Мошенники добрались до WAP

В своих махинациях, длившихся полгода, оффициант использовал, как упоминалось выше, WAP-телефон и виртуальную голосовую почту, а также ни о чем не подозревавшие курьерские службы. Преступнику удалось обмануть банки, инвестиционные корпорации и брокерские конторы (даже такие известные компании, как Goldman Sachs, Bear Steams, Merrill Lynch), которые имели доступ к номерам кредитных счетов потерпевших. Многие из пострадавших использовали свои мобильные телефоны для m-bussiness (то есть для оплаты счетов, получения доступа к личной голосовой почте или отправления конфиденциальных данных).Беда в том, что WAP-протокол имеет хорошо известную специалистам «брешь» в смысле безопасности (там, где информация переходит из проводов в эфир). В этом месте, именуемом WAP-шлюзом, данные формата HTML, зашифрованные с помощью специального протокола SSL (Secure Sockets Layer), должны быть расшифрованы, переведены в другой формат WML (Wireless Markup Language) и снова зашифрованы, но уже при помощи WTLS (Wireless spanansport Level Security). Если злоумышленник имеет доступ к WAP-шлюзу, он может свободно перехватывать весь расшифрованный SSL-трафик в открытом виде, до того как данные поступают на WTLS-перешифрование. Конечно, в более совершенной версии протокола WAP 2.0 «брешь» была заделана. Но случилось это в ноябре 2000 г., когда махинации уже начались, и коды доступа находились в руках преступника.С помощью компьютера достаточно просто «подделать» голос владельца кредитной карточки и послать запись в виде звукового файла в систему виртуальной голосовой почты к менеджеру банка с просьбой предоставить дубликат кредитной карточки. Нужно лишь указать уже известный номер, дату действия и полное имя владельца. Подтвердив это цифровой подписью, похожей на подпись владельца, можно тут же списать деньги за данную процедуру с его счета. Один нюанс — в качестве адреса получателя называется почтовый адрес абонентского ящика, который будет зарегистрирован на похожее по звучанию имя (например, перестановка одной буквы), — тогда дубликат получит именно злоумышленник, а не владелец карты.Как комментирует Алан Кесслер, один из руководителей компании Palm, карманное устройство «должно быть простым, элегантным, крайне надежным и недорогим». Скорее всего, мобильники пострадавших от действий Абрама Абдалы такими характеристиками еще не обладали. Понятно, что свойства из этого «набора» нелегко совместить. А уж когда речь заходит о криптографии, то для общего «облегчения» конструкции всячески пытаются упростить и эту ресурсоемкую функцию. Некоторые упорно избегают 128-битное шифрование, отдавая предпочтение 56-битному.ЗАЩИТА ЕСТЬ ВСЕГДАНо интересен даже не сам факт преступного поведения — это конечно же не новость. Серьезно настораживает специалистов и продвинутых пользователей то, что нарушитель учел слабости новых технологий и ловко сыграл на так называемом человеческом факторе. Как считает Джеф Хокинз, создатель карманного компьютера Palm Pilot и один из руководителей корпорации Handspring, «самая большая угроза для карманных устройств — это люди, их теряющие». Профессионалы сходятся во мнении, что слишком часто защитные меры пользователей оказываются намного слабее того, что может предоставить техника. Так, функции безопасности электронного устройства практически всегда снабжаются системой идентификации владельца. В простейшем случае это пароль доступа. Он может быть достаточно длинным и сложным для противостояния методам подбора. Однако мы нередко предпочитаем самые тривиальные решения: набор из четырех цифр (типа года или даты рождения), кличка своей собаки... Если сам владелец устройства не озабочен вопросами безопасности, то никакая техника помочь ему не в силах!Характерное для микрокомпьютеров и сотовых телефонов сочетание общедоступности и сравнительно слабой защищенности делает их весьма привлекательной стартовой площадкой для заполнения общественных сетей новыми вирусами. Эксперты настоятельно предупреж-дают, что широкое распространение карманных устройств на основе OS Windows СЕ потенциально несет в себе значительную угрозу беспроводным сетям. Тесная интеграция с такими программами, как Outlook, чревата очень быстрым распространением злонамеренных кодов (вроде печально известного червя I LOVE YOU). В таких условиях мобильные устройства становятся весьма благоприятной почвой для быстрого размножения вирусов или оперативных действий компьютерных взломщиков.В компаниях, занимающихся про-изводством устройств мобильной связи, прекрасно понимают все эти вещи. К примеру, специалисты Nokia на своем сайте (www.nokja.com) пишут о том, что они признают возможность таких угроз и намерены предпринять необходимые шаги для защиты. Но при этом философски комментируют: «Все зависит от того, как идет развитие. Поскольку мобильные телефоны двигаются в направлении PC, то естественно, что будет появляться и возможность для аналогичных атак злоумышленников». Разработчики полагают, что жизненно важным становится ознакомление пользователей с возможными рисками. Самое главное — это осознание аспектов безопасности. Поэтому телефоны должны разрабатываться таким образом, чтобы пользователь имел четкое представление, что именно он делает.По мнению большинства поставщиков оборудования, вполне адекватным решением проблем с неконтролируемым распространением в мобильных сетях всевозможных нежелательных и просто опасных посланий должны стать криптографические сертификаты.Статистика и прогнозы экспертов утверждают, что у беспроводных систем связи впереди самые радужные перспективы: через 3—5 лет количество мобильных пользователей Интернета превзойдет число пользователей стационарных. Как предсказывает международная компания International Data Corp., которая помимо прочего занимается прогнозированием ситуации на рынке сотовой связи, к 2003 г. на руках будет около 50 млн карманных компьютерных устройств, причем значительная их часть — с возможностями беспроводной связи. По расчетам еще одной компании — IGI Consulting — количество «умных» телефонов возрастет на 88%, достигнув 330 млн аппаратов. Завороженные этими цифрами, производители оборудования изо всех сил стараются как можно скорее обеспечить мобильный доступ к услугам электронной коммерции, доставки сообщений всевозможных форматов и прочий заманчивый сервис. Но далеко не всегда во главу угла ставится безопасность, поскольку выйти на рынок с новым продуктом гораздо важнее.Противостоять мошенническим действиям можно довольно просто. Регулярно сверяйте такие показатели, как остаток, приход и расход, внимательно просматривайте приходящие отчеты о переводах со счета и чеки, а также счета за мобильную связь. Заведите несколько кредитных карточек и пару дебетных — для трат в ненадежных местах, где их могут подсмотреть. Не переводите слишком много денег на одну карту, не раскрывайте никому кодовое кредитное слово. Пользуйтесь банкоматами в закрытых помещениях. Проводите трансферы в киберпространстве по специальным платежным картам для Интернета. Для сотовиков и переносных компьютеров — придумайте сложное словосочетание для пароля. Никогда не оставляйте тот PIN-КОД, который вам поставили в салоне по продаже мобильной техни-ки. Следите за балансом счета, и регулярно сверяйте список своих звонков.