Názory k článku
ČTÚ se letos zaměří na boj se spoofingem, chystá změnu pravidel propojování mezinárodních hovorů

Je to asi 15 let, co jsem u jednoho našeho operátora implementoval nový monitoring nad daty z propojených sítí, protože ten co měli generoval díry.

Moje překvapení, že v těch datech je vše vlastně jako string a žádná kontrola na tím není bylo nedozírné. Původní monitoring padal, když se tam místo čísla objevil nějaké text, což bylo u některých integrovaných operátorů naprosto běžný jev. V protokolu nebyla žádná validace, nic, prostě ten datům se muselo věřit, mohlo se max. druhému operátorovi napsat, ale to bylo tak vše.

Ani dnes tohle není vyřešené, liknavost operátorů je nedozírná, čekají až jim to nakáže legislativa a neudělají naprosto nic pro bezpečnost sami. Řešení od T typu, že budeme to nějak filtrovat pro skupinu čísel je takové pěkné plyvnutí do tváře a ukázka té naprosté ignorace.

To jsou telekomunikace. Ultrakonzervativni obor. Asi jako energetika. Zvykejte si. V CR to neni rak spatne. Vemte si ze jeden italsky operator mel misto monitoringu tym co systemy rucne kontroloval.

Na druhou stranu zas ty systemy musi fungovat. Takze sd to vetsinou necha dozit. Nagelovani startupovi frikulini se az tak moc nenosi.

26. 1. 2024, 13:21 editováno autorem komentáře

čekají až jim to nakáže legislativa
Ale to je naprosto správně :-). Jejich zájem je vydělat, zájem státu je (by mělo být) zajistit svým občanům bezpečnost. Když se tu vydělává na prodeji svinstva jako Kratom v nehlídaných automatech v každém nákupáku, proč by měl operátor investovat peníze do zabezpečení telekomunikací, které fungují -- hovor je spojen a vy si klidně můžete povídat s tím Kazachem, co vám volá z německého čísla a tvrdí, že je od Microsoftu.

Je zodpovědností státu nastavit a kontrolovat (což je to hlavní, co se dnes neděje) dodržování pravidel společenské smlouvy. Jinak stát neplní svou roli a tudíž je zbytečný.

Ale univerzalne to rozhodne neplati. Minimalne co se IP siti tyce. Aneb i na narodni urovni mame treba projekt FENIX - kde operatori (i relativne velci) nejakou elementarni bezpecnost resi. Dobrovolne - nic jim to neprikazuje, minimalne ne do chvile, nez se chteji k projektu pridat (nemusi, je to dobrovolne). Na svetove urovni neco podobneho resi MANRS. A samozrejme se tam pozaduji veci, ktere nejste vzdy schopny vyresit na nejakem "dozivajicim" zeleze - treba takova RPKI validace je je vcelku nova vec.

Aneb ty telekomunikace nejsou jen hlas... a nejaka samoregulace taky funguje. A mozna funguje i lepe, nez regulace statni.

"Například společnost T-Mobile nabídla zdarma firemním zákazníkům možnost aktivovat si telefonní firewall. "

To přece není pravda. TMO to zavedl všem. A až po nátlaku čtú umožnil to vypnout pro definovaná čísla, protože pro některé firmy je žádoucí, aby bylo možné maskovat jedno číslo za druhé (když obě čísla samozřejmě vlastní).

Moznost podstrcit jine cislo, nez ze ktereho volam byla fajn. Ta doba asi pravdepodobne brzo skonci, skoda.

Pokud z mezinarodniho smeru povoli jako cgdn cislo pro nase pevne linky, pak to je opravdu slendrian.

Ne, tak to není. Pokud máte například mobilní a pevná čísla, máte právo volat například pomocí VoIP a maskovat se svým mobilním číslem a to i ve veřejné síti.

Ja jsem jako mlade ucho pro zmenu resil bordel v bilingu, kde pred zpracovanim mediatory tam prsel misto cisel bordel z mezinarodnich hovoru u klokanu a zpracovavajici system kvuli tomu padal na tlamu. Byl to rakousky operator.
Samozrejme tranzitni operator a Telstra od toho davali ruce pryc.
Je pro mne alarmujici ze za tech vice nez 27 let operatori na to kaslou a nezavedli filtraci a validaci na vice vrstvach.

Akorat ze blbosti typu prenositelnost cisel tohle taky komplikuji :-) Ten chleba ma dve kurky - aneb kdyby se na politicke urovni nevymejsleli blbosti kvuli tomu, abyste nemusel predelavat vizitky a hlavickovy papiry, tak by ta validace byla taky jednodussi... a uz vidim ten rev, kdyz diky false-positives vzeslych z tohoto bordelu se nekam nedovolate :-)

To je dnes uz spise administrativni cleneni nez cleneni technicke. Aneb kdyz takovy VoIP operator ma ustrednu akorat v Praze, ze ktere obsluhuje celou CR - co vam technicky zabrani pouzit v Praze cislo treba z Ostravy? ;-) Papirove zabrany neresim.

Ono je dobré si uvědomit, že při telefonování hrají roli vlastně dvě různá čísla (dva údaje) - hodně zjednodušeně je to šíslo SIM-ky (opravdu zjednodušuji!!!) a údaj o volajícím. To druhé je jen jakýsi informační údaj a docela běžně bývá prázdný (skryté číslo); a taky tam lze zadat krátký text, případně číslo volajícího - v podstatě cokoliv.
To jen uživatelé si tak nějak zvykli věřit tomu, že to číslo je stejné, jako to, na které zavolají...

Neskonci, akorat si budou operatori uctovat xxxxKc za tu moznost.

Mam dve adresy, kazdou od jineho providera... ale obcas chci poslat paket s adresou jednoho providera pres pripojku providera druheho. Ehm... no, to to pak v IP sitich muzeme s nejakym BCP38/RFC2827 muzeme rovnou zabalit, pokud nejak "chytrak" krome prenositelnosti telefonniho cisla prijde treba i s podobnou "prenositelnosti" IP adresy. Utocnici vam jednoznacne podekuji... :D Ukocirovat matici opravneni tak, aby to fungovalo a kazdy mohl poslat jen to, k cemu je opravnen je v podstate neresitelny task... ve vetsim meritku.

Odkud to vase "pravo" vychazi a ke ktere zemi se vztahuje? Protoze to porusuje cislovaci plan v CR. VoIP v CR totiz byvajj bud prirazena geograficka cisla z rozsahu pro pevne linky nebo negeograficka nomadicka cisla.
Jako id vsak neni problem mit treba cisla specialni linky s jinou tarifikaci. Napr. Zelene linky.

Uživatel čísla má právo ho využít jakýmikoli prostředky, zjednodušeně řečeno. Zeptejte se klidně na čtú, ten to nedávno řešil. Využívají toho například FAYN nebo miniTEL.

Jo myslel jsem telefonacke mozky. Tam je to kolikrat dost tragicke. Nektere ciste ISP firmy maji tu samou mentalitu.

No asi jsem startuppvy frikulin ale RPKI mi prijde uz dnes jako zaklad i u konzervativnejsich firem.

26. 1. 2024, 19:03 editováno autorem komentáře

Porad i v CR mame tak 20% cernych ovci :-) Tedy z pohledu statistiky (ne)podepsanych prefixu. Se samotnou validaci to uz takova slava neni, stale vice nejakych 60% siti na validaci bohuzel kasle...

Ano - v tom se shodneme. (Viz závorku na konci.)

Ale taká je možné například to, že klient volá na firemní ústřednu, která ten hovor přepošle na firemní mobil, ale jako identifikaci nepředá číslo toho, kdo volá, ale zase číslo ústředny a kód hovoru - takže zpětné volání z mobilu jde zpět do firmy, kde ústředna přepojí hovor na původně volajícího a identifikaci nechá ústřednovou (nikoliv mobil...).
Ale pokud byste chtěl takovéhle kejkle dělat ve veřejné síti, asi byste dost rychle narazil na nějakou pěknou pokutu. ;o)

Potlacit cislo volajiciho muze kdokoliv. A tim ze se s nekym volajicim ze skryteho cisla vykecavate a predavate mu udaje, na ktere ani treba nema narok bych se verejne moc nechlubil.. :-) To bych skoro oznacil za bezpecnostni incident v ramci vasi organizace.

Co je to "docela běžně"? Mě skryté číslo nevolalo ani nepamatuju, minimálně rok...

BFU se v praxi setkává s tím, že číslo, co se mu zobrazilo, je opravdu číslo volajícího, nebo je skryté. S podvrženým číslem se prakticky nesetká, respektive to moc nemá jak poznat - těžko se mu stane, že mu nějaká instituce zavolá z čísla jeho maminky.

No a jelikož BFU nezná implementační detaily telefonní technologie, tak logicky dojde k závěru, že pokud se mu číslo ukáže, tak je to číslo volajícího - odpovídá to jeho zkušenosti.

Ono je to tak, že nesmíte podvrhovat číslo ve veřejné telefonní síti. Ale pokud máte - například - řadu svých služebních (pronajatých) čísel, nic vám nebrání na ta čísla směrovat hovory z firemní ústředny s libovolnou vnitrofiremní identifikací. (Jen to nesmí ven s úplně cizím číslem.)

bohuzel to casto delaji obracene, tak ze nejmenovany globalni rozvoz jidla mi volal z v CB z auta z prazke pevne linky, coz je v rozporu z CTU. Kdyz jsem na to pratelsky upozornil kuryra (kteremu je to u.. jedno), kupodivu do mesice to prestalo. Tedy, nedelam si iluze, ze za to muzu ja :)

dobrovolne to neni, v pripade, ze chcete pripojit skolu, musite nedobrovolne vstoupit :)

O jakém právu to prosím Vás konkrétně mluvíte?

zásadně vždy mi se skrytým číslem volá policie, holt datová schránka se jim nechce posílat, pač by tam museli mít oficiální dokument a povolení, takhle si prostě zavolají o informaci neoficiálně.

Pokud myslite telefonni cislo(cisla) tak to vam paruje s ucastnikem az ustredna. Sim karta nema vubec o realne pozivanych cislech v siti ani poneti. Ta "jen" poskytuje IMSI a jeste tak z ni dostanete ICCID.
Dokonce terminal pro nektere aplikace ma telefonnicislo ustrednou prirazene(treba kvuli zpetne kompatibilite) jen jako identifikator ktery se nijak dal nesmeruje.
Uplne podobne funguji digitalni pevne site kde se paruje port s cislem ucastnika.
Takze to zjednoduseni kulha na obe nohy.

29. 1. 2024, 08:59 editováno autorem komentáře

Máte pravdu, že to dělá ústředna - však já ani netvrdil, že to leze hned z telefonu. To je vidět i u zapínání/vypínání identifikace volajícího (zobrazit/skrýt číslo), protože to nastavení se odesílá síti, takže chvilku trvá - stejně, jako zjištění stavu.
Jenže pokud máte tu (na cestě první) ústřednu pod kontrolou, lze spoustu věcí nastavit dle libosti (technicky). Reálně je důležitá jen ta trocha údajů, které slouží ke směrování hovoru mezi koncovými body (SIM, VoIP port...).

Pravo nemate. Mate moznost kterou vam poskytnou poskytovatele. Neni zadna moznost dovolavat se zakonneho naroku v prepisovani CID. Ze mate sluzbu CID jeste neznamena ze si s nim muzete delat uplne to co chcete. Muzete vsak mit tu moznost ho menit.

Pokud se vejdete do pripadu ktera neodporuji č. 374/2021 Sb (puvodne č. 127/2005 Sb.), § 93, pridelu dle § 32 a _ZEJMENA_ § 29. Pokud splnite vsechny podminky dane temito zakony muzete si smerem do VTS prepisovat jak chcete.

Vemte si ze na dodrzovani cislovacich planu mate u operatoru lidi kteri tomu rozumi a delaji review. Protoze za nedodrzeni padaji nemale pokuty.

Tady uz mate potencialni prusvih pokud mate nekoho na zivnostak nebo dohodu a on ma psany mobil na sebe. A uz mate prusvih.

nj. operátoři, CID si můžeš měnit jak chceš a oni mají zpětnou kontrolu, jestli to děláš správně. Už tohle je bezpečnostní průšvih jak bota, když ani sám operátor neví online jestli je CID správně přidělený, jak to pak může vědět jakákoliv další strana?

Tenhle systém je pošahaný, mnoho let jsem s operátori dělal a liknavost k podobným věcem mě to celé dost znechudila. Nemluvě o možnost sledovat polohu jakéhokoliv čísla. Už spousty let jsou k dispozici různé neveřejné api, které mi umožňují párovat IMSI s MSISDN, uniklé databáze EMEI (z mobilních aplikací, které to tak rádi sbírají), dokonce i TMSI není překážka, protože se k němu dát dostat.

Mobilní telefony postupne naprosto znepřístupnili metadat o hovorech, takže se třeba nedozvím ani ústřednu přes kterou mi sms/hovor jde, na to vše je potřeba mít speciální SW.

"Mam dve adresy, kazdou od jineho providera... ale obcas chci poslat paket s adresou jednoho providera pres pripojku providera druheho"

A? Toto uplne bezne a prakticky vsude funguje.

"takhle si prostě zavolají o informaci neoficiálně"

A vite ze obratem, klidne ten stejny clovek ulozi pokuticku, za poruseni zakona = sdelovani udaju cizim osobam?

"Jenže pokud máte tu (na cestě první) ústřednu pod kontrolou"

Netreba mit tu ustrednu pod kontrolou, staci kdyz ji nema pod kontrolou treba zdejsi OP. Jemu pak stejne nezbyva, nez verit tomu co dostane, at uz je to cokoli.

CTU se muze klidne na hlavu stavet, a stejne s tim nic neudela. Takhle ty site funguji odjakziva.

Ale jiste, ale CTu se zjevne snazi o to, aby OP kontroloval, ze ten udaj je nejaky, coz ten OP delat nemuze, protoze nema jak. A i kdyby nakrasne ten OP prohlasil, ze tam smi byt jen cosi odpovidajici telefonimu cislu, tak si tim maximalne zpusobi to, ze se cast ucastniku jeho oveckam proste nedovola a ti kteri si tam nejake cislo vymysli se dovolaji vesele a bez problemu.

To ani neni liknavost, to jsou historicke konotace. Proste nejde do site pridat technologii, ktera tu sit potencielne uplne rozbije. Pricemz (specielne pro ty, co netusi) je treba si uvedomit, ze i SIP je do znacne miry vlastne jen zdigitalizovana podoba systemu analogovych prepinacu/voli­cu/...

V zajmu OPu je, to tak udrzet pokud mozno co nejdele, protoze oni by si zakaznici mohli vsimnout, ze pro vedeni hovoru vazne zadneho opa (a specielne jeho uctovani) nepotrebuji.

Kolik hodin mesicne provolate? Prepocitejte to na nejakych (at nezeru a prezenu to) 16kbit ... tzn nejakych 8MB/hod ...

Vtip je v tom, že nemá verit tomu co dostane - on ten údaj má prostě přenést z jedné strany na druhou (pokud neobsahuje něco, co obsahovat nemá).
O nějaké věření tu nejde. Ten údaj se prostě nijak nelustrije a v podstatě ani lustrovat nemá. Ten je tam jako bonus k přenášenému hovoru.
Pokud vím, tak nikdy nikde nebylo definováno, že tam je zaručeně telefonní číslo volajícího - to je jen zvykové využití, jedna z možností.
Věřit tomu, protože se to objevilo na vyzvánějícím telefonu, je asi tak chytré, jako věřit SMS, že jste vyhráli iPhone v soutěži pro věrné zákazníky obchodního řetězce.