Библиотека Интернет Индустрии I2R.ru

Не так ли вот и мы, друг друга не таясь,--
Нет-нет, да вступим в сотовую связь?!
В. Вишневский

В чем проблема?

Казалось бы, совсем недавно было время, когда с одной стороны счастливые мы, т.е. пользователи, а с другой стороны, удачливые они, т.е. операторы сотовой связи, окунулись в мир безудержной телефонизации. Сотовый телефон превратился в доступную для среднего жителя игрушку.

Но время идет, а с ним приходит опыт, опыт порождает вопросы... Второй из них по важности в беспроводном мире на сегодня -- безопасность. Первый, относящийся к приложениям, решениям, мы здесь детально рассматривать не будем.

Эксперты предсказывают, что беспроводным пользователям грозят многие беды. В окружении, где захват рынка является приоритетом, а безопасность отходит на второй план, им предстоит постоянно противостоять вирусам, взломам пользовательских акаунтов и закрывать "дырки" в безопасности.

Основная проблема состоит в том, что количество беспроводных устройств с доступом в Сеть вскоре должно превысить количество настольных ПК. Вот прогнозы нескольких профессиональных аналитических компаний. International Data Corp. предсказывает, что к 2003 году 50 миллионов ручных (карманных) устройств будут в Сети, большая часть из них будет с беспроводным доступом. IGI Consulting обещает к 2003 году 88-процентное увеличение количества производимых смартфонов, которое достигнет порядка 330 миллионов пользователей. И, наконец, Forrest Research Inc. ожидает, что в ближайшие два года 57 процентов пользователей Интернет станут "мобильными".

Эти цифры объясняют огромный рост спроса на приложения для беспроводной коммерции, обмена информацией и другой мобильной деятельности. При этом безопасность редко является основным критерием.

Проклятые протоколы

Протоколы, применяемые в беспроводной связи, не предназначены для высокого уровня безопасности. WAP (Wireless Application Protocol) -- протокол беспроводных приложений, ставший стандартом в передаче данных из Интернет на мобильные телефоны, имеет известную всем дыру в безопасности -- место, в котором данные превращаются из "проводных" в "беспроводные" для последующей передачи. В этом месте, называемом WAP-шлюзом, данные формата HTML раскодируются и затем снова кодируются в формате WML (Wireless Markup Language). WAP не поддерживает протокол шифрования SSL (Secure Sockets Layer), по которому передаются шифрованные HTML-данные, а поддерживает собственный протокол WTLS (Wireless Transport Level Security). Если у вас есть доступ к WAP-шлюзу, вы можете перехватить раскодированные данные до того, как они снова будут закодированы.

Эта проблема, возможно, будет решена в следующей версии WAP 2.0. Но уже сейчас многие IT-менеджеры склоняются к сетям типа iMode от NTT Mobile Communications Network. Сети iMode используют HTML и распространены в Японии, поскольку предоставляют прямой беспроводной доступ к Web-серверам. В Японии большинство сотовых телефонов поддерживают сети iMode, насчитывающие 7 миллионов пользователей.

Битва за стандарты

В Соединенных Штатах WAP 2.0 появится не раньше ноября 2000 года. Предполагается, что он будет основой беспроводной безопасности. В настоящее время уже существует несколько других решений -- iMode, Palm.Net (служба от Palm Inc.) и Handheld Device Murkup Language от Phone.com Inc. -- каждое из которых включает свою собственную систему безопасности в структуру беспроводной сети. Потребуется некоторое время для адаптации их под WAP 2.0.

"Кто станет победителем, и кто будет устанавливать стандарты? Я не берусь утверждать,-- говорит Майкл Вергара (Michael Vergara), менеджер по проектам беспроводной безопасности RSA Security Inc.,-- споров до сих пор очень много. У каждой из сторон слишком много гордости".

Развитие систем безопасности для беспроводных устройств сталкивается и с другими препятствиями. Небольшая продолжительность работы батарей и ограниченная скорость устройств не располагают к высокому уровню безопасности, для которого требуется большая нагрузка на процессор и, соответственно, на батареи.

"Сделать ручное устройство безопасным -- это комплексная задача,-- полагает Алан Кесслер (Alan Kessler), директор Palm по платформам и продуктам,-- Решение должно быть простым, элегантным, общепринятым и дешевым. Проблема в том, как можно этого добиться без суперкомпьютера?"

Первые попытки свидетельствуют о том, что разработчики пытаются упростить "жесткие" системы кодирования для получения более легковесных технологий. Некоторые предлагают 56-битное кодирование для беспроводных устройств вместо 128-битного. А новый пакет BSafe для WTLS-кодирования от RSA использует технологию, которая, согласно официальному заявлению, частично жертвует безопасностью в пользу размера и производительности. Но даже если поставщики и обеспечат безопасность передачи, сами устройства могут оказаться не столь безопасными.

Основная задача хакеров

На самом деле, говорят, что "податливость" ручных устройств и сотовых телефонов, вместе с низким уровнем безопасности делает их основным орудием хакеров, стремящихся запускать все новые вирусы в общественные сети.

Предполагаемая последовательность проблем в беспроводном мире начинается с Windows CE- устройств, пропагандирующих "злобный" код, поскольку CE воспринимает скрипты и тесно интегрирован с приложениями вроде Microsoft Outlook (известным своими отношениями с вирусами и хакерами ;).

За этим последуют другие ручные устройства, используемые хакерами именно как механизм распространения. Задача для "злодеев" облегчается еще и тем, что большое количество приложений для PDA (персонального менеджера информации) являются бесплатными, а это означает, что хакеры могут спокойно их скачивать и искать дырки.

После освоения хакерами программных приложений, сами устройства (для начала PDA, а потом и сотовые телефоны) станут целями для вирусов. В прошлом месяце малоопасный вирус Timofonica рассылал сообщения на сотовые телефоны в Испании. Подобная рассылка может, к примеру, содержать требование к оплате счета.

Технология сертификатов

Для большинства поставщиков решение, позволяющее оградить эти беззащитные устройства от запуска новой волны атак, просто и доступно -- сертификаты. Инфраструктура открытого ключа для беспроводных устройств создает необходимость для пользователей устанавливать подлинность их устройств, прежде чем что-либо можно будет передать им или от них. Сертификаты могут храниться на чипах в самих устройствах или на внешних хранителях, например, смарт-картах, подключаемых к устройству.

Официальные лица Certicorn Corp. заявили, что их компании работают с производителями устройств над внедрением технологии непосредственно в устройства. Никаких конкретных планов, тем не менее, анонсировано не было. Предполагается, что решения для PDA с безопасными броузерами появятся первыми и будут доступны в следующем году.

Без указания на конкретные планы, Алан Кесслер, директор Palm по платформам и продуктам, заявил, что Palm рассматривает варианты биометрических и цифровых сертификатов для обеспечения безопасности. Однако потребуется некоторое время, чтобы сделать сертификаты достаточно маленькими для беспроводных устройств и адаптировать их для беспроводных протоколов.

Даже если такие решения будут найдены, пользователи относятся к ним довольно скептично. Компании, занимающиеся торговлей и финансовыми услугами, наиболее заинтересованы заполучить максимальное количество беспроводных пользователей. И даже эти компании в настоящее время в большинстве случаев используют только авторизацию паролем. По заявлению w-Trade Technologies Inc., крупного разработчика приложений для беспроводной торговли, эти компании просто избегают цифровых сертификатов.

По словам Сергея Фрадкова (Sergey Fradkov), технического директора w-Trade, в основном, сертификаты используются только в транзакциях "бизнес-бизнес". Применение сертификатов конечными пользователями останется очень неудобным до тех пор, пока производители устройств не встроят их поддержку в систему. Сейчас подобные системы требуют посещения некого ресурса, регистрации, загрузки специальных приложений и последующего контроля. В большинстве случаев компании будут идти на риск и обслуживать тех, кто платит деньги, даже, если у него и нет сертификата.

Кроме того, всеми этими сертификатами нужно еще и управлять. Многие довольно скептически относятся к технологии Публичного ключа даже в собственной клиент/серверной инфраструктуре. Менеджмент сертификатов не такое уж простое дело, даже на уровне обычных пользователей.

Много идей, немного решений

Говоря кратко, у производителей есть множество планов, но мало развитых решений, и пользователи до сих пор вынуждены покупать те технологии, которые доступны. Существует очень много вещей, типа использования голоса для биометрической авторизации, смарт-карт и т.д., но все они до сих пор не претворены в жизнь. Рынок неустанно движется вперед, и многие эксперты по безопасности прогнозируют поток хакерских атак на беспроводной мир.

"Пока кто-нибудь не займется безопасностью с самого начала и "от начала до конца", мы не увидим никакого улучшения в целом,-- считает Кати Муссоурис (Katie Moussouris), инженер по безопасности в TurboLinux Inc.,-- Мы будем просто продолжать закрывать дыры и нанимать консультантов".

Пользователь -- слабейшее звено

Беспроводная безопасность настолько хороша, насколько хорош пользователь, держащий в руках устройство. Эксперты в этой индустрии говорят, что их основная забота -- то, что карманное, ручное устройство проще потерять, чем настольный ПК.

"Я больше озабочен пользователями, чем устройствами... Я могу сделать авторизацию на устройстве. Но это не значит, что вы можете доверять пользователю... Люди обычно используют девичью фамилию своей матери как пароль, и это настолько небезопасно, насколько можно себе представить",-- говорит Аит Прабу (Ajit Prabhu), технический директор U.S. Interactive.

"Я думаю, что самая большая проблема безопасности ручных устройств -- это люди, которые их теряют", -- сказал Джеф Хокинс, директор по продукции Handspring Inc.

На этой оптимистической ноте мы закончим наш материал.

P.S. "Если рассмотреть недостатки вашего беспроводного устройства очень внимательно, то вы увидите себя как часть этих недостатков".
По мотивам законов Мерфи