<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p><br>
    </p>
    <div class="moz-cite-prefix">On 7/9/21 3:32 PM, K. Scott Helms
      wrote:<br>
    </div>
    <blockquote type="cite"
cite="mid:CAE-M_OBEyU90HWvxu4c13EGACVadagJLYH2uqjMRx8VAKq-jLQ@mail.gmail.com">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <div dir="ltr">
        <div dir="ltr"><br clear="all">
          <div>
            <div dir="ltr" class="gmail_signature"
              data-smartmail="gmail_signature">
              <div dir="ltr">
                <div>
                  <div dir="ltr">
                    <div>
                      <div dir="ltr">
                        <div>
                          <div dir="ltr">
                            <div>
                              <div dir="ltr"><br>
                              </div>
                            </div>
                          </div>
                        </div>
                      </div>
                    </div>
                  </div>
                </div>
              </div>
            </div>
          </div>
        </div>
        <br>
        <div class="gmail_quote">
          <div dir="ltr" class="gmail_attr">On Fri, Jul 9, 2021 at 4:47
            PM Michael Thomas <<a href="mailto:mike@mtcc.com"
              moz-do-not-send="true">mike@mtcc.com</a>> wrote:<br>
          </div>
          <blockquote class="gmail_quote" style="margin:0px 0px 0px
            0.8ex;border-left:1px solid
            rgb(204,204,204);padding-left:1ex"><br>
            On 7/9/21 1:36 PM, K. Scott Helms wrote:<br>
            > Nothing will change immediately.  Having said that, I
            do expect that <br>
            > we will see much more effective enforcement. The
            investigations will <br>
            > come from the ITG (Industry Traceback Group) with
            enforcement <br>
            > coming from FCC or FTC depending on the actual
            offense.  The problem <br>
            > has been that it's been far too easy for robocalling
            companies to hop <br>
            > from one telecom provider to another.  Now there are
            requirements <br>
            > around "know your customer" that telecom operators have
            to follow and <br>
            > the ITG will have a much better chance of figuring out
            who the bad <br>
            > actor is than they have in the past.<br>
            <br>
            The thing is that that shouldn't have been held up by
            rolling out STIR. <br>
            With email, there was nothing akin to the FCC so it was
            really the only <br>
            name-and-shame stick we had. This could have been done years
            ago.<br>
          </blockquote>
          <div><br>
          </div>
          <div>It wouldn't work the same and I say that as someone who
            ran email for ISPs for decades and just got done with a
            STIR/SHAKEN implementation.  There's far more money in
            robocalls than there ever has been in spam.  The other thing
            is that the technologies are fundamentally different.  Don't
            get me wrong, there are parallels, but comparing email to
            the various flavors of telephony (POTS, SIP, MGCP, H.323,
            etc) isn't all that useful because they're so different. 
            When I get an email as a provider I can always figure out
            the path it took to get to me.  The same is not at all true
            for a call, though I can trace it to a degree via the CDRs
            from carriers I work with.  Much of the call path will be
            opaque and often in the case of robocallers it's
            intentionally so.  Number porting is another (big)
            difference.  We could always choose to forward email for a
            customer who left our service, but imagine if email
            literally let that person take their address with them
            regardless of who was providing the hosting for the email.</div>
          <div><br>
          </div>
        </div>
      </div>
    </blockquote>
    <p>Once it hits a SIP gateway it's pretty much the same. The thing
      that I think that made the made the biggest -- and this coming
      from one of the inventors of DKIM -- was shutting down open
      relays. With email there was no back pressure on ESP's to close
      them so DKIM was at least a way to name and shame, or at least
      that was one of the goals at least in my mind. It's hard to say
      whether there was actually cause and effect, but the reality now
      is that open relays are pretty much gone -- at least with ESP's. <br>
    </p>
    <p>I was one of the early Cassandras telling people that
      P-Asserted-Identity was going to lead to exactly what has happened
      for which I got told I was wrong, and then threw up my hands and
      went and worked on email. This could have been dealt with 15 years
      ago and it could have trivially piggybacked off of the DKIM work
      -- heck I even hacked a SIP stack to prove the point. And it
      should have learned the lessons with email which it apparently has
      not because the 9th of July don't seem any different than the 30th
      of June. </p>
    <p>Also: since there are PSTN gateways which fundamentally can't be
      secured spammers will take advantage of the holes as they become
      economically viable. The entire scheme of attesting for e.164
      addresses was a complete waste of time. The problem is with the
      SIP gateway that onramps the bogus calls not whether somebody
      should be able to assert a given address real time. Those onramps
      could have taken those measures a decade ago but didn't just like
      the open email sewers before requiring submission auth. I think
      that Peterson has some other wacky shit to make PSTN gateway
      traversal better, turning a Rube Goldberg contraption into
      something even worse. The entire thing is madness with its
      complexity but I would expect nothing less from the SIP WG. <br>
    </p>
    <p><br>
    </p>
    <blockquote type="cite"
cite="mid:CAE-M_OBEyU90HWvxu4c13EGACVadagJLYH2uqjMRx8VAKq-jLQ@mail.gmail.com">
      <div dir="ltr">
        <div class="gmail_quote">
          <div> </div>
          <blockquote class="gmail_quote" style="margin:0px 0px 0px
            0.8ex;border-left:1px solid
            rgb(204,204,204);padding-left:1ex">
            > Longer term I worry that this will lead to more attacks
            on PBXs, <br>
            > eSBCs, and VOIP handsets to be able to call either from
            that endpoint <br>
            > itself or be able to use the SIP credentials. The
            market for robocalls <br>
            > will certainly not disappear.<br>
            ><br>
            A meta question that really needs to be asked these days is
            why we even <br>
            need telco telephony anymore. A lot of problems go away if
            you are not <br>
            in thrall to 100 year old technology and its accreted kruft.<br>
          </blockquote>
          <div><br>
          </div>
          <div>Robocalls really aren't a product of the legacy PSTN. 
            Today almost none of them originate from anywhere but VOIP. 
            Now, you can certainly say that if SS7 had robust
            authentication mechanisms that we could then trust caller ID
            (more) but there's no sign of us abandoning the PSTN anytime
            soon.  Having said that, there's any number of protocols we
            rely on today that have the exact same gap.  BGP is arguably
            even worse than SS7.</div>
        </div>
      </div>
    </blockquote>
    <p>I'm not speaking about PSTN qua PSTN/SS7, etc. I'm speaking about
      being shackled to an architecture that isn't relevant today. The
      bellheadedness of STIR is frightening: they actually scrape SIP
      From: addresses and have a regex to determine if it's a telephone
      number. People don't use telephone numbers for anything but
      phones, and all of the rest is email addresses. There is
      fundamentally nothing stopping SIP From: <a class="moz-txt-link-abbreviated" href="mailto:mike@mtcc.com">mike@mtcc.com</a> be how
      reach me. STIR leaves that use case in limbo: I've never been able
      to get a straight answer about it, which means in reality it's not
      supported.  I'd actually like that quite a bit more especially
      since it would make it difficult right off the bat to spoof my
      domain vs. spoofing area codes. Doubly so for spear phishing. We
      already know how to do federation: email. There is just no
      justification for keeping the legacy PSTN kruft, and even worse
      wagging the dog.<br>
    </p>
    <p>Mike, Cassandra to the end<br>
    </p>
    <br>
  </body>
</html>