Bezdrátové přenosy velmi cenných dat

V souvislosti s mobilním bankovnictvím se hodně hovoří o bezpečnostní stránce komunikace zákazníka s bankou. Ani och...


V souvislosti s mobilním bankovnictvím se hodně hovoří o bezpečnostní stránce
komunikace zákazníka s bankou. Ani ochrana heslem a poukazy na šifrování
zasílaných dat mnohé uživatele nepřesvědčí. V následujícím textu se podíváme na
bezpečnost bezdrátové komunikace obecně od bezdrátových lokálních sítí až po
mobilní telefony.Matt Hamblen
Každou firmu může potkat to štěstí, že ji navštíví "přátelský hacker". Tak
třeba jistý Jeff Schmidt jednoho dne zkoušel na svém laptopu zcela novou kartu
LAN. Nečekal, že se něco stane, protože bezdrátová LAN v jeho firmě ještě
nebyla zcela zavedena a zprovozněna. Ke svému velkému překvapení se bez
problému napojil do sítě firmy, která sídlila ve stejné ulici.
To bylo nadělení! Aby nenarušil chod doménového serveru dotyčné firmy, Schmidt
do firmy zavolal, aby její zaměstnance varoval. Krátce potom vypnuli svůj
bezdrátový hub. Schmidt, síťový technik na ministerstvu zemědělství v New
Orleansu, sepsal o své komunikaci s druhou firmou (kterou odmítl jmenovat)
zprávu.
"Představte si naše překvapení, když jejich hub ihned odpověděl na můj signál,"
říká Schmidt. "Připojil jsem se snadno, protože firma v té době ještě používala
ve svém bezdrátovém hubu nastavení od výrobce. Žádné hackování, žádná plánovaná
akce prostě jasná, obyčejná náhoda."
V Schmidtově narušení cizí sítě hrála roli náhoda, ale podle názoru analytiků
jsou bezdrátové sítě snadno přístupné svým sousedům ať již jsou to vpády
náhodné nebo úmyslné či nepřátelské v každém případě potřebují velmi dobře
zabezpečit.
Analytici soudí, že IT manažeři mohou docílit velmi účinného zabezpečení tak,
že zajistí, aby uživatelé v prostředí bezdrátových sítí měli povinnou
autentizaci, nejlépe uživatelským jménem a heslem, případně tokenem. Dále
doporučují, aby se v přímém propojení (end-to-end) používalo i šifrování.
Bezpečnost v sítích by se podle zástupců bank a maloobchodníků měla posílit do
té míry, aby se přes Web mohly realizovat nákupní transakce nebo převody peněz.

Zatím bezpečné
"S bezpečností našeho bezdrátového připojení jsme velmi spokojeni a myslíme si,
že naše vybavení je také dobře zajištěné," říká Mark Ebel, ředitel digitálních
komunikačních služeb v BestBuy.com, divizi Best Buy z Minnesoty. "Ale přesto
věříme, že bezpečnost můžeme nadále zlepšovat, neměli bychom setrvávat jen na
současné úrovni, protože když nic nepodnikneme, hackeři si vždycky najdou lepší
způsob, jak zaútočit," dodává. BestBuy.com se připravuje zavést na své webové
stránce možnost nakupování z mobilních telefonů. Systém se již osvědčil v řadě
testů, ale ještě nebyl zaveden do praxe, protože firma doposud vychytávala
chyby v jiných funkcích na své stránce, které se netýkají bezpečnosti.
Banky, jako je například Wachovia ze Severní Karoliny, věří bezpečnosti
bezdrátových přenosů do té míry, že začaly na konci loňského roku nabízet
bankovní služby prostřednictvím mobilních telefonů.
Na bezdrátové prostředí již také například přešla skupina 500 advokátů ze
společností Paul Hastings Janosky a Walker z Los Angeles. Právníci posílají své
e-maily pomocí bezdrátového připojení prostřednictvím osobních digitálních
asistentů od Research in Motion (proto se zařízení označují RIM), které se
podobají pagerům s malými klávesnicemi. "Pro naše právníky jsou to
nepostradatelné pomůcky, hlavně proto, že mnozí z nich hodně cestují," říká
Mary Odsonová, CIO v Paul Hastings. "Před jejich nasazením jsme pochopitelně
důkladně odzkoušeli komunikaci RIMů v síti, protože bezpečnost a důvěrnost
informací v právních záležitostech je jedním z nejdůležitejších hledisek."
Mobilní bankovnictví Při šifrování přímého propojení (end-to-end) musí
programátor brát v úvahu možnosti každého jednotlivého zařízení, které se bude
používat k přístupu do sítě. Navíc se musí dodržet bezpečnostní normy každého
přenosu v bezdrátové síti. "Aby splnila tyto náročné požadavky, společnost
Wachovia oslovila firmu 724 Solutions z Toronta, s žádostí o pomoc při vývoji
aplikace pro mobilní bankovní operace," říká Lawrence Baxter, vedoucí oddělení
e-businessu Wachovie. "V roce 1998, v době, kdy společnost Fidelity Investments
v Bostonu začala realizovat první mobilní operace tohoto typu, se musely
aplikace budovat ve vlastní režii, protože potřebná technologie byla stále
ještě těžko dostupná," říká k podobnému problému ve vlastní společnosti Joe
Ferra, senior viceprezident společnosti Fidelity Online Brokerage, která má cca
100 000 mobilních uživatelů, kteří pracují s různými zařízeními.
Ferra dále uvádí, že na základě výsledků interních hodnocení a posudků ve sféře
bezpečnosti nemá společnost Fidelity důvěru ve verzi standardu WAP 1.1
(Wireless Application Protocol), resp. v její bezpečnost pro zajištění
náročnějších bezdrátových operací. Místo toho Fidelity spoléhá na šifrování a
autentizaci vyvinutou na základě HDML (Handheld Device Markup Language). Řada
odborníků se shoduje v názoru, že WAP 1.1, který je implementován v mnohých
dnešních telefonech, představuje problém, neboť každý bezdrátový přenos je
náchylný k napadení hackerem ve WAP gateway serveru. Současný běžný standard je
takový, že WAP gateway server se nalézá uvnitř zóny bezdrátového přenosu. Tři
analytici John Pescatore z GartnerGroup v Connecticutu, Alan Paller, ředitel
výzkumu při SANS Institute v Marylandu a Alan Reiter z Wireless Internet and
Mobile Computing v Marylandu shodně tvrdí, že existuje malé, ale přece reálné
nebezpečí, že by některý velmi inteligentní hacker mohl vniknout do WAP gateway
serveru a ukrást tam data. Gateway server totiž na malou chvilku dekóduje
bezdrátový přenos, než jej znovu zakóduje a odešle do pevné sítě. Navzdory této
možnosti společnost Phone.com z Kalifornie, zakládající člen WAP Fora, tvrdí,
že úroveň bezpečnosti WAPu je opravdu vysoká. Podle slov Rogera Snydera, senior
produktového manažera Phone.com, je úroveň bezpečnosti dostatečná pro Bank of
Montreal v Torontu, Amazon.com v Seattlu i pro další společnosti, které již
nabízejí své služby prostřednictvím mobilních telefonů.
Pescatore a další analytici soudí, že verze 1.3 (případně navrhovaná verze 2.0
mj. s podporou PKI Public Key Infrastructure) mnohé problémy vyřeší. V novém
pojetí WAP proxy server umístěný v některé bance nebo firmě předá síťovému
serveru pro bezdrátový přenos informaci, zda má konkrétní uživatel oprávnění
uskutečnit operaci přímo s bankovním serverem. Bezdrátový přístup ke svým
službám nabízí také finanční společnost Sabre Holdings z Texasu. Podle Cindy
Gronerové, ředitelky bezdrátových služeb při Sabre, umožňuje zvolené řešení
komunikaci nejen z mobilního telefonu, ale v podstatě z libovolného zařízení
schopného bezdrátové komunikace. "Aby se předcházelo problémům s WAPem 1.1 a
jiným bezpečnostním rizikům, přes bezdrátovou síť se neposílají žádné konkrétní
informace o klientských úvěrech," dodává. Tyto údaje zůstávají v interních
souborech firmy Sabre.

Trh s realitami
Společnost Colliers Arnold Commercial Investment Brokerage z Floridy testuje
nový postup, kdy poskytuje agentům bezdrátový přístup k vlastním interním
informacím ohledně nemovitostí a jejich komerčního využití. Podle CEO
společnosti Lee Arnolda používá Colliers Arnold jako komunikační zařízení
kapesní počítače typu Palm VII. "Ty předávají zprávy přes síť firmy Palm, která
používá vlastní algoritmus pro šifrování dat v průběhu transakce," vysvětluje
Arnold. Dle názoru odborníků je dalším slabým místem bezdrátových přenosů
nedostatek autentizace kontrola, že uživatel je opravdu tím, za koho se
prohlašuje.
Odborníci se obávají, že uživatelská jména a hesla nejsou zárukou dostatečné
bezpečnosti, zejména jedná-li se o přenos důvěrných informací. Analytici v
bankovních službách a klienti bank, kteří uvažují o využití mobilního
bankovnictví, se těší na den, kdy chytré telefony budou vybaveny zvláštním
autentizačním zařízením.
Některé mobilní telefony nabízené na trhu obsahují speciální Subscriber
Identity Modules (SIM, moduly pro identifikaci registrovaného uživatele), které
budou pracovat s budoucími verzemi WAPu s cílem vytvořit to, co se označuje
jako Wireless Identity Module (WIM, bezdrátový modul identity). Modul WIM bude
sloužit k uložení digitálního certifikátu a jeho přiděleného soukromého klíče.
Např. společnost Visa spolupracuje s firmou Nokia na vývoji telefonu, který
obsahuje specializovaný slot pro identifikační modul. Pescatore říká, že tato
technologie má omezené využití, neboť každý, kdo takový telefon drží v ruce,
může předstírat, že je legitimní uživatel, pokud se mu do ruky dostalo také
identifikační číslo PIN pro aktivaci přístroje. O poznání bezpečnější je řešení
zvolené firmou RIM z Ontaria její přístroje vyžadují jméno uživatele a nové
heslo v předem stanovených intervalech (dle konfigurace). Nicméně problém
ztráty hesla se tím stejně neřeší.
Analytici očekávají, že se autentizace bude zlepšovat s tím, jak se postupně
začnou používat biometrická zařízení, například snímače otisků prstů, místo
osobních čísel PIN. S takovými zařízeními se ovšem zřejmě budeme moci běžněji
setkávat až po roce 2004. Jak řešit problémy
Pescatore zastává názor, že absence technologie pro autentizaci vede k tomu, že
se manažeři IT, mobilní operátoři i banky poskytující např. služby mobilního
bankovnictví musejí spoléhat na uživatelská jména a hesla. Protože na
klávesnici mobilního telefonu lze jen velmi obtížně zadat hesla s použitím
znaků abecedy, měla by být vyžadována delší hesla a měla by být častokrát
obměňována.
Pro případ firemní bezdrátové infrastruktury vyzývá Pescatore IT manažery, aby
investovali do softwaru pro identifikaci neoprávněného vniknutí v případě všech
serverů se zavedenými bezdrátovými aplikacemi. Tak lze zabránit výše zmíněnému
případu sítě v New Orleansu, do níž Jeff Schmidt náhodou pronikl pomocí své
bezdrátové LAN karty. Zvláště podotýká, že firma, kam Schmidt pronikl, měla
svůj bezdrátový adaptér raději zapojit na zvláštní segment sítě LAN a neměla
jej napojit na hub. Ale také jiné firmy, které statečně přecházejí na mobilní
e-commerci, nacházejí nedostatky v bezpečnosti. "Jsme velmi znepokojeni ohledně
bezpečnosti mobilního Internetu," říká Joe Chouinard, viceprezident pro
zavádění nových obchodních kanálů ve společnosti Visa. Ve svých obavách jistě
není sám. To ovšem nic nemění na faktu, že se mobilní m-commerce slibně
rozvíjí. Je pouze otázkou, zda bude dostatečně zabezpečena dříve, než dojde k
nějakým vážným problémům.
1 0821 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.