A mobil kor veszélyei

A leggyengébb láncszem maga a felhasználó

A mobiltelefóniában a legfontosabb szempont ma az, hogy az újdonságok a konkurenciát megelőzve kerüljenek piacra. Az internetes kor felé rohanásban a mobil eszközök gyártói minimális jelentőséget tulajdonítanak a biztonsági követelményeknek, mivel azt szeretnék, hogy az új készülékek minél hamarabb a vásárlók kezébe kerülhessenek, és a fejlesztésükre szánt csekély pénz mielőbb megtérüljön . Ennek viszont könnyen az lehet az eredménye, hogy a jövőben a mobiltelefon használók könnyű célpontjai lehetnek hackereknek, vírusoknak, bár a gyártók és szolgáltatók kétségbeesetten igyekezhetnek majd utólag befoltozni az alkalmazott technológiák biztonsági réseit.

A probléma rendkívül összetett, a megoldást pedig nehezíti, hogy világszerte különféle hálózatokat használnak, és a szakértők egyelőre inkább csak vitatkoznak azon, hogy melyik volna a legjobb megoldás. Az internetező mobiltelefonálókra számító cégek számára is inkább úgy merül fel a kérdés, hogy mikor veszítenek többet: akkor, ha esetleg betör valaki a rendszerükbe, vagy akkor, ha egyáltalán nem nyújtanak drótnélküli szolgáltatásokat.

A jelek szerint a biztonsági szempont egyelőre nem olyan erős, hogy komoly befolyással legyen az új technológiák alakítására. Hátráltató tényező még a mobilkészülékek kis processzorkapacitása és az akkuk rövid élettartama. A biztonságosabb megoldások általában több erőfeszítést és több befektetést igényelnek, a gyártók ezért hajlamosak megelégedni kevésbé biztonságos technológiákkal is (pl. 56 bites titkosítással a 128 bit helyett). Pedig a hanyagság nagyon hamar megbosszulhatja magát. Előrejelzések szerint az internetre csatlakozó mobil eszközök száma pár éven belül meghaladja a számítógépekét.

Az IDC szerint 2003-ra 50 millió kéziszámítógép lesz forgalomban, legtöbbjük mobil hozzáféréssel, az IGI Consulting 2003-ra 330 millió "okos" telefonnal számol, a Forrester Research jóslata szerint pedig 2 éven belül a munkavállalók 57 százaléka rendelkezik majd mobillal. A robbanást látva persze minden cég minél előbb ki akarja használni a mobiltechnológiában rejlő kereskedelmi lehetőségeket (elektronikus kereskedelem, üzenetküldés, álláskeresés, információszolgáltatás).

Már az alkalmazott protokollok is elégtelenek. A WAP protokollnak is van egy ismert biztonsági rése: a WAP gatewaynél. Ez az a hely, ahol az adat a drótos hálózatból kilép a drótnélkülibe, és a html adatokat dekódolják, majd visszakódolják wml-be (SSL titkosításból WTLS-be). Ha valaki hozzáfér a gatewayhez, meglesheti az adatokat, mielőtt újrakódolnák őket. A hibát majd a WAP 2.0 javítja ki, amely viszont csak az év végére várható, és ugyebár idő kell majd a cégeknek is az átálláshoz. Ugyanakkor sokak szerint érdemesebb volna a Japánban elterjedt - 7 millió felhasználóval rendelkező - iMode technikát használni inkább, amely kompakt html-t használ, és amelynél közvetlenül kommunikálhatnak a telefonok a webszerverekkel.

Külön problémakör az üzleti tranzakcióknál már használt digitális aláírások bevezetése. A PKI (Public-Key infrastructure) technológiáknak sok támogatója van, de sok a szkeptikus is. Ezek az eljárások ugyanis a felhasználók és a készülékek előzetes - pl. biometrikus vagy smart carddal történő - azonosításához kötik a kommunikációt, így aztán valószínűleg csak akkor fognak elterjedni, ha a gyártók eleve beépítik a szükséges technológiákat a készülékeikbe. Erre viszont csak akkor kerül sor, ha komoly igény merül fel rá, márpedig egyelőre még a legnagyobb pénzügyi cégek is általában megelégszenek a jelszavas azonosítással.

A WAP protokollnak is van egy ismert biztonsági rése

Még ha az adatátvitel biztonságosságát sikerül is garantálni, akkor is kemény dió marad magának a készüléknek a biztonságos használata. A rosszindulatú felhasználó ellen ugyanis nincs biztos védelem, egy mobiltelefonról indított hackertámadás elkövetőjét gyakorlatilag lehetetlen volna megtalálni, egy PDA-ról (kéziszámítógép) bárki útjára indíthat egy pusztító vírust. Különösen alkalmasak erre a célra a Windows CE-t futtató készülékek, amelyek ismerik a rendes Windowsos scripteket, és fut rajtuk az Outlook Express is. A kézi eszközökön keresztül minden eddiginél gyorsabban terjedhetnek a vírusok, és még ha magukban a telefonokban nem is tudnak kárt tenni, hamarabb eljuthatnak olyan PC-kre, ahol már veszélyesek lehetnek, vagy egyszerűen túlterhelhetik a hálózatot.

A leggyengébb láncszem persze maga a felhasználó. A négyszámjegyű pinkódok elég egyszerűek, sokan végtelenül primitív jelszavakat használnak, mint pl. saját v. anyjuk neve, és ugyebár egy mobiltelefont lényegesen könnyebb elveszíteni is, mint egy PC-t. Persze itt van a hagyományos internet analógiája: már több terabájtnyi adatkommunikáció zajlott, mire kifejlődtek az első megbízható adatvédelmi és titkosítási technikák. De talán épp ezért nem kéne elkövetni ugyanazokat a hibákat, hanem már a kezdet kezdetén megfelelő képpen kéne kezelni a biztonságos adatkommunikáció kérdését.