WAP-технология с каждым днем получает
все большее распространение в сетях сотовой связи: как грибы после
дождя появляются новые WAP-сайты, быстро растет число абонентов,
купивших сотовые телефоны с поддержкой WAP (а сами WAP-телефоны
дешевеют и становятся доступны рядовым потребителям).
Операторы
снижают тарифы на услуги передачи данных и вводят в эксплуатацию
различные информационно-финансовые WAP-услуги, в том и числе и системы
мобильной коммерции (m-commerce). Пользование мобильным телефоном,
поддерживающим WAP, становится признаком следящего за модой,
технологически продвинутого человека. Однако всякая новая технология,
как и всякое усложнение, несет в себе новые опасности. Чем больше
сотовый телефон становится похож на мини-компьютер, тем больше опасений
у пользователей вызывает возможность доступа к их конфиденциальной
информации посторонних лиц, а также угроза стать жертвой WAP-хакеров.
Как в любой другой системе электронных платежей и обмена
конфиденциальной информацией, вопрос безопасности транзакций - ключевое
звено всей системы.
Система
мобильного Интернета состоит из двух транспортных частей передачи
информации - радиоканала сотовой связи и самой инфраструктуры
Интернета. В сетях GSM используются средства защиты протокола WAP, а в
Интернете - протокола TCP/IP. Протокол Wireless Transport Layer
Security (WTLS), входящий в спецификацию WAP, обеспечивает защиту при
передаче данных на пути от WAP-теминала абонента до WAP-шлюза. При
передаче данных на требуемый ресурс в Сети они защищаются протоколом
Secure Sockets Layer (SSL) со специальным 128-битным ключом шифрования.
К сожалению, в этой на первой взгляд неплохо защищенной системе
присутствует недоработка в точке сопряжения мобильной инфраструктуры и
Интернета. При перекодировке данных они остаются на какое-то время
абсолютно незащищенными. Преобразования WTLS - SSL - WTLS
осуществляются на WAP-шлюзе, и как раз в это время данные остаются
незашифрованными и потенциально уязвимыми. Фактически это означает
возможность постороннего вмешательства в передаваемую и принимаемую
информацию, будь то e-mail, секретный пароль или обычные wml-страницы.
При
осуществлении покупок и платежей с помощью WAP-терминала пользователей
пугает вероятность того, что с их счета продавец может снять большую
сумму, нежели требуется для оплаты товара, как случается иногда при
оплате кредитными картами. В большинстве случаев такой опасности не
существует, так как структура системы электронных платежей
спроектирована таким образом, что продавец получает лишь подтверждение
об оплате товара требуемой суммой, а сам непосредственно деньги со
счета клиента не снимает.
Некоторых
пользователей услуг мобильного Интернета интересует также вопрос защиты
сотовых телефонов от вирусов, которыми можно "заразиться", находясь в
онлайне (по аналогии с обычными компьютерами, подключенными к Сети).
"Чем больше мобильный телефон будет становиться похож на компьютер, тем
ужаснее будут вирусы для него", - заявил руководитель отделения
корпорации IBM WATSON RESEARCH CENTRE.
Первый в
мире вирус, затронувший владельцев мобильных телефонов, появился в
Испании. От злоумышленников пострадали абоненты испанского сотового
оператора MOVISTAR. Вирус, который его создатель назвал "TIMOFONICA",
забрасывает жертву ненужными SMS-сообщениями. Программа относится к
классу "червей". Она, как и печально известная "I LOVE YOU", написана
на языке VB SCRIPT. Впрочем, это был не какой-то "сотовый чудо-вирус",
а обыкновенный компьютерный вирус, рассылающий из Интернета через
SMS-шлюз сообщения по сгенерированным номерам. Однако, в принципе,
появление специальных "сотовых вирусов" - уже реальность и уже есть
первые жертвы. Речь идет об абонентах японской NTT DoCoMo, использующих
мобильные телефоны с поддержкой i-mode: 11 августа сего года, во время
онлайнового опроса об отношениях, ответ "да" на некоторые вопросы
сопровождался немедленным звонком в полицию по номеру 110. Естественно,
вызов полицейского номера осуществлялся без участия владельца телефона;
всего было зарегистрировано около 400 таких звонков. Как выяснилось, в
Интернет-опросе, созданном специально для аппаратов с i-mode, была
скрыта соответствующая "троянская" функция. Виноватых не нашли…
Возможность
создания вирусов для мобильных телефонов основывается на том, что в них
существует некоторое подобие операционной системы, которая с каждой
новой моделью телефона все совершенствуется и усложняется.
Впрочем,
сотовые вирусы пока не способны испортить информацию на sim-карте
абонента, т.к. информация на ней защищена, как и на любой другой
современной smart-карте. Не секрет, что существует огромное количество
различных моделей мобильных телефонов, и все они имеют различное
программное обеспечение. Таким образом, проявление какого-либо
универсального мобильного вируса практически невозможно. Некоторые
разработчики "антивирусников" для ПК всерьез заинтересовались созданием
антивирусного пакета для мобильных телефонов. "Такие понятия как
функциональность и безопасность сегодня несовместимы. Как только
телефон стал больше, чем просто трубкой с микрофоном и динамиком, стало
неизбежным создание вируса для него", - считает президент компании
Symantec Research Centre Эрик Чиен. Разработку антивируса для приборов,
поддерживающих WAP, проанонсировала и российская антивирусная
"Лаборатория Касперского". Михаил Калиниченко, технический директор
"Лаборатории Касперского", рассказал, что уже сейчас определенные
форматы SMS-сообщений способны "подвешивать" любой GSM-телефон. По мере
интеграции сотовых телефонов и PDA (цифровых органайзеров) опасность
будет возрастать. "Модификация выполняемого кода - например,
вредоносными программами, - возможна там, где есть загружаемый софт, в
современных же аппаратах он "прошит" в железе" - говорит г-н
Калиниченко, - как только технология продвинется в достаточной степени,
возникновение вирусов станет возможным, и произойти это может уже через
год". Устанавливать созданные в будущем сотовые антивирусные пакеты
будут на своих серверах сотовые операторы, и, таким образом, конечных
пользователей телефонов эта проблема беспокоить не будет.
Предполагается,
что в дальнейшем уровень безопасности WAP существенно повысится с
введением системы так называемых WIM-модулей (Wireless Identity
Module), которые гарантируют защиту сеансов Интернет-транзакций при
помощи специального шифрования и систем "цифровой подписи" для
авторизации онлайновых операций данного мобильного пользователя. Также
станет возможным использование многозадачных логических каналов,
позволяющих пользователю переходить с одного приложения на другое, не
теряя при этом связи с предыдущим. К сожалению, подобные функции станут
возможны только в версиях WAP-протокола 1.2 и 2.0, а в настоящее время
повсеместно используется версия 1.1. Так что будьте бдительны,
владельцы WAP-аппаратов...
Главная 
