Изощренные пользователи-злоумышленники получили возможность залезать в уязвимые банки данных с помощью своих мобильных телефонов, перебрасывая информацию в портативные компьютеры, или же запускать вирус перед отключением и исчезновением из сети... Не прошло и года, как он оказался прав - 32-летний официант из Бруклина, США, в настоящее время обвиняется в преступлении, которое уже успели окрестить "крупнейшим мошенничеством в истории интернета", совершенном с помощью Wap-телефона, виртуальной голосовой почты и Интернет, сообщает Newsbytes со ссылкой на газету The New York Post. Согласно информации, опубликованной в газете, Абрам Абдала (Abraham Abdallah) подозревается в хищении через интернет миллионов долларов со счетов известных людей, топ-менеджеров крупных корпораций. В общей сложности жертвами преступника стали 200 человек из "Списка самых богатых людей Америки". От действий кибермошенника пострадали: Билл Гейтс (Bill Gates), Стивен Спилберг (Steven Spielberg), Джордж Лукас (George Lucas), Ларри Эллисон (Larry Ellison), Майкл Блумберг (Michael Bloomberg) и многие другие. Интересен не сам факт преступного поведения - это давно уже не редкость. Сам факт, что нарушитель использовал слабости в новых технологиях, особенно в телефонах Wap, настораживает экспертов и множество пользователей мобильных средств коммуникации. Безопасность беспроводной системы не может быть надежнее, чем сам владелец устройства. Очень многие эксперты сходятся во мнении, что одной из главных забот при обращении к карманным устройствам является совершенно очевидный факт - такое устройство много легче утратить, нежели обычный настольный компьютер. Очень часто защитные меры, предпринимаемые пользователями, оказываются много слабее того, что может предоставить техника. Так, функции безопасности электронного устройства практически всегда снабжаются системой аутентификации владельца, в простейшем случае - это пароль доступа, и сейчас он нередко может быть достаточно длинным и сложным для противостояния методам подбора. Однако люди предпочитают самые тривиальные решения - какой-нибудь набор из четырех цифр, типа года или даты рождения, или же имя близкого существа. Как говорит Джеф Хокинз (Jeff Hawkins) - "отец" наладонника PalmPilot и один из руководителей корпорации Handspring, "именно по этим причинам самая большая угроза для карманных устройств - это люди, их теряющие". Если сам владелец устройства не озабочен вопросами безопасности, то никакая техника помочь ему не сможет. Однако, по мнению большинства поставщиков оборудования, вполне адекватным решением проблем с неконтролируемым распространением в мобильных сетях всевозможных нежелательных и просто опасных посланий, должны стать криптографические сертификаты. Как показывает практика, в своих махинациях, длившихся полгода, преступник использовал WAP-телефоны и виртуальную голосовую почту, а так же ничего не подозревавшие курьерские службы. Ему удалось обмануть банки, инвестиционные корпорации и брокерские конторы, которые имели доступ к номерам кредитных счетов потерпевших. Среди обманутых такие известные компании, как Goldman Sachs, Bear Stearns, Merrill Lynch. Сама схема махинации довольно пространно описана в газете, однако путем логического анализа можно предположить, что путей для столь явно противоправных действий было не много. Один из вариантов - получить копию кредитной карточки (слипа), когда интересующее нас лицо расплачивается в магазине или ресторане. Второй - подсмотреть номер кредитки и дату ее действия, а также полное имя владельца. Поскольку наш герой работал в аналогичном пункте общественного питания, то сделать это не составляет труда - просто лишний раз провести специальным устройством по новому бланку и копия кредитки готова. Далее можно подделать подпись (она есть на обратной стороне карточки) и полный комплект документов в руках злоумышленника. После этого возможны варианты - можно сделать копию карточки и занести туда данные с реальной - данный бизнес в США довольно распространен, для этого всего лишь нужен аппарат, который изготавливает пластиковые карты и немного желания, чтобы получить дубликат. Можно с помощью компьютера сделать запись своего голоса более похожей на оригинал и послать это файлом в систему виртуальной голосовой почты - с обращением к менеджеру банка сделать дубликат кредитной карточки, указав при этом уже известный номер, дату действия и полное имя владельца, подтвердив это цифровой подписью, похожей на подпись владельца, можно списать деньги за данную процедуру с его счета. Один ньюанс - в качестве адреса получателя можно указать почтовый адрес абонентского ящика, который будет зарегистрирован на похожее по звучанию имя (перестановка одной буквы или иное отчество). Суть в любом случае одна - любыми путями получить доступ к реальной кредитной истории владельца счета. После этого можно обналичивать деньги через банкоматы, можно покупать товары в магазинах, переводить деньги на счета разных виртуальных персонажей. Но главное - не зарываться, действовать осторожно, небольшие суммы в разные адреса, ведь люди богатые редко помнят все перечисления на 100-200 долларов каждое, для них это не так важно. Особенность банковской системы США - владельцам кредитных карточек каждый месяц приходят по почте фотокопии всех слипов за месяц - то есть реальные копии совершенных переводов в магазинах, ресторанах и т.д. На каждом таком письме - все данные о владельце, перехватить письмо можно и на технической стадии обработки - в почтовом отделении, в машине курьерской доставки и в почтовом ящике. Сейчас это можно сделать еще проще - взломать центральный или местный компьютер реального почтового отделения и подправить на время адрес для доставки таких писем - на несколько часов, чтобы курьеры доставили все по нужному злоумышленнику адресу, а после реальные данные восстанавливаются, и следы проникновения заметаются. Также время от времени взламывают клиентские данные в различных интернет-магазинах, причем сделать это можно так, что заметно ничего не будет, а пользоваться данными можно довольно долго, прежде чем кто-либо это обнаружит. Есть и еще более интересный путь - многие из вышеперечисленных людей использовали свои мобильные телефоны для m-bussiness, то есть некоторой разновидности e-commerce, когда с помощью мобильника можно оплачивать счета, получать доступ к конфиденциальной голосовой почте или отправлять конфиденциальные данные. Узнать пароль и логин можно путем подбора, подсматривания, вычисления. Не исключено, что злоумышленник просто подсмотрел эти логины или похитил их в составе какой-либо БД - на очередном всемирном экономическом форуме в Давосе как раз пропали аналогичные данные, что наводит на мысль о пусть призрачной, но связи этих двух событий. Дальше - дело техники. Кстати показателен еще один факт - WAP (Wireless Application Protocol), или "протокол беспроводных приложений" имеет хорошо известную "дыру" в безопасности: в той точке, где данные переходят из проводов в эфир для беспроводной передачи. В этом месте, именуемом WAP-шлюзом, данные формата HTML, зашифрованные средствами протокола SSL (Secure Sockets Layer), должны быть расшифрованы, переведены в формат WML (Wireless Markup Language) и по новой зашифрованы средствами WTLS (Wireless Transport Level Security), предназначенными для защиты WAP-данных в формате WML. Следствием же данного преобразования является то, что если злоумышленник имеет доступ к WAP-шлюзу, то он может свободно перехватывать весь расшифрованный SSL-трафик в открытом виде, до того, как данные поступают на WTLS-перешифрование. Конечно, эта проблема прекрасно известна специалистам, и к следующей инкарнации протокола - версии WAP 2.0 - эта "дыра" была заделана. Но это был ноябрь 2000 года, когда махинации уже начались и коды доступа были в руках преступника. Как комментирует Алан Кесслер (Alan Kessler), один из руководителей компании Palm, карманное устройство "должно быть простым, элегантным, крайне надежным и недорогим". Понятно, что свойства из этого набора не очень просто совмещаются друг с другом, а уж когда речь заходит о включении криптографии, то для общего "облегчения" конструкции всячески пытаются упростить и эту ресурсоемкую функцию. В одних беспроводных устройствах упорно избегают 128-битное шифрование, отдавая предпочтение 56-битному, а в компании RSA, недавно включившей в свой известный крипто-инструментарий для разработчика Bsafe и средства WTLS-шифрования, используется новая технология "multiprime", оперирующая вместо двух больших модулей множеством из нескольких простых чисел поменьше, что повышает производительность ценой некоторого снижения стойкости. Но, скорее всего, мобильники указанных выше пострадавших такими свойствами еще не обладали - ведь доказанные пока махинации начались полгода назад. По сути дела характерное для наладонных компьютеров и сотовых телефонов сочетание общедоступности и сравнительно слабой защищенности делает их весьма привлекательной стартовой площадкой для заполнения общественных сетей новыми вирусами. Эксперты уже сейчас предупреждают, что широкое распространение карманных устройств на основе ОС Windows CE, к примеру, потенциально несет в себе значительную угрозу беспроводным сетям, поскольку в CE поддерживаются скрипты и тесная интеграция с такими опасными приложениями как Outlook, чреватыми очень быстрым распространением злонамеренных кодов типа печально известного червя ILOVEYOU. В таких условиях мобильные устройства становятся весьма благоприятной почвой для быстрого размножения вирусов или оперативных действий компьютерных взломщиков. В компаниях, занимающихся производством устройств мобильной связи, прекрасно понимают все эти вещи. Например, как сказали в Nokia, они признают возможность таких угроз и намерены предпринять необходимые шаги для защиты. Но при этом философски комментируют: "Все зависит от того, как движется развитие. Поскольку мобильные телефоны развиваются в направлении ПК, то естественно, что будет появляться и возможность для аналогичных атак злоумышленников". В Nokia полагают, что жизненно важным становится ознакомление пользователей с возможными рисками использования техники. Самое главное - это осознание аспектов безопасности. Поэтому телефоны должны разрабатываться таким образом, чтобы пользователь имел четкое представление, что именно он делает. А цифры статистики и прогнозов тем временем свидетельствуют, что у беспроводных систем связи впереди разворачиваются самые радужные перспективы, поскольку через 3-5 лет количество мобильных пользователей Интернета превзойдет число пользователей "стационарных", работающих через обычные ПК. Как предсказывает International Data Corp., к 2003 году на руках у пользователей будет находиться около 50 миллионов карманных компьютерных устройств, причем значительная их часть - с возможностями беспроводной связи. По расчетам IGI Consulting количество "умных" телефонов возрастет на 88%, достигнув 330 миллионов аппаратов. Завороженные этими цифрами, производители оборудования изо всех сил стараются как можно скорее обеспечить беспроводной доступ к услугам электронной коммерции, доставки сообщений всевозможных форматов и прочим заманчивым сервисам. Но практически никогда во главу угла не ставится безопасность, поскольку выйти на рынок с продуктом гораздо важнее. Противостоять данным мошенническим действиям можно довольно просто - регулярно сверять такие показатели, как остаток на счете, приход и расход счета, внимательно просматривать приходящие отчеты о переводах со счета и чеки, а также счета за мобильную связь. Завести несколько кредитных карточек и пару дебетных - для трат в ненадежных местах, где их могут подсмотреть, не переводить слишком много денег на одну карту, не раскрывать никому кодовое кредитное слово, пользоваться банкоматами в закрытых помещениях, проводить трансферты в киберпространстве по специальным платежным картам для интернет. Для сотовиков и переносных компьютеров - придумать сложное словосочетание для пароля, никогда не оставлять тот PIN-код, который Вам поставили в салоне по продаже мобильной техники, изменять его обязательно, следить за балансом счета и регулярно сверять листинг своих звонков. Автор: Букин Максим Главный редактор: Андрей Барановский Copyright (C) www.Alliance.com.ua
|