Название:
Источник: www.sota1.ru
Дата написания: 30.08.2000
Цифры статистики и прогнозов уверенно свидетельствуют, что в ближайшие годы перед системами беспроводной цифровой связи разворачиваются самые радужные перспективы, поскольку через 3-5 лет количество мобильных абонентов Интернета явно должно превысить число пользователей "стационарных", работающих через обычные ПК. Как предсказывает International Data Corp., к 2003 году на руках у пользователей будет находиться уже около 50 миллионов карманных компьютерных устройств, причем значительная их часть - с возможностями беспроводной связи. По расчетам же IGI Consulting, количество "умных" телефонов возрастет за это время на 88%, достигнув 330 миллионов штук. Предсказывают, что через три года свыше 10% от общего объема операций электронной коммерции будет осуществляться через мобильные трубки, тогда и наступит то, называется рождением "М-коммерции", т.е. мобильной коммерции.
Завороженные этими цифрами, производители оборудования изо всех сил стараются как можно скорее обеспечить беспроводной доступ к услугам электронной коммерции, информационным службам и прочим заманчивым сервисам. Но практически никогда во главу угла не ставится безопасность систем, поскольку выйти на рынок с продуктом гораздо важнее.
По сути дела, нынешняя индустрия, предпринимая торопливые шаги по освоению изобильных территорий беспроводной связи, в точности повторяет историю с "проводным" Интернетом, происходившую несколькими годами ранее. Поскольку важность вопросов безопасности по возможности минимизируется в угоду максимально быстрому донесению разрабатываемых приложений до конечных пользователей, то при таком подходе просто неизбежны повторы тех же ошибок, что уже глубоко укоренились в технологиях Интернета. По мнению многих экспертов, наблюдающих за суетой компаний по захвату рыночных ниш, пользователи и организаторы беспроводных сетей неизбежно столкнутся со всеми бедами проводного Интернета: с непрерывно нарастающим потоком вирусных атак, массированными хакерскими проникновениями в чужое хозяйство и с бесконечной чередой латания постоянно выявляемых новых брешей в защите. А эпизодические и разрозненные усилия отдельных инициативных групп по превентивному решению вопросов безопасности чрезвычайно затруднены еще одной проблемой - неизбывным разнообразием сетей и протоколов, когда спорящие и конкурирующие стороны не в силах прийти к единому мнению о том, какие же методы беспроводных коммуникаций самые лучшие.
Кроме того, по сравнению с обычными ПК разработка мер защиты для мобильных устройств сопряжена с рядом специфических для этой техники проблем. Сравнительно небольшая емкость батареи и ограниченная мощность процессора неизбежно приводят к ситуации, когда мобильные устройства - не слишком благоприятная среда для построения защищенных систем, поскольку надежная защита требует для себя массу процессорного времени, а следовательно, и немалую долю энергии батареи. Как комментирует Алан Кесслер, один из руководителей компании Palm, карманное устройство "должно быть простым, элегантным, крайне надежным и недорогим". Понятно, что свойства из этого набора и сами по себе не очень просто совмещаются друг с другом, а уж когда речь заходит о включении криптографии, то для общего "облегчения" конструкции всячески пытаются упростить и эту ресурсоемкую функцию. В беспроводных устройствах упорно избегают 128-битного шифрования, отдавая предпочтение 56-битному, а компания RSA, недавно включившая в свой известный криптоинструментарий для разработчика Bsafe средства шифрования для протокола защищенной мобильной связи WTLS, применила новую технологию "multiprime", оперирующую вместо двух больших модулей множеством из нескольких простых чисел поменьше, что повышает производительность ценой некоторого снижения стойкости.
Характерное для карманных компьютеров и сотовых телефонов сочетание общедоступности и сравнительно слабой защищенности делает их весьма привлекательной стартовой площадкой для запуска и заполнения общественных сетей новыми вирусами. Эксперты же фирмы Sophos, разрабатывающей антивирусные системы, заверяют, что в настоящее время не существует вирусов для мобильных телефонов, поскольку с компьютерной точки зрения мобильные телефоны пока еще недостаточно сложны, чтобы быть инфицированными. Однако могут иметь место розыгрыши: обычно это сообщения от неизвестного абонента либо от лица известной организации, сообщающие, что ваш телефон заражен вирусом, ему нанесен вред или другая дезинформация, не имеющая отношения к действительности. Зачастую такой "вирус" просит разослать сообщение всем известным адресатам, в результате сеть связи оказывается перегруженной. Приведенный пример вполне наглядно демонстрирует, что пользователь - это одно из самых важных звеньев в цепи системы защиты. Безопасность беспроводной системы никак не может быть надежнее, чем сам владелец устройства. При обращении к карманным аппаратам мобильной связи очень важным становится еще один очевидный фактор - такое устройство много легче утратить, нежели обычный настольный компьютер.
И очень часто защитные меры, принимаемые пользователями, оказываются много слабее тех, что может предоставить техника. Так, функции безопасности электронного устройства практически всегда снабжаются системой аутентификации владельца, в простейшем случае - это пароль доступа, и сейчас он нередко может быть достаточно длинным и сложным для противостояния методам подбора. Однако люди предпочитают самые тривиальные решения - какой-нибудь набор из четырех цифр, типа года или даты рождения, или же имя близкого человека. Такие пароли легко вскрываются, что впоследствии несет угрозу раскрытия секретных механизмов защиты. Именно по этой причине самая большая угроза для карманных устройств исходит от хозяев, их теряющих. Так считают практически все специалисты, близко знакомые с данной областью, в частности Джеф Хокинз - "отец" PalmPilot и один из руководителей корпорации Handspring. Но если "человеческую" проблему способен решить лишь сам владелец устройства, то все остальные проблемы безопасности технического характера лежат в сфере компетенции экспертов и компаний-производителей.
В настоящее время, когда стандартом де-факто для мобильного доступа в Интернет (в первую очередь для сотовых телефонов), становится протокол беспроводных приложений WAP, многим приходит на ум аналогия с недавней эволюцией Интернета. Все еще очень хорошо помнят, что протоколы типа SSL (Secure Sockets Layer) появились значительно позже того, как через WWW уже были прокачаны многие миллиарды, а может и триллионы байт данных практически безо всяких мер безопасности. Просто по той причине, что этот рынок не базировался на принципах всеобъемлющей защиты информации. Точно так же и WAP сегодня имеет хорошо известную "дыру" в безопасности: в той точке, где данные переходят из проводов в эфир. В этом месте, именуемом WAP-шлюзом, данные формата HTML, зашифрованные средствами протокола SSL, должны быть расшифрованы, переведены в формат WML (Wireless Markup Language) и по новой зашифрованы средствами WTLS (Wireless Transport Level Security), предназначенными для защиты WAP-данных в формате WML. Следствием же подобного преобразования является то, что если злоумышленник имеет доступ к WAP-шлюзу, то он может свободно перехватывать весь расшифрованный SSL-трафик в открытом виде, до того, как данные поступают на WTLS-перешифрование.
Конечно, эта проблема прекрасно известна специалистам, и к следующей версии протокола - 2.0 - эта дыра должна быть заделана. Примерно к ноябрю текущего года ожидается появление второй версии протокола, которая, по мнению многих, и станет фундаментом для построения системы безопасности беспроводной связи. Но одновременно нельзя не учитывать, что и без того в мире уже существует и используется несколько альтернативных решений: японская система iMode; разработанный компанией Palm сервис Palm.Net; технология Handheld Device Markup Language от Phone.com Inc. Все эти решения предусматривают оригинальные взгляды на безопасность в беспроводной инфраструктуре, и всем им потребуется определенное время для адаптации к WAP 2.0. И, конечно же, каждый из игроков на этом поле постарается внести свою лепту в положения готовящегося совместного стандарта.
Подводя общий итог, невозможно не вспомнить начало 90-х годов, когда никто, в общем-то, не задумывался об упреждающем решении проблем безопасности, а возникавшие трудности решались по мере их возникновения. Создаваемая ныне в Интернете "инфраструктура открытых ключей" PKI (public key infrastructure), которую некоторые пытаются выдать за "всеобъемлющее решение", - это по сути дела попытка родить хоть что-то в условиях, когда уже слишком поздно исправлять все, что было выстроено. На этот раз, приступая к разворачиванию беспроводных сетей, все вроде бы знают, к чему приводит подобный подход.
Тем не менее, М-Коммерция набирает обороты. Пока она не имеет единой концепции и операторы мобильной связи, отдельные фирмы, занимающиеся продвижением проектов и банки внедряют свои решения. Как правило, пока это "полуэлектронная" коммерция, поскольку полный цикл действий по совершению сделки или покупки предусматривает использование обычной голосовой связи, SMS или проводных сетей Интернет. При этом для оплаты используются привычные кредитные карты, работа с которыми осуществляется посредством считывателей, присоединяемых к мобильному телефону.