Ландшафт киберугроз пополнился крайне опасным вектором атак Padding Evasion (обход защиты с помощью заполнения). Яркий пример – эксплуатация уязвимости React2Shell (CVSS 10.0).
Суть метода гениально проста: чтобы обойти сигнатурный анализ, злоумышленники сохраняют семантику вредоносного контента, но «заворачивают» его в огромный объем байтового «мусора» – пробелы, пустые строки и комментарии. Внешне это выглядит как массивный, но безобидный запрос.
Проблема кроется в архитектуре защиты. Критически важные запросы начинают превышать стандартные буферы проверки WAF, которые обычно составляют всего 8-128 КБ. Тесты показывают, что некоторые решения (например, Cloudflare) по умолчанию вообще не анализируют запросы, превышающие этот лимит, чтобы сохранить производительность. Фактически, такие системы просто отказываются от проверок крупных зловредов.
STIR/SHAKEN — это международный (в первую очередь американский) фреймворк (не протокол, как принято думать!) для аутентификации идентификатора вызывающего абонента (Caller ID). Он помогает бороться с подменой номера (caller ID spoofing) и мошенническими роботизированными звонками (robocalls и scam calls).
— SHAKEN (Signature-based Handling of Asserted information using toKENs – обработка подтверждённой информации с использованием токенов на основе подписи) — практическая реализация и правила применения STIR в сетях операторов.
Название STIR/SHAKEN, возможно, обыгрывает, популярную фразу суперагента Джеймса Бонда, героя повестей Яна Флеминга об «агенте 007» и многочисленных фильмов – «Shaken, not stirred», что можно перевести приблизительно как «взболтать, но не смешивать».
Как работает STIR/SHAKEN
1. Исходящий звонок. Когда абонент (или робот) инициирует звонок, исходящий оператор (Originating Service Provider) проверяет:
Кто звонит (аутентификация клиента).
Имеет ли он право использовать данный номер (Caller ID / TN — Telephone Number).
2. Определение уровня доверия (Attestation Level). Оператор присваивает вызову один из трёх уровней:
A (Full Attestation – полная аттестация) — самый высокий. Оператор знает клиента и подтверждает, что он имеет право использовать именно этот номер (например, свой абонент с выделенным номером).
B (Partial Attestation – частичная аттестация) — оператор знает клиента, но не уверен в праве на данный номер (например, корпоративная АТС).
C (Gateway Attestation – аттестация на уровне шлюза) — самый низкий. Оператор только знает, откуда пришёл звонок (например, международный шлюз), но не может проверить источник.
Исходящий оператор создаёт цифровую подпись звонка с помощью закрытого ключа и цифрового сертификата (выдаётся доверенным органом сертификации, Certificate Authority).
Подпись помещается в заголовок идентификатора SIP Identity header (в заголовок сообщения SIP INVITE — протокол сигнализации VoIP).
Передача и проверка
Звонок проходит через транспортные сети. Принимающий оператор (Terminating Service Provider) проверяет подпись с помощью публичного ключа сертификата.
Если подпись валидна — отображается уровень аттестации (A/B/C) и статус верификации (например, TN-Validation-Passed). Оператор может принимать решение: пропустить звонок, пометить как «подозрительный», заблокировать или показать предупреждение абоненту.
Всё это работает на базе инфраструктуры публичных криптографических ключей (public key infrastructure) и протокола SIP (используется в VoIP и современных сетях IMS).
Значение для предотвращения мошеннических звонков
Плюсы и эффективность:
Значительно усложняет классический spoofing — подмену номера (например, когда мошенники показывают номер банка или государственного органа).
Позволяет операторам лучше фильтровать и блокировать звонки (особенно с низким уровнем A/B/C).
Повышает доверие абонентов: звонки с A-уровнем и прошедшей верификацией вызывают больше доверия.
По данным FCC (2025), технология STIR/SHAKEN эффективна при правильной реализации для идентификации нелегального спуфинга. У крупных операторов США (Tier-1: Verizon, T-Mobile, AT&T и др.) в 2025 году около 85% трафика подписано, из них 93% — с A-уровнем.
Почему STIR/SHAKEN – это не панацея от мошенничества
STIR/SHAKEN не проверяет содержание звонка и законность цели (можно подписать мошеннический звонок с правильным номером).
Проблемы с неправильной аттестацией (over-attestation): иногда мошеннические звонки могут получить уровень A.
STIR/SHAKEN пока не сильно внедрён у мелких и международных операторов (в 2025 году между мелкими провайдерами передавалось всего 17,5% подписанного трафика).
В 2025 году в США зафиксировано около 52,5 миллиарда роботизированных звонков (robocalls) через SIM-боксы— объём остаётся огромным. Мошенники обходят систему STIR/SHAKEN через т.н. SIM-фермы, международные шлюзы и эксплуатацию пробелов в аттестации.
Вывод
STIR/SHAKEN — важный инструмент, но работает лучше всего в комбинации с:
Аналитикой и репутационным скорингом звонков.
Блокировкой на уровне устройств и приложений.
Реализацией принципа KYC (Know Your Customer – знай своего клиента) для операторов.
Дополнительными механизмами (например, Verified Caller Name / Rich Call Data).
В 2026 году направление работы регуляторов (FCC и др.) смещается на улучшение качества аттестации, борьбу с «over-attestation» и обязательное указание страны происхождения для международных звонков.
Slice SIM (SSIM) — это новое приложение на UICC/eUICC (включая eSIM), специально предназначенное для т.н. «нарезки сети на слои», 5G Network Slicing (еще называют «сетевой слайсинг»). Подробнее — здесь. Оно появилось в спецификации 5G 3GPP Release 18 (2024–2025 годы) и … Читать далее →
В 2024 г. Ассоциация GSMA выпустила новый стандарт для удаленной настройки RSP (Remote SIM provisioning модулей SIM для IoT: SGP.31/32. Ранее уже существовал стандарт SGP.01/02 для устройств межмашинных коммуникаций M2M. Зачем для IoT понадобился новый стандарт? Стандарт M2M хорошо подходит … Читать далее →
(Контент Рутест) У автомобилистов есть пословица: «Если не знаешь, какой автомобиль купить – купи фольксваген». У ИБ специалистов тоже есть похожее: «Если не знаешь, как обеспечить безопасность облачной системы – поставь WAF (Web Application Firewall – фаерволл веб-приложений)». Который призван … Читать далее →
(Из Телеграм-канала Python Portal) OpenAI опубликовала работу, в которой доказывается, что ChatGPT будет выдумывать всегда. Не иногда. Не до следующего обновления. Всегда. Они доказали это математически. Даже при идеальных обучающих данных и неограниченной вычислительной мощности AI-модели всё равно будут уверенно … Читать далее →
(Контент компании РУТЕСТ) В российской практике закупок ИТ оборудования часто преобладает подход, основанный на доверии к бренду или выборе по формальным признакам (цена, наличие в реестре) без проведения пилотного тестирования. Этот путь, кажущийся на этапе планирования более быстрым и дешевым, … Читать далее →
В арсенале сетевого инженера почти всегда есть средства сетевого тестирования iPerf или TRex. Это отличные инструменты для базовой диагностики каналов и проверки производительности. Но их возможностей часто не хватает для комплексной валидации современных систем безопасности. Разберем объективно, где эти инструменты работают хорошо, а где упираются в свои ограничения.
Плюсы Open Source (TRex/DPDK):
Цена: бесплатно (Open Source)
L2/L3 Performance: отлично справляются с stateless-нагрузкой (например, поток UDP), выдавая высокий PPS на современном x86 железе благодаря технологии DPDK, которая обходит ограничения ядра ОС
Критические ограничения:
Сложность L7. Эмуляция реалистичного поведения приложений (Stateful HTTP/HTTPS) требует сложного программирования на Python. Создать профиль трафика, идентичный вашему корпоративному (смесь видео, CRM, веб-серфинга), крайне трудоемко.
TLS/SSL Performance. Программная реализация TLS 1.3 и современной криптографии упирается в производительность CPU самого генератора. Протестировать DPI на высоких скоростях с полной расшифровкой трафика программными средствами практически невозможно без огромного парка серверов.
Отсутствие актуальной базы угроз. Коммерческие решения (например, та же IXIA) имеют регулярно обновляемые базы сигнатур атак и вредоносного ПО. В Open Source вам придется собирать эти базы вручную из PCAP-файлов, что трудозатратно и часто не актуально.
Статичность векторов атак. PCAP-сценарии содержат предсказуемые паттерны, под которые легко подстроиться и показать отличные лабораторные результаты. Коммерческие решения используют динамическую мутацию атак и адаптивные сценарии, что исключает возможность жесткой оптимизации под одну сигнатуру. Open Source подход остается беззащитен перед этим фактором.
Точность измерений. Программные решения зависят от планировщика ОС, что вносит погрешность (джиттер) в измерения задержек.
iPerf и TRex отлично справляются с базовыми задачами диагностики каналов и проверки коммутации на L2/L3, но есть проблема: шаг влево/вправо и уже не хватает возможностей, гибкости, повторяемости тестов, реализма. Для углубленных проверок и тестирования систем безопасности, которые работают на уровне приложений и анализируют содержимое трафика, нужны специализированные решения.
Выбор зависит от задачи: если вам нужно проверить канал – воспользуйтесь бесплатными сервисами. Но если стоят более серьёзные задачи, например, нужно проверить систему безопасности перед запуском критичного сервиса – используйте правильные инструменты, например, Облачную лабораторию компании РУТЕСТ.
(Контент компании РУТЕСТ) В даташите вашего нового NGFW написано: «Производительность Threat Prevention — 10 Гбит/с». Вы ставите его в канал 5 Гбит/с, запускаете трафик, и сеть «встает». Почему? Потому что пропускная способность – маркетинговая и неоднозначная метрика. В реальной жизни … Читать далее →
(Контент компании РУТЕСТ) Вы наверняка знаете этот ритуал. ИБ-конференция, бесконечные ряды стендов, много кофе, улыбок и… обещаний. «Наш NGFW обрабатывает 100 Гбит/с», «Мы блокируем 99,9% атак с нулевой задержкой», «Теперь еще производительнее, выше, сильнее…». Да, иногда показывают железо, чаще – … Читать далее →
Telecom & IT 