kan ringe tilbage til eller kan genkende.

Selvfølgelig. Der skal være balance mellem sikkerhed, økonomi osv, ingen tvivl. Og der er jo masser af legitime årsager til at man "spoofer" numre, for at pege på hovednummer, brugervenlighed m.v. Men det kan jo også misbruges - så derfor skal man jo hele tiden følge udviklingen, og måske, i videst muligt omfang, forudse mulige problemer. Altså, antage at hvis noget kan misbruges, så vil det blive misbrugt. Det har man jo ikke gjort ved mange tidligere protokoller og teknologier.

En sådan trafik er derfor af en type der relativt nemt kan filtreres væk.

Tak.

Så teoretisk, inden vi forholder os til de praktiske problemer, så kan man lave et filter i stil med "hvis SMSC nummer = udenlandsk, og afsender = dansk" filtrer SMS eller man kunne tagge afsender nummer med "muligvis_scam_nummer"?

Dertil kan teleudbyderne relativt nemt indføre en mekanisme der kan låse unikke navne (og deres tilhørende numre) som for eks PostDanmark, MobilePay, Skat m.v.. En sådan afsender godkendes kun, hvis den kommer fra en specifik godkendt SMSC? I stil med "hvis afsender = PostDanmark, tillad kun hvis SMSC = godkendt SMSC"?

Det er vel forholdsvis simpelt at forlange, at når Skat (og deres nummer) sender en SMS at de skal bruge en autoriseret SMSC? Og at alle andre SMSC forsøg på at sende med Skat eller deres nummer, bliver filtreret?

Jeg kender ikke microsofts nummer så nummer spoofing vil ikke gøre nogen forskel. For at det skal være effektivt skal de ringe på vegne af nogen jeg har i min opkaldsliste i forvejen.

Nej, det var også mere pointen, at det godt kan ske for mange, selvom det ikke sker for mig, i stil med at dit argumenter om at du aldrig har modtaget en falsk sms eller opkald. Derfor kan problemet godt være udbredt. :)

eg siger ikke at det ikke sker. Men hold lige hestene, vi forhindrer ikke scam opkald ved at stoppe nummer spoofing. Hvis man kender lidt til telefonisystemet, så kan man se at det vil koste rigtigt meget og medføre store ulemper som ikke står mål med problemets omfang.

Selvfølgelig skal det stå i mål med hinanden. Danskerne er generelt blevet bedre til ikke at reagere på udenlandske numre - men opkald fra danske numre har folk mere tillid til, specielt dem (flertallet) som ikke aner, eller kunne forestille sig, at et nummer kan være spoofet. Det er specielt en katastrofe, når du kan sende en falsk SMS, som falder ind i en betroet, tidligere, tråd. PostDanmark som eksempel.

Har du kendskab til problemets omfang? Og hvilket?

Jeg kender ikke microsofts nummer så nummer spoofing vil ikke gøre nogen forskel. For at det skal være effektivt skal de ringe på vegne af nogen jeg har i min opkaldsliste i forvejen.

Det behøver de da ikke. Som det fremgår af Version2's video, slår nogle telefoner automatisk nummeret op - se https://www.version2.dk/artikel/spoofing-telefonnumre-naar-iben-ikke-kundeservice-1078486

I den forbindelse er det værd at bemærke, at telefonen - som flere andre telefoner - automatisk knytter et navn til det indgående nummer, så der ender med at stå YouSee i displayet.

Masser af danskere er blevet ringet op af "Microsoft" support, det er desværre aldrig sket for mig.

Jeg kender ikke microsofts nummer så nummer spoofing vil ikke gøre nogen forskel. For at det skal være effektivt skal de ringe på vegne af nogen jeg har i min opkaldsliste i forvejen.

Jeg siger ikke at det ikke sker. Men hold lige hestene, vi forhindrer ikke scam opkald ved at stoppe nummer spoofing. Hvis man kender lidt til telefonisystemet, så kan man se at det vil koste rigtigt meget og medføre store ulemper som ikke står mål med problemets omfang.

Opklaring ift SMSC. Hvis nu en dansker går ind på en amerikansk hjemmeside der tilbyder at sende en SMS til et dansk nummer med valgfri afsender-nummer, vil det så fremgå af den tekniske del af SMS'en, at den er afsendt fra en amerikansk SMSC? Eller hvordan vil det se ud?

Opklaring ift SMSC. Hvis nu en dansker går ind på en amerikansk hjemmeside der tilbyder at sende en SMS til et dansk nummer med valgfri afsender-nummer, vil det så fremgå af den tekniske del af SMS'en, at den er afsendt fra en amerikansk SMSC? Eller hvordan vil det se ud?

Ja der vil være et amerikansk nummer på SMSC. Forudsat at den amerikanske hjemmeside benytter en SMSC i USA. Det er jo internet så de vil typisk bruge en SMSC et vilkårligt sted i verden hvor det er billigst. Når man skal sende SMS til Danmark vil det typisk være en SMSC i Skandinavien.

Vi er ikke spor bedre end andre. Der er penge at tjene på at sende SMS og det vil de hjemmelige operatører også være med på. Naturligvis inklusiv muligheden for at sætte et nummer på. I 99% er der ikke tale om spoofing men blot om at det skal være et nummer folk kan ringe tilbage til eller kan genkende.

Nej, selvfølgelig kun den nummervisning, som man ikke kan stole på.

Du kan stole på 0% af nummervisningen, selv det der kommer fra Danmark. Dit forslag er så at branchen skal tage sig sammen og ryde op. Og indtil da blokkere de numre hvor man ikke er sikker. Hvilket vil sige alle opkald der kommer ude fra eget net.

Som du kan læse wikipedia er det standard at PBX løsninger er uden filter. Hvor mange tror du lige der er af dem? En debattør påstår det kun gælder USA men jeg tvivler. Jeg har selv haft admin adgang til et PBX system på kollegiet hvor der var fri mulighed for at ringe ud med et vilkårligt nummer. Det er 20 år siden men mon ikke der er et par steder i Danmark, hvor der fortsat ikke er styr på det.

Hvis et selskab har åbne huller er du også nødt til at blokkere deres uplink da problemet er rekursivt af natur. Hvilket igen medfører at du er nødt til at blokkere alt udefrakommende. Hvis to selskaber med direkte forbindelser aftaler at de blokkere for hinanden, så kan de og kun da åbne op for ikke at blokkere nummervisning fra opkald via den andens net.

En SMS indeholder to afsender numre. Det første er nummeret på den tekniske afsender som IKKE er en mobiltelefon. Det er i stedet en SMSC der står placeret i afsenderens net. Dette nummer bliver ikke vist til brugeren.

Opklaring ift SMSC. Hvis nu en dansker går ind på en amerikansk hjemmeside der tilbyder at sende en SMS til et dansk nummer med valgfri afsender-nummer, vil det så fremgå af den tekniske del af SMS'en, at den er afsendt fra en amerikansk SMSC? Eller hvordan vil det se ud?

Jeg tror ikke jeg nogensinde har modtaget et opkald eller en SMS med falsk afsender

Det kan selvfølgelig håndteres på billigere måder med "sund fornuft", men at du ikke har oplevet det, er jo ikke ensbetydende med at det ikke sker ofte?

Masser af danskere er blevet ringet op af "Microsoft" support, det er desværre aldrig sket for mig.

For at løse dette såkaldte problem mener du at jeg skal have blokeret nummervisning på alle opkald fra udlandet?

Nej, selvfølgelig kun den nummervisning, som man ikke kan stole på.

Må jeg frabede mig din hjælp her?

Hvis det laves rigtigt, så man bare mærker metadata som sikre eller usikre, kan man vente med at fjerne usikre numre til SMS'en eller opkaldet skal udsendes det sidste stykke til abonnenten. Dermed kan enhver abonnent individuelt bestemme, hvad vedkommende vil have:

1. Alle numre vist, men risiko for falske numre.

2. Kun sikre numre vises, men dermed vil visse numre ikke vises, selv om de er sikre.

Du kan så bare vælge abonnement 1, hvor jeg vil foretrække abonnement 2.

Ja, selvfølgelig skal de metadata, som skal vises som telefonnummer, ændres, hvis man ikke kan stole 100% på dem.

Kender du udtrykket at skyde gråspurve med kanoner?

Jeg tror ikke jeg nogensinde har modtaget et opkald eller en SMS med falsk afsender.

For at løse dette såkaldte problem mener du at jeg skal have blokeret nummervisning på alle opkald fra udlandet? Må jeg frabede mig din hjælp her?

Der er mange danske virksomheder som køber billig telefoni af en udenlandsk SIP operatør. Og så får de det lavet så deres danske indgangsnummer bliver vist selvom opkaldet i virkeligheden kommer udefra. Skal det blokkeres?

Ja, selvfølgelig skal de metadata, som skal vises som telefonnummer, ændres, hvis man ikke kan stole 100% på dem. Teksten (eller lyden) i meddelelsen eller opkaldet skal selvfølgelig ikke røres, så hvis man vælger et dubiøst teleselskab, må man finde sig i, at afsendernummeret ikke kommer frem på displayet; men resten fungerer uændret.

EU kommissionen bliver nok ikke imponeret...

Hvis Margrethe Vestager ikke køber den umiddelbart, behøver man bare at udsende et stort antal falske SMS'er i hendes navn. Så skal hun nok komme på andre tanker :-)

Og lige siden dag et var det almindeligt at teleselskabet glemte at sætte et filter på, så at kun de numre tilhørende virksomheden kunne anvendes.

Lige netop - man glemte sikkerheden - som det også er tilfældet med de fleste moderne IT systemer, når man åbner op for nye muligheder.

Det var intet problem for lokalcentraler, for de blev sat korrekt op af ordentlige folk, men man kan altså ikke have blind tillid til hackere, svindlere, internetpirater etc., så når man åbner sine lukkede net op for andet end mobiltelefoner, fastnettelefoner og lokalcentraler må man ganske simpelt finde den "dørmand" frem, som man ikke fik "ansat" den gang.

Internetudbyderen kan naturligvis ikke pålægges at kontrollere om en kunde har tilladelse til at benytte en bestemt protokol eller hvad der iøvrigt sendes over udbyderens forbindelse. Dermed har en SMS gateway frit spil.

Hvordan hænger de to ting sammen? Man kan selvfølgelig sende alt det, man vil, via internettet; men det sidste stykke vej en SMS eller et opkald er nødt til at benytte, går via en teleudbyder, og hvis vedkommende ikke mener, at man kan stole på de metadata, der skal vises som telefonnummer, kan man jo bare erstatte dem af noget andet. Det gør man jo allerede idag, hvor visse numre vises som "Udenlandsopkald" og lign.

Det er da meget enkelt: Erstat alle den slags metadata, som man ikke med garanti har tillid til, med f.eks. "Ukendt nummer" eller lignende. Så vil alle SMS fra gateways etc. automatisk ryge i den gruppe, og det vil alle SMS og opkald fra Kina måske også. Så har man med ét slag sikkerheden på plads og kan så derefter vha. gensidig tillid mellem store selskaber kombineret med white lists åbne op for sikre kilder. Man skal bare ikke gøre som idag, hvor man æder alle metadata fuldstændig ukritisk og uden nogen som helst kontrol.

Desuden modsiger du dig selv; først erkender du qua ovenstående at SMS'er kan sendes fra en gateway, og senere:</p>
<p>SMS-er bliver ikke udsendt af sig selv fra en mast eller som det er blevet moderne - via fiber eller kabel og derefter WiFi til den pågældende modtager. Hvis nogen vil sende en SMS, bliver de nødt til at benytte en teleoperatør

Jeg modsiger da ikke mig selv. Den teleoperatør, der udsender signalet, har fat i den lange ende og kan gøre alt det, vedkommende vil, med metadata, som beskrevet ovenfor.

Ha-ha. Vi taler fastnet her :-)

Jeg mener at den internationale central/gateway screener således at der ikke tillades f.eks. danske A-numre i et kald som sendes til Danmark.

De spoofede opkald kommer fra udlandet så hvad er din pointe?

Dit indlæg antydede en generel ligegyldighed som jeg ikke fandt helt rimelig. Dermed reagerede jeg - lidt for hurtigt. Jeg medgiver at det ikke er relevant i denne sammenhæng.

Jeg er ikke sikker på at du har ret når vi taler alm. telefoni. Jeg mener at den internationale central/gateway screener således at der ikke tillades f.eks. danske A-numre i et kald som sendes til Danmark.

Mht. SIP har du helt sikkert ret, men det kræver så, hvis jeg har ret i ovenstående, at SIP operatøren har direkte SIP interconnect med den danske operatør.

Jeg kan love dig for at de danske teleselskaber ikke tillader andre numre på PRI forbindelser, end dem kunden har betalt for

De spoofede opkald kommer fra udlandet så hvad er din pointe?

Det er desuden ikke rigtigt i mere komplicerede tilfælde. Som der nævnes i wikipedia artiklen, så er der lovlige tilfælde hvor en virksomhed har brug for at ringe ud med virksomhedens egne numre hjemhørende i andre lande eller hos andre operatører. De danske operatører siger ikke nej til at byde på en kontrakt ud fra en idealistisk ide om at sådan gør vi ikke. Men hvordan verificerer men så at de fremmede numre tilhører virksomheden? Det gør man ikke.

Der er mange danske virksomheder som køber billig telefoni af en udenlandsk SIP operatør. Og så får de det lavet så deres danske indgangsnummer bliver vist selvom opkaldet i virkeligheden kommer udefra. Skal det blokkeres? EU kommissionen bliver nok ikke imponeret...

<a href="https://en.m.wikipedia.org/wiki/Caller_ID">https://en.m.wikipedia.org/w…;

Arhh! Som så mange andre artikler om telefoni, er denne tydeligvis påvirket at den måde man gjorde/gør det på i USA, og jeg kan love dig for at de danske teleselskaber ikke tillader andre numre på PRI forbindelser, end dem kunden har betalt for - med mindre kunden og teleselskabet har indgået en aftale om at kunden evt. kan bruge et fælles kaldenummer. En sådan aftale indgås med kundens underskrift på en tro og love erklæring.

Meget interessant debat at følge. Jeg tror at det hele kan koges ned følgende misforståelse:

Problemet opstår f.eks. hvis en hacker benytter en SMS-gateway til at sende falske SMS'er. Hvis teksten er tilstrækkelig troværdig, og nummeret findes i adressebogen, så det korrekte navn og evt. billede vises på skærmen, skal gamle fru Olsen nok hoppe på den.</p>
<p>Når Per Jørgensen eller andre morer sig med at sende falske SMS'er:</p>
<p>Tja - en enkelt SMS gateway og man kan få det til at ligne hvem som helst der har sendt den mail. Jeg har lavet gas med vennerne ind i mellem og send dem en sms fra deres eget nummer - som de så skriver tilbage til og kan slet ikke forstå det</p>
<p>... har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway

Internetudbyderen kan naturligvis ikke pålægges at kontrollere om en kunde har tilladelse til at benytte en bestemt protokol eller hvad der iøvrigt sendes over udbyderens forbindelse. Dermed har en SMS gateway frit spil.

Desuden modsiger du dig selv; først erkender du qua ovenstående at SMS'er kan sendes fra en gateway, og senere:

SMS-er bliver ikke udsendt af sig selv fra en mast eller som det er blevet moderne - via fiber eller kabel og derefter WiFi til den pågældende modtager. Hvis nogen vil sende en SMS, bliver de nødt til at benytte en teleoperatør

Lad os holde fast i at SMS'er kan origineres fra både mobiletelefoner og SMS gateways, og at det ikke kan sikres om en internetopkoblet kunde må opføre sig som en SMS gateway.

Så er der vel ikke mere at diskutere?

A call placed behind a private branch exchange (PBX) has more options. In the typical telephony environment, a PBX connects to the local service provider through Primary Rate Interface (PRI) trunks. Generally, although not absolutely, the service provider simply passes whatever calling line ID appears on those PRI access trunks transparently across the Public Switched Telephone Network (PSTN). This opens up the opportunity for the PBX administrator to program whatever number they choose in their external phone number fields.

https://en.m.wikipedia.org/wiki/Caller_ID

Indholdet af en SMS (data) kan være skrevet på arabisk, krypteret eller aldeles ulæseligt. Det er hamrende ligegyldigt. Det er telefonnummeret, vi diskuterer, og det er kendt af teleudbyderne, da det formodentlig ligger i protokollen og ikke i datadelen af telegrammet

En SMS indeholder to afsender numre. Det første er nummeret på den tekniske afsender som IKKE er en mobiltelefon. Det er i stedet en SMSC der står placeret i afsenderens net. Dette nummer bliver ikke vist til brugeren.

Det andet nummer står i payload delen og er ren meta data, dvs nettet bruger det ikke til noget. Det er derfor at det kan erstattes med små beskeder der som bogstaver bestemt ikke udgør et valid telefonnummer.

SMS fungerer faktisk ligesom email. Brugerne sender dem ikke direkte men via en server. Email har som bekendt også store udfordringer med spam og falske afsendere.

Skal vi ikke starte ved telenettets begyndelse? Her var nettet switchet, og ingen kunne spoofe noget so helst.

Man har haft mulighed for at spoofe a nummer visning lige siden det blev indført. Det er sandt at en analog fastnet forbindelse ikke overfører nummeret til centralen, men det gjorde de lokalcentraler som større virksomheder fik installeret. Og lige siden dag et var det almindeligt at teleselskabet glemte at sætte et filter på, så at kun de numre tilhørende virksomheden kunne anvendes.

Husk at a nummer blot er meta data der ikke anvendes til noget.

og fastnetproblemer

UPS. Der skulle selvfølgelig stå "og fastnettelefoner**.

Dine forslag, Carsten, er på en og samme tid smarte og fuldstændigt tæt på det dummeste, som er foreslået på et techmedie. Du har absolut ingen forstand på den tekniske opbygning af hverken internettet eller telenettet.

Skal vi ikke starte ved telenettets begyndelse? Her var nettet switchet, og ingen kunne spoofe noget so helst.

Så fik vi nummerviserne; men det var ikke abonnentens egen telefon, der udsendte nummeret, men centralen på baggrund af den punkt-til-punkt forbindelse, der gik fra teleselskabet ud til abonnenten, så der var stadig ingen spoofing mulighed.

Nu begyndte man så på pakkekoblede net; men der var stadig intet problem! Hverken mobiltelefoner eller fastnettelefoner udsender deres eget nummer. For mobiltelefonernes vedkommende er det en konvertering fra SIM-kortets nummer, og for fastnettelefoner var det stadig centralen.

Nu var det så, at én eller anden fik den "gode" idé at åbne op for, at andet end mobiltelefoner og fastnetproblemer kan benytte telenettet; men vedkommende glemte fuldstændig sikkerheden og så opstod problemet.

Om internettet så var baseret på brevduer, er fuldstændig lige meget, så jeg behøver ikke at kende protokollen for at udtale mig om dette. Internettet er bare et transmissionsmedie. Fejlen er udelukkende, at man har lukket nogen ind i et lukket net uden den fornødne sikkerhed, og nu er det måske for besværligt eller dyrt at lave om, og så er det jo meget lettere at bilde hr. og fru Danmark ind, at det ikke kan lade sig gøre.

Iøvrigt har jeg de sidste ca. 35 år beskæftiget mig med industriel kommunikation og feltbussystemer, så jeg er ikke en helt novice, når det kommer til OSI model, kommunikationsprotokoller etc.

Dine forslag, Carsten, er på en og samme tid smarte og fuldstændigt tæt på det dummeste, som er foreslået på et techmedie. Du har absolut ingen forstand på den tekniske opbygning af hverken internettet eller telenettet.

I det her tilfælde gør det virkelig ondt, at se dig sidde og argumentere for dine absurde ideer, om hvordan telenettet skal bygges om. Det er fuldstændigt umuligt - nu og resten af din levetid - og så derefter fortsætter det med at være umuligt.

Der er mange, som har forsøgt at fortælle dig hvordan telenettet fungerer, og hvilke drastiske skridt det kræver, men det sidder du overhørigt. Strukturen er opbygget, sådan at man har tillid og derved stoler på hinanden. Det gælder både internettet men også telenettet.

Du bør høre på hvad de kloge mennesker Baldur og Yoel fortæller dig, og især bide mærke i hvad Yoel skriver til dig:

PSTN-nettet er på vej ud, og alt kommer til at køre via internettet i fremtiden. Tag nu fx alle iPhone-brugerne derude - SMS'er fra en iPhone-bruger til en anden kører allerede nu uden om PSTN-nettet, og det samme vil kaldene gøre, når det lykkes Apple m.f. at banke teleselskaberne på plads og få dem til at indse, at de kun er rene bitflyttere.

Om ganske få år, så er "problemet" løst - hvis det da nogensinde har været et problem, siden den første SMS blev sendt i 1992.

Dine forslag minder i øvrigt også meget om de restriktioner, som er indført i andre - diktatoriske - lande. Altså lande hvor ytringsfrihed er en mangelvare. Hvor muligheden for fri information er dybt begrænset.

Jeg er rimelig sikker på at vi kunne fortælle dig stolpe op og stolpe ned omkring telenettets opbygning, men du er så stædig, at det flyver ud igen hurtigere end du kan nå, at sige: "robotsms".

Idag er det ikke unormalt at køre tele-ydelser over en IP-baseret VPN-løsning over DWDM leveret af tre forskellige firmaer. Det er endda ikke umuligt at det er et helt fjerde firma der ejer selve fiberen.

Og?

Hvad har en yderst privat punkt-til-punkt VPN forbindelse med falske SMS numre at gøre?

Selve antagelsen om at der er en udbyder af en fysiske forbindelse som bestemmer over data er i bedste fald en anakronisme. Selv bare med ISDN er det en sandhed med modifikationer.

Det påstår jeg da heller ikke! Læs dog, hvad jeg skriver. Indholdet af en SMS (data) kan være skrevet på arabisk, krypteret eller aldeles ulæseligt. Det er hamrende ligegyldigt. Det er telefonnummeret, vi diskuterer, og det er kendt af teleudbyderne, da det formodentlig ligger i protokollen og ikke i datadelen af telegrammet. Ellers kunne Telenor jo ikke erstatte det i egne net efter stort set samme princip, som jeg foreslår.

Kan du ikke (sådan rent principielt) forklare, hvordan det skulle kunne lade sig gøre, som internettet fungerer i dag (husk på at end-to-end-kryptering benyttes ganske mange steder af helt legitime årsager), og hvilke andre ting, internetudbyderne også skulle filtrere for, nu man alligevel er i gang?

SMS-er bliver ikke udsendt af sig selv fra en mast eller som det er blevet moderne - via fiber eller kabel og derefter WiFi til den pågældende modtager. Hvis nogen vil sende en SMS, bliver de nødt til at benytte en teleoperatør, og den SMS-forespørgsel, som teleoperatøren nødvendigvis må få, skal operatøren naturligvis kunne læse, så evt. kryptering er intet problem. Kender operatøren ikke nøglen og forstår protokollen, sendes der ganske simplet ikke noget ud fra masten, og hvis ikke SMS-telegrammet er forsynet med et "stempel" fra en godkendt teleoperatør, der viser, at nummeret er verificeret og godkendt, bør det erstattes af f.eks. "Ukendt nummer".

Internettet er ikke andet end en kommunikationskanal. Hvis man skal kunne udsende en SMS fra en gateway, er man nødt til at have en protokol, som både gateway og sendenettet forstår, og har man det, kan man da let læse nummeret og verificere det mod en white-list. I dag kan vi jo netop læse, at Telenor holder øje med egne numre - se https://www.version2.dk/artikel/telenor-holder-oeje-med-maerkeligt-moenster-kampen-mod-spoofing-1078498 :

I dag fungerer det sådan, at hvis et ‘spoofing’-kald går igennem vores netværk, dvs. fra en Telenor kunde til en anden, vil afsendernummeret automatisk blive korrigeret af os, så et falsk afsendernummer ikke kan misbruges og spoofing-opkald dermed ikke går igennem.

Problemet med den løsning er så muligvis SMS-bureauer, som nødvendigvis må kunne udsende med andre numre end deres egne. Hvordan Telenor har løst det problem, ved jeg ikke; men godt at nogen gør noget konstruktivt i stedet for bare at sige som TDC, at det kan vi ikke gøre noget ved - se https://www.version2.dk/artikel/spoofing-telefonnumre-naar-iben-ikke-kundeservice-1078486 :

Det er dog vigtigt at understrege, at teleselskaberne ingen kontrol har med, at nogle vælger at oprette tjenester til spoofing,

Folk kan oprette alle de tjenester, de vil, men har de ikke deres eget sendenet, har teleoperatørerne da fat i den lange ende og kan blokkere for hvad, de vil. TDC synes måske bare, det er for bøvlet eller kræver for store og dyre tekniske ændringer?

har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway

Idag er det ikke unormalt at køre tele-ydelser over en IP-baseret VPN-løsning over DWDM leveret af tre forskellige firmaer. Det er endda ikke umuligt at det er et helt fjerde firma der ejer selve fiberen.

Selve antagelsen om at der er en udbyder af en fysiske forbindelse som bestemmer over data er i bedste fald en anakronisme. Selv bare med ISDN er det en sandhed med modifikationer.

Men jeg tror ikke at vi kommer længere i denne debat.

... har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway

Kan du ikke (sådan rent principielt) forklare, hvordan det skulle kunne lade sig gøre, som internettet fungerer i dag (husk på at end-to-end-kryptering benyttes ganske mange steder af helt legitime årsager), og hvilke andre ting, internetudbyderne også skulle filtrere for, nu man alligevel er i gang?

Hvordan kan TDC vide om det er SMS gateway hos en kinesisk operatør eller om Telenor kunden er i Kina og roamer?

Der er to muligheder:

1. Hvis f.eks. et netværk af seriøse europæiske teleoperatører (TDC og andre) ikke har tillid til SMS gateways i Kina og heller ikke til én eneste kinesisk teleoperatør, er der ikke andet at gøre end at erstatte samtlige SMS-numre fra Kina med f.eks. "Ukendt nummer" eller "Udenlandsopkald".

2. Hvis man har tillid til, at en kinesisk operatør kan skelne sikkert mellem SMS'er modtaget fra mobiltelefoner og SMS'er modtaget fra gateways, men stadig ikke stoler på kinesiske gateways, beder man den kinesiske operatør om enten at fjerne nummeret fra alle SMS'er fra alt andet end mobiltelefoner eller gøre der muligt at skelne mellem de to typer telegramkilder. Kan eller vil operatøren ikke det, må man ty til løsning 1.

Der bliver i højere og højere grad udbudt teleydelser over IP-netværk helt ud til slutbrugeren, herunder til mobiltelefoner som suplement til GSM-forbindelsen. Det betyder at medmindre du ønsker at samtlige IP-udbydere skal lave deep packet inspection, så holder din teori om en fysisk udbyder ikke længere.

Som jeg har skrevet før, er mobiltelefoner ikke noget problem, da de aldrig udsender SMS'er med falsk nummer, så glem dem! Om man så roamer fra Kina eller Somalia, eller benytter WiFi som supplement til GSM, som nogle danske teleoperatører er begyndt på, behøver ingen at checke noget som helst.

Problemet opstår f.eks. hvis en hacker benytter en SMS-gateway til at sende falske SMS'er. Hvis teksten er tilstrækkelig troværdig, og nummeret findes i adressebogen, så det korrekte navn og evt. billede vises på skærmen, skal gamle fru Olsen nok hoppe på den.

Når Per Jørgensen eller andre morer sig med at sende falske SMS'er:

Tja - en enkelt SMS gateway og man kan få det til at ligne hvem som helst der har sendt den mail. Jeg har lavet gas med vennerne ind i mellem og send dem en sms fra deres eget nummer - som de så skriver tilbage til og kan slet ikke forstå det

... har den SMS'gateway, som benyttes, jo en fysisk forbindelse til internettet. Internetudbyderen, der ejer den forbindelse, skal så bare checke, at den pågældende abonnent i det hele taget har tilladelse til at fungere som SMS-gateway og i så fald ikke udsender SMS beskeder med andre numre end abonnementsnummeret for SMS-gateway'en selv, som den selvfølgelig altid har ret til at bruge, eller de numre, som ejeren af det benyttede telefonnummer skriftligt har givet internetoperatøren tilladelse til at overføre fra gateway'en. Kan 100% korrekt nummer af én eller anden årsag ikke garanteres, dvs. hvis et white-list filter hos internetoperatøren ikke specifikt har signeret en besked som verificeret og godkendt, skal nummeret erstattes af "Ukendt nummer", "RobotSMS" eller andet, inden SMS'en udsendes (ufiltrerede meddelelser godkendes ikke).

I det gamle switchede net, var det ikke muligt at sende med falsk afsender; men det er det i et pakkekoblet net, og så må man bare sørge for at blokkere for den mulighed, hvis nettet skal være troværdigt, og det burde ikke være særlig svært eller omfattende, da problemet kun findes for dubiøse SMS-bureauer, SMS-gateways og lignende.

Ja, men en iPhone eller nogen som helst anden mobiltelefon kommer aldrig nogensinde til at køre uden om de fysiske sendemaster.

Der bliver i højere og højere grad udbudt teleydelser over IP-netværk helt ud til slutbrugeren, herunder til mobiltelefoner som suplement til GSM-forbindelsen. Det betyder at medmindre du ønsker at samtlige IP-udbydere skal lave deep packet inspection, så holder din teori om en fysisk udbyder ikke længere.

Der er behov for et sikkert og troværdigt kommunikationsnetværk, det er der ingen der modsiger. Løsningen er dog ikke at rulle tiden tilbage da datatransmision og teleydelser var to side af samme sag og understøttede en central kontrol fordelt på meget få spillere.

Problemet opstår udelukkende med SMS-gateways og lignende, og dem flytter man vel ikke rundt på hele tiden fra den ene teleoperatør til den anden

TDC har ikke en jordisk chance for at tjekke en roaming SMS fra et Telenor nummer i udlandet.

Nej, og?

Hvis SMS'en kommer ind i Telenor's net fra en mobiltelefon, er der som sagt ingen problemer, da en mobiltelefon ikke kan sende med falsk adresse. Telenor kan derfor roligt sende SMS'en videre, og ingen behøver at checke noget som helst.

Problemet opstår udelukkende med SMS-gateways og lignende, og dem flytter man vel ikke rundt på hele tiden fra den ene teleoperatør til den anden, og hvis man gør, er det så bare den nye teleoperatør, der nu har den fysiske forbindelse til gateway'en, der skal oprette white-listen.

Tag nu fx alle iPhone-brugerne derude - SMS'er fra en iPhone-bruger til en anden kører allerede nu uden om PSTN-nettet.

Ja, men en iPhone eller nogen som helst anden mobiltelefon kommer aldrig nogensinde til at køre uden om de fysiske sendemaster. Om kommunikationen i telenettet derefter foregår med gammeldags switchede netværk (PSTN) eller er moderne pakkekoblet er fuldstændig ligegyldigt - når bare man ikke tillader alle og enhver at indsætte pakker med falsk afsender. Problemet med internettet er jo netop, at man i sin iver efter at åbne op for nye, spændende muligheder, som de nye teknologier giver, fuldstændig glemmer hvad de muligheder også kan bruges til, og så har vi problemet med bl.a. false SMS'er, virus, ransomware, usikre dokumenter med macroer etc.

Man kan ikke stole på IP-pakker, ligesom man heller ikke kan stole på A-numre på PSTN-kald, men til gengæld kan man løse det på et højere niveau i OSI-modellen vha. kryptering og certifikater.

Og hvordan skal det så foregå i praksis, så man sikrer identiteten af afsenderen 100% og samtidig kan sende til alle og enhver og derfor ikke på forhånd kan aftale en krypteringsnøgle med modtageren? Ved f.eks. et public-key system kan hackeren jo bare kryptere med den offentlige nøgle, og så er man lige vidt og har bare kompliceret systemet unødigt.

Flere i denne tråd mener, at et simpelt white-list filter hos teleoperatøren, som blokkerer for alle andre afsenderadresser, end en abonnent har tilladelse til at benytte, vil være næsten uoverkommeligt at implementere, så hvordan i alverden skulle man kunne indføre et langt mere kompliceret worldwide krypterings- og certificeringssystem og have 100% tillid til det - uanset om så beskederne kommer fra Kina eller Somalia?

Roaming er slet ikke noget problem, for det er udelukkende relevant for mobiltelefoner, og en mobiltelefon kan ikke udgive sig for et andet nummer end det, der svarer til SIM-kortet.

Er de ligeglade eller bare siger, at det ikke kan være anderledes, må man gå til politikerne, for kun ved EU-krav kan teleoperatørerne bankes på plads, så vi i fremtiden får i det mindste ét nummersystem, der er til at stole på.

Hvorfor vil du kæmpe den forrige krig her?

PSTN-nettet er på vej ud, og alt kommer til at køre via internettet i fremtiden. Tag nu fx alle iPhone-brugerne derude - SMS'er fra en iPhone-bruger til en anden kører allerede nu uden om PSTN-nettet, og det samme vil kaldene gøre, når det lykkes Apple m.f. at banke teleselskaberne på plads og få dem til at indse, at de kun er rene bitflyttere.

Tankegangen om at teleselskaberne skal styre kommunikationen fra den ene ende til den anden er passé - den døde med internettet, hvor man gik over til pakke-baseret trafik efter best-effort-princippet i stedet for reserverede timeslots. Man kan ikke stole på IP-pakker, ligesom man heller ikke kan stole på A-numre på PSTN-kald, men til gengæld kan man løse det på et højere niveau i OSI-modellen vha. kryptering og certifikater.

Du glemmer f.eks. roaming scenariet jeg nævnte ovenfor.

Roaming er slet ikke noget problem, for det er udelukkende relevant for mobiltelefoner, og en mobiltelefon kan ikke udgive sig for et andet nummer end det, der svarer til SIM-kortet.

Problemet opstår udelukkende, fordi teleoperatørerne blindt tillader, at en SMS-gateway sender SMS'er ud med andre afsendertelefonnumre, end den specifikt har tilladelse til. Det eneste, der skal til, er derfor, at teleoperatøren, der fysisk modtager signalet fra gateway'en, har en white-list, som angiver hvilke afsendernumre, den pågældende gateway må benytte, og det er naturligvis ikke gateway'en selv, der skal oprette den liste. Hvis nogen ønsker at benytte andre telefonnumre end ens egne, er det vel overordentlig rimeligt, at teleoperatøren indhenter skriftlig tilladelse fra ejeren af nummeret, inden man åbner for den mulighed.

Vi bliver vist ikke enige - det havde jeg nu heller ikke forventet - så jeg vil stoppe her.

Jeg kan dog med 100% sikkerhed love dig, at hvis vi legede med tanken at det du foreslår (ændre afsender på alle udenlandske og maskinelt afsendte SMS til "RobotSMS") blev implementeret i morgen, så vil der komme noget lignende et ramaskrig fra alle ledder og kanter.

Du sprang lidt let hen over hvordan det praktisk skulle iværksættes, og om du virkelig mener Konkurrencestyrelsen vil bifalde at de 4 netejere på den måde stort set kvæler forskellige SMS-udbyderes eksistensgrundlag?

Det gjorde jeg da ikke. Jeg beskrev jo netop en procedure for, hvordan det kunne foregå. Der er ingen, der kvæler nogen, og dermed ingen problemer med konkurrencestyrelsen. Det eneste, der skal til, er, at teleoperatøren, som SMS-udbyderen er forbundet til, skal indhente tilladelse fra ejeren af telefonnummeret, før det indsættes i filtret hos teleoperatøren, så SMS-udbyderen kan udsende SMS'er med det afsendernummer, og den procedure kan ske helt automatisk.

OK, så vi skal i fremtiden vænne os til at gå og huske på at Danske Bank har - og sender SMS fra +4545121100 men at +4545111200 potentielt kunne købes af en svindler der skriver han kommer fra Danske Bank. Gør det det virkelig nemmere for gamle Fru Olsen?

Ja, der gør det i høj grad, for hvis man er lidt kvik, forespørg mobiltelefonen lige op på nummere +4545111200, hvis det ikke allerede står i mobiltelefonens adressekartotek, og så får man netop ikke fat i Danske Bank, men formodentlig "Ukendt nummer", "Hemmeligt nummer" eller lignende - hvis man vel at mærke kan stole på telefonnumrene! Ellers gør hackeren nemlig det, at han som afsendernummer i stedet benytter +4545121100, og så vil selv et opslag i en telefonbog ikke afsløre noget!

Aha - så vi skal ligefrem ind og ændre i beskeden? Du vil ikke have teleselskaberne til at scanne for anstødeligt sprogbrug og potentiel kriminalitet nu de er i gang (man kunne sikkert komme noget narkosalg til livs på den måde!). Spændende.

For pokker da - hvad med at læse, hvad jeg skiver, inden du beskylder mig for noget, jeg ikke mener og aldrig har udtalt. Som jeg har skrevet flere gange, er det udelukkende telefonnummeret, der skal erstatte af noget andet, hvis det er utroværdigt. Indholdet af SMS'en skal bare passere uændret!

Øhhh nej..? Det er vel netop hele konceptet i det vi diskuterer, at afsenderen er en anden end de udgiver sig for. Men indtil du er kommet op med en plan for, hvordan vi får hele verden med på vores kaffebords-aftale, er vi jo nødt til at antage at alt fra udlandet ikke kan stoles på, og derfor skal blokeres. Eller nå nej, vi skulle bare redigere i det.

Igen beskylder du mig for noget, jeg ikke mener og aldrig har sagt. Jeg har tværtimod skrevet, at hvis man er stor nok til at grave egne kabler ned eller sætte master op, er man nok også til at stole på; men der kan selvfølgelig være f.eks. kinesiske firmaer, hvor man ikke kan garantere afsenderidentiteten og derfor må fjerne afsendernummeret, som afsenderen så bare kan skrive i SMS teksten.

P.S. Hvis der nu, stærkt mod forventning, skulle være enkelte kunder der ringer og ikke synes det er særligt fedt at deres SMS er redigerede og/eller ikke kommer frem - må vi så viderestille dem til dig, så du kan forklare hvorfor denne nye metode er til alles bedste?

Det vil da være langt bedre først at gå til ens teleudbyder for at spørge, hvordan i alverden de kan tillade, at andre sender med det telefonnummer, som man som den eneste i verden betaler for, uden at man skriftligt har givet tilladelse til det. Er de ligeglade eller bare siger, at det ikke kan være anderledes, må man gå til politikerne, for kun ved EU-krav kan teleoperatørerne bankes på plads, så vi i fremtiden får i det mindste ét nummersystem, der er til at stole på.

F.eks. kan du ikke stole på china Telecom. Skal TDC så bare nægte at modtage opkald og SMS fra Kina?

Næ, men de skal bare erstatte telefonnummeret med noget andet, hvis de ikke stoler på identiteten. Indholdet af SMS'en kan de bare lade gå uændret videre.

Verden skriger på IoT og alle kalder det fremtiden; men hvis man ikke kan stole på afsenderadressen, kan man jo heller ikke stole på data! Den traditionelle IT verden har for længst gjort det muligt at forfalske både e-mail- og IP-adresser, og det er lige træls, hver gang man igen må konstatere, at én eller anden bruger ens e-mail adresse og dermed domænenavn til at udsender spam, uden at man kan gøre noget. Teleoperatørerne har derimod stadig muligheden for at gøre telefonnummeret næsten 100% sikkert, fordi de har fysisk fat i abonnenten og dermed kan garantere identiteten, og hvis de så gjorde det muligt for abonnenten at udvide nummeret med ekstra brugerdefinerede cifre til vedkommenes dimser, kunne de skabe et næsten 100% sikkert IoT net; men den gren, som i fremtiden kan blive milliarder af dollar værd, er de nu ved at save over ved at tillade at alle og enhver kan udgive sig for alle og enhver uden tilladelse, så heller ikke telefonnumrene længere er sikre. Hvordan skal vi i fremtiden kunne kommunikere mellem maskiner eller med tekst (uden lyd og evt. video), når ingen kan stole på nogen, og ingen kan garantere, hvorfra en meddelelse kommer?

Tja - en enkelt SMS gateway og man kan få det til at ligne hvem som helst der har sendt den mail. Jeg har lavet gas med vennerne ind i mellem og send dem en sms fra deres eget nummer - som de så skriver tilbage til og kan slet ikke forstå det

Mener du virkelig, at det ikke er teknisk muligt at sikre, at telefonnumre altid er troværdige, når I nu selv har direkte fat i abonnenten og derfor med sikkerhed kender identiteten?

Ja, nummeret skal erstattes med f.eks. "RobotSMS", med mindre ejeren af nummeret skriftligt har godkendt, at andre bruger det.

Hvis en virksomhed ønsker at benytte et bureau til udsendelse af SMS'er, bliver de nødt til at godkende, at andre sender i deres navn. Det kan f.eks. sikres med en simpel SMS fra teleudbyderen til virksomheden som f.eks.: "Vil du give tilladelse til, at bureau XX udsender SMS'er med følgende af dine telefonnumre: xxx". Den slags verifikation benyttes jo allerede mange steder.

Nej. Telefonnummeret skal bare fjernes eller erstattes, hvis man ikke kan garantere integriteten.

VISA, Mastercard, Facebook og andre udsender vel ikke falske SMS'er

Jeg må jo nok igen slutte af med at beklage - denne gang at jeg sådan ser begrænsninger frem for muligheder (for selvfølgelig er der også nogle muligheder, og den dag i dag filtrerer teleudbyderne meget skrammel væk, men det er - af grunde beskrevet her i tråden - svært at fange alt).

P.S. Hvis der nu, stærkt mod forventning, skulle være enkelte kunder der ringer og ikke synes det er særligt fedt at deres SMS er redigerede og/eller ikke kommer frem - må vi så viderestille dem til dig, så du kan forklare hvorfor denne nye metode er til alles bedste?

Mener du virkelig, at det ikke er teknisk muligt at sikre, at telefonnumre altid er troværdige, når I nu selv har direkte fat i abonnenten og derfor med sikkerhed kender identiteten?

Ja det er teknisk umuligt med den nuværende protokol SS7. Det kræver at alle operatører i verden er til at stole på og det er bare ikke tilfældet. F.eks. kan du ikke stole på china Telecom. Skal TDC så bare nægte at modtage opkald og SMS fra Kina?

Skal alle teleudbyderne sætte sig sammen over en kop kaffe og blive enige om, at de fremover kun vil tillade hver enkelt operatørs egne numre samt "RobotSMS" som eneste alfanumeriske afsender?

Ja, nummeret skal erstattes med f.eks. "RobotSMS", med mindre ejeren af nummeret skriftligt har godkendt, at andre bruger det.

Vil en sådan aftale mellem operatørerne være OK for konkurrencemyndighederne, eller vil det måske være en smule misbrug af monopollignende forhold - også set i forhold til der er virksomheder (Cooltel etc.) der har maskinelt afsendte SMS som et primært forretningsområde.

Hvis en virksomhed ønsker at benytte et bureau til udsendelse af SMS'er, bliver de nødt til at godkende, at andre sender i deres navn. Det kan f.eks. sikres med en simpel SMS fra teleudbyderen til virksomheden som f.eks.: "Vil du give tilladelse til, at bureau XX udsender SMS'er med følgende af dine telefonnumre: xxx". Den slags verifikation benyttes jo allerede mange steder.

står "Med venlig hilsen Danske Bank", så er det også Danske Bank der har sendt beskeden?

Det kan man aldrig sikre; men telefonnummeret bør kunne være et globalt nummer, der med sikkerhed identificerer en abonnent. Det farlige er, at telefonen både viser navn og evt. billede på hvad man tror er afsenderen. Står nummeret som "RobotSMS", bør alarmklokken ringe hos brugeren.

Skal operatørerne i øvrigt samtidigt blive enige om at blokere alle SMS fra udenlandske numre?

Nej. Telefonnummeret skal bare fjernes eller erstattes, hvis man ikke kan garantere integriteten.

Eller skal vi nøjes med at blokere alfanumeriske SMS fra udlandet, og i så fald er det OK med dig at din aktiveringskode fra VISA, Facebook og Gmail samt din check-in SMS fra Norwegian ikke nårfrem?

VISA, Mastercard, Facebook og andre udsender vel ikke falske SMS'er; men burde ærlig talt have overordentlig stor interesse i SMS sikkerhed, da de jo netop idag bruges det til 2 faktor sikkerhed! Det er jo netop den manglende SMS sikkerhed, der også er ved at ødelægge den mulighed.

Alt dette uden at eje et fiberkabel i jorden.

Om I ejer eller lejer er vel lige meget. De lejede kabler kobler ikke direkte til andres net.

Hvis nogen af jeres abonnenter vil udsende en SMS, må I nødvendigvis ind i en af teleoperatørernes net, hvis det skal være muligt, og så er det vel rimeligt, at nogen sikrer, at jeres abonnenter ikke kan sende SMS'er med andre afsendernumre, end deres egne. Har teleoperatøren tillid til jer, kan I foretage den test, hvilket er det letteste. Ellers må de selv.

Mener du virkelig, at det ikke er teknisk muligt at sikre, at telefonnumre altid er troværdige, når I nu selv har direkte fat i abonnenten og derfor med sikkerhed kender identiteten?

Jeg ved ikke hvorfor du tror det. Bare inden for Europa kan dit kald nemt gå igennem 10 eller flere net med egen fysisk infrastruktur.

Og? Det er da ligegyldigt, bare man har tillid til alle 10 eller flere net.

Meget trafik bliver overført som IP telefoni over internettet.

Hvad har telefoni (lydopkald) med korrekte og troværdige SMS afsendernumre at gøre?

Tilbage et så call-centre og SMS-bureauer, som forpester verden med spam; men her kan vi vist godt leve med, at deres SMS'er bliver mærket med f.eks. "RobotSMS" eller lignende i stedet for telefonnummer, og at firmanavnet så må stå i selve SMS'en; men det reelle problem er måske, at teleudbyderne tjener for meget på spam til at ville reducere mulighederne for at udgive sig for hvem som helst?

Skal alle teleudbyderne sætte sig sammen over en kop kaffe og blive enige om, at de fremover kun vil tillade hver enkelt operatørs egne numre samt "RobotSMS" som eneste alfanumeriske afsender? Vil en sådan aftale mellem operatørerne være OK for konkurrencemyndighederne, eller vil det måske være en smule misbrug af monopollignende forhold - også set i forhold til der er virksomheder (Cooltel etc.) der har maskinelt afsendte SMS som et primært forretningsområde.

Nu hvor vi er blevet enige om at alle maskinelt afsendte SMS skal mærkes "RobotSMS", er vi så i øvrigt sikre på, at når der - jf. dit forslag - står "Med venlig hilsen Danske Bank", så er det også Danske Bank der har sendt beskeden?

Skal operatørerne i øvrigt samtidigt blive enige om at blokere alle SMS fra udenlandske numre? Fra lille Danmark kan vi jo nok dårligt kontrollere at hele verden accepterer vores kaffebords-aftale om kun at sende SMS fra afsendernumre man selv råder over.

Eller skal vi nøjes med at blokere alfanumeriske SMS fra udlandet, og i så fald er det OK med dig at din aktiveringskode fra VISA, Facebook og Gmail samt din check-in SMS fra Norwegian ikke nårfrem?

Beklager jeg hænger mig i små detaljer, de griske teleselskaber må jo selvfølgelig bare se at rette ind...

Enhver kan nedsætte sig som teleoperatør; men har man intet fysisk net, må man nødvendigvis basere sig på andres, og så er det vel kun et spørgsmål om fakturaskrivning, hvor alt det tekniske må overlades til andre. På tilsvarende måde er elnettet og gasnettet jo også liberaliseret, men drives reelt set af ganske få operatører, som let kan samarbejde om sikkerheden. Alle meddelelser går fra starten til en stor operatør og derefter videre til andre store. Der er ingen meddelelser, som går fra lille til lille.

Jeg er ejer af en internetudbyder der hedder Gigabit. Vi startede for et par år siden med at leje rå fiber af TDC på det gamle DONG fibernet. Det er ikke vores fiber men det er vores udstyr i enderne af fiberen. Både ude hos kunden og på centralen. Vi har endvidere lejet rå fiber mellem centralerne og på den måde bygget vores egen backbone.

Gigabit har i dag direkte peering med omkring 200 andre internetudbydere. Det betyder at trafik fra en af vores kunder til kunderne hos en af disse 200 internetudbydere aldrig kommer forbi tredjemand.

Alt dette uden at eje et fiberkabel i jorden.

Medmindre at trafikken skal til en TDC kunde, så kommer vores trafik aldrig i nærheden af aktivt TDC udstyr. TDC ejer fiberkablerne men de transportere ikke vores trafik. De aner faktisk ikke hvad vi laver med de kabler, hvilken hastighed vi bruger eller blot hvilken teknologi. TDC er ikke vores uplink og forbindelse til resten af internettet. Vores uplink er nogle store amerikanske selskaber og der er mere end én.

Nu er vi også gået i gang med at grave vores egen fiber ned. Det er der dog mindst 100 andre danske virksomheder der har gjort før os. Der er naturligvis Global Connect og energiselskaberne. Men også diverse virksomheder og foreninger der beskæftiger sig med bolignet. Der er virksomheder der levere trådløst internet via Wifi og der er foreninger som Samsø nettet. Og kommuner, jernbaneselskaber, vandværker og mange andre der ejer større eller mindre fibernet uden at du tænker over det.

Der er ikke nogen sammenhæng mellem hvem der ejer fysiske net og hvem der udveksler trafik direkte via peering.

Vi sælger kun internet men telefon fungerer på samme måde. Ligesom vi har Internet Exchange (DIX etc) til internet, så har vi tilsvarende for telefoni. Eksempel: https://ams-ix.net/services-pricing/mobile-peering/grx

Du kan leje dig ind på andres mobilnetværk men selv stå for transport af kald til andre net. Det er du muligvis nødt til, for det er der du kan tjene noget. Det betyder at du selv kan lave aftaler med andre operatører om terminering af opkald fra dine kunder i stedet for at køre på eksempelvis TDCs aftaler.

Hvor en gammel operatør som TDC måske bruger det oprindelige telenet til at transportere en samtale til Australien, så vil de nye virtuelle operatører næsten altid vælge en VoIP løsning over internettet til at få kaldet derned.

En meddelelse kan rent fysisk kun transmitteres via nogle få, store og seriøse udbydere med egen fysisk infrastruktur, og hvor mange er der reelt set af dem?

Jeg ved ikke hvorfor du tror det. Bare inden for Europa kan dit kald nemt gå igennem 10 eller flere net med egen fysisk infrastruktur. Det gamle telenet blev bygget ud fra antagelsen af at hvert land havde en monopol udbyder med kabler til grænsen, hvorfra den næste monopol udbyder overtager ansvaret til næste landegrænse. Hvor mange grænser er der herfra og til Australien?

Det var dengang. Nu er antallet af udbydere eksploderet. Samtidig er der ikke længere nogen binding til det fysiske net. Meget trafik bliver overført som IP telefoni over internettet. Pludselig kan dit opkald godt gå direkte fra Australien til Danmark via internettet som VoIP. En stor del af abonnementerne er i dag VoIP abonnementer og et opkald kommer måske aldrig ind på det gamle fysiske net.

Men hvordan ved du at det opkald faktisk kommer fra Australien og ikke fra en fusker i Rusland?

Du tænker sikkert at det kun er danske telefonnumre der skal sikres. Men det er jo præcis samme problem i mindre skala. Dog stor nok skala til at der ikke rigtigt er mulighed for at ændre systemet. Dertil kommer roaming problemet.