_Hacking_ обратиться по имени
МОЖНО ЛИ "ХАКНУТЬ" WAP Четверг, 11 Мая 2006 г. 10:02 (ссылка)
WAP-технология с каждым днем получает все большее
распространение в сетях сотовой связи: как грибы после дождя
появляются новые WAP-сайты, быстро растет число абонентов, купивших
сотовые телефоны с поддержкой WAP (а сами WAP-телефоны дешевеют и
становятся доступны рядовым потребителям).
Операторы снижают тарифы на услуги передачи данных и
вводят в эксплуатацию различные информационно-финансовые WAP-услуги,
в том и числе и системы мобильной коммерции (m-commerce).
Пользование мобильным телефоном, поддерживающим WAP, становится
признаком следящего за модой, технологически продвинутого человека.
Однако всякая новая технология, как и всякое усложнение, несет в
себе новые опасности. Чем больше сотовый телефон становится похож на
мини-компьютер, тем больше опасений у пользователей вызывает
возможность доступа к их конфиденциальной информации посторонних
лиц, а также угроза стать жертвой WAP-хакеров. Как в любой другой
системе электронных платежей и обмена конфиденциальной информацией,
вопрос безопасности транзакций - ключевое звено всей системы.
Система мобильного Интернета состоит из двух транспортных
частей передачи информации - радиоканала сотовой связи и самой
инфраструктуры Интернета. В сетях GSM используются средства защиты
протокола WAP, а в Интернете - протокола TCP/IP. Протокол Wireless
Transport Layer Security (WTLS), входящий в спецификацию WAP,
обеспечивает защиту при передаче данных на пути от WAP-теминала
абонента до WAP-шлюза. При передаче данных на требуемый ресурс в
Сети они защищаются протоколом Secure Sockets Layer (SSL) со
специальным 128-битным ключом шифрования. К сожалению, в этой на
первой взгляд неплохо защищенной системе присутствует недоработка в
точке сопряжения мобильной инфраструктуры и Интернета. При
перекодировке данных они остаются на какое-то время абсолютно
незащищенными. Преобразования WTLS - SSL - WTLS осуществляются на
WAP-шлюзе, и как раз в это время данные остаются незашифрованными и
потенциально уязвимыми. Фактически это означает возможность
постороннего вмешательства в передаваемую и принимаемую информацию,
будь то e-mail, секретный пароль или обычные wml-страницы.
При осуществлении покупок и платежей с помощью
WAP-терминала пользователей пугает вероятность того, что с их счета
продавец может снять большую сумму, нежели требуется для оплаты
товара, как случается иногда при оплате кредитными картами. В
большинстве случаев такой опасности не существует, так как структура
системы электронных платежей спроектирована таким образом, что
продавец получает лишь подтверждение об оплате товара требуемой
суммой, а сам непосредственно деньги со счета клиента не снимает.
Некоторых пользователей услуг мобильного Интернета
интересует также вопрос защиты сотовых телефонов от вирусов,
которыми можно "заразиться", находясь в онлайне (по аналогии с
обычными компьютерами, подключенными к Сети). "Чем больше мобильный
телефон будет становиться похож на компьютер, тем ужаснее будут
вирусы для него", - заявил руководитель отделения корпорации IBM
WATSON RESEARCH CENTRE.
Первый в мире вирус, затронувший владельцев мобильных
телефонов, появился в Испании. От злоумышленников пострадали
абоненты испанского сотового оператора MOVISTAR. Вирус, который его
создатель назвал "TIMOFONICA", забрасывает жертву ненужными
SMS-сообщениями. Программа относится к классу "червей". Она, как и
печально известная "I LOVE YOU", написана на языке VB SCRIPT.
Впрочем, это был не какой-то "сотовый чудо-вирус", а обыкновенный
компьютерный вирус, рассылающий из Интернета через SMS-шлюз
сообщения по сгенерированным номерам. Однако, в принципе, появление
специальных "сотовых вирусов" - уже реальность и уже есть первые
жертвы. Речь идет об абонентах японской NTT DoCoMo, использующих
мобильные телефоны с поддержкой i-mode: 11 августа сего года, во
время онлайнового опроса об отношениях, ответ "да" на некоторые
вопросы сопровождался немедленным звонком в полицию по номеру 110.
Естественно, вызов полицейского номера осуществлялся без участия
владельца телефона; всего было зарегистрировано около 400 таких
звонков. Как выяснилось, в Интернет-опросе, созданном специально для
аппаратов с i-mode, была скрыта соответствующая "троянская" функция.
Виноватых не нашли…
Возможность создания вирусов для мобильных телефонов
основывается на том, что в них существует некоторое подобие
операционной системы, которая с каждой новой моделью телефона все
совершенствуется и усложняется.
Впрочем, сотовые вирусы пока не способны испортить
информацию на sim-карте абонента, т.к. информация на ней защищена,
как и на любой другой современной smart-карте. Не секрет, что
существует огромное количество различных моделей мобильных
телефонов, и все они имеют различное программное обеспечение. Таким
образом, проявление какого-либо универсального мобильного вируса
практически невозможно. Некоторые разработчики "антивирусников" для
ПК всерьез заинтересовались созданием антивирусного пакета для
мобильных телефонов. "Такие понятия как функциональность и
безопасность сегодня несовместимы. Как только телефон стал больше,
чем просто трубкой с микрофоном и динамиком, стало неизбежным
создание вируса для него", - считает президент компании Symantec
Research Centre Эрик Чиен. Разработку антивируса для приборов,
поддерживающих WAP, проанонсировала и российская антивирусная
"Лаборатория Касперского". Михаил Калиниченко, технический директор
"Лаборатории Касперского", рассказал, что уже сейчас определенные
форматы SMS-сообщений способны "подвешивать" любой GSM-телефон. По
мере интеграции сотовых телефонов и PDA (цифровых органайзеров)
опасность будет возрастать. "Модификация выполняемого кода -
например, вредоносными программами, - возможна там, где есть
загружаемый софт, в современных же аппаратах он "прошит" в железе" -
говорит г-н Калиниченко, - как только технология продвинется в
достаточной степени, возникновение вирусов станет возможным, и
произойти это может уже через год". Устанавливать созданные в
будущем сотовые антивирусные пакеты будут на своих серверах сотовые
операторы, и, таким образом, конечных пользователей телефонов эта
проблема беспокоить не будет.
Предполагается, что в дальнейшем уровень безопасности WAP
существенно повысится с введением системы так называемых WIM-модулей
(Wireless Identity Module), которые гарантируют защиту сеансов
Интернет-транзакций при помощи специального шифрования и систем
"цифровой подписи" для авторизации онлайновых операций данного
мобильного пользователя. Также станет возможным использование
многозадачных логических каналов, позволяющих пользователю
переходить с одного приложения на другое, не теряя при этом связи с
предыдущим. К сожалению, подобные функции станут возможны только в
версиях WAP-протокола 1.2 и 2.0, а в настоящее время повсеместно
используется версия 1.1. Так что будьте бдительны, владельцы
WAP-аппаратов...