WAP (Wireless Application Protocol)

WAP (Wireless Application Protocol)

WAP este o stiva de protocoale destinata echipamentelor mobile, cum sunt telefoanele si PDA-urile, prin care este posibil accesul la internet intr-un mediu wireless.

Wireless Application Protocol (pe scurt WAP) este o stiva de protocoale destinata comunicatiei in retelele wireless. WAP foloseste WTLS (Wireless Transport Layer Security - un nivel de securitate al carui scop este de a asigura intimitatea, integritatea datelor si autentificarea pentru serviciile WAP), o versiune wireless a protocolului SSL/TLS, pentru securizarea comunicatiei intre telefoanele mobile si alte parti ale arhitecturii WAP.

In continuare vom prezenta arhitectura de securitate WAP precum si cateva proprietati importante ale protocolului WTLS. Fara indoiala, exista cateva probleme de securitate cu WAP si protocolul WTLS. Nu intotdeauna pot fi garantate intimitatea, protectia si integritatea datelor. Utilizatorii si dezvoltatorii de aplicatii WAP trebuie sa cunoasca aceste lucruri. Desigur, exista si masuri ce pot fi luate impotriva problemelor de securitate, precum si o conduita la utilizarea WAP. Sunt situatii cand WAP-ul poate fi utilizat, dar si cand nu se recomanda utilizarea.

1 Introducere

In zilele noastre, informatia si accesul la informatie sunt lucruri foarte importante. Iar in ultima perioada de timp se constata o puternica tendinta inspre mobilitate. Acest lucru creste nevoia de a fi online si de a avea acces la informatie tot timpul. Navigarea pe internet se face acum nu numai cu ajutorul calculatoarelor de birou sau portabile:

oamenii isi pot folosi chiar telefoanele sau PDA-urile in acest scop. Acest lucru se realizeaza prin WAP, protocolul pentru aplicatii wireless.

WAP este o stiva de protocoale pentru comunicatia in retelele wireless, specificate de forumul WAP, forum care face parte din Open Mobile Alliance. In esenta, WAP este echivalentul wireless a stivei de protocoale internet TCP/IP. Un mare avantaj al WAP este ca nu depinde de purtator. Cel mai cunoscut purtator in momentul actual este GSM, dar pot fi utilizate si PDA-uri sau telefoane mobile din generatia a treia pentru navigarea pe internet.

2 Limbajul de descriere wireless

Similar cazului www, interfata utilizator WAP se face printr-un mini-browser, localizat in telefonul mobil. WAP are propriul limbaj de descriere WML (Wireless Mark-up Language), care este echivalentul WAP al HTML. De asemenea, WML include si scripting (WMLScript, un fel de echivalent JavaScript), iar prin biblioteca WMLScript Crypto Library ofera functionalitatea de semnatura digitala, similara semnarii Javascript din Netscape.

3 Securitatea nivelului de transport wireless

Asa cum vom vedea in continuare, intreaga comunicatie de la telefonul mobil la internet trece printr-un gateway WAP. Iar aceasta comunicatie de la telefon la gateway-ul WAP trebuie sa fie securizata. In acest scop nu poate fi folosit protocolul SSL/TLS din cauza constrangerilor telefonului mobil. Un telefon mobil are o latime de banda, memorie si putere de calcul limitate, iar puterea electrica a acumulatorului nu este suficienta pentru a alimenta circuite dedicate calculelor criptografice complexe (cum ar fi criptarea cu cheie publica pe 2048 de biti). Din aceasta cauza forumul WAP a adaptat protocolul TLS, facandu-l utilizabil in mediile wireless, cu echipamente mobile mici. Rezultatul este WTLS (Wireless Transport Layer Security), versiunea wireless a SSL/TLS. Implicit WTLS foloseste criptografia cu curba eliptica (ECC). Avantajul criptografiei cu curba eliptica este acela ca foloseste chei de dimensiuni mult mai mici (ECC cu o cheie pe 170-180 de biti ofera un nivel de securitate echivalent cu cel oferit de RSA pe 1024 de biti). De asemenea WTLS functioneaza deasupra nivelului datagrama, nu la nivelul comunicatiei bazata pe conexiune. In fine, WTLS defineste propriul format de certificat, optimizat in privinta marimii (latimea de banda este limitata), dar suporta si certificatul obisnuit X.509. 

4 Arhitectura WAP

Dupa cum se observa in Figura 2.4, "Arhitectura WAP" exista trei entitati care interactioneaza: browserul WAP, gateway-ul WAP (numit si proxy WAP) si un server din internet.

Figura 2.4 Arhitectura WAP

Cand echipamentul mobil doreste sa se conecteze la internet, intreg traficul trece prin gateway-ul WAP. Acest gateway WAP translateaza toate protocoalele folosite de WAP in protocoale folosite in internet. De exemplu, proxy WAP codifica (si decodifica) continutul pentru a reduce dimensiunea datelor care au fost trimise prin legatura wireless. Un alt exemplu este protocolul WTLS. Comunicatia dintre echipamentul mobil si gateway-ul WAP este securizata cu WTLS. WTLS este folosit doar intre echipamentul mobil si gateway-ul WAP, in timp ce SSL/TLS poate fi utilizat intre gateway si internet. Acest lucru inseamna ca, prima data gateway-ul WAP trebuie sa decripteze traficul criptat WTLS si apoi sa il cripteze din nou (folosind SSL/TLS), asa cum prezinta Figura 2.5. Astfel pot aparea probleme de securitate, asa cum vom vedea mai tarziu.

Figura 2.5 Translatarea Traficului WTLS in SSL/TLS

5 WTLS - principalele aspecte

WTLS, protocolul Wireless Transport Layer Security, functioneaza exact deasupra nivelului transport al stivei de protocoale OSI. Explicarea tuturor detaliilor nu este obiectivul acestui articol. De aceea ne vor limita la principalele aspecte ale WTLS.

WTLS stabileste o sesiune intre un client (telefonul mobil) si un server (gateway-ul WAP). Aceasta faza este numita faza de negociere. Pe parcursul ei sunt negociati parametri de securitate utilizati la protectia sesiunii. Printre acesti parametri se afla protocoalele de criptare, algoritmii de semnatura, cheile publice, mesajele premaster secret si altele. WTLS include suport atat pentru negocierea integrala, in care sunt negociati toti parametri de securitate, cat si pentru negocierea partiala, in care sunt reutilizati parametri de securitate ai unei alte sesiuni.

O data stabilita o sesiune, intreaga comunicatie dintre client si server este criptata. De asemenea, WTLS poate suspenda o sesiune, urmand ca ulterior sa o continue. Astfel, sesiunile pot dura zile intregi. Cu cat o sesiune dureaza mai mult, cu atat cheile secrete sunt valide mai mult timp, prin urmare creste probabilitatea ca un atacator sa gaseasca o cheie secreta. De aceea, WTLS permite renegocierea cheilor pe parcursul unei sesiuni. WTLS foloseste si certificate. Deoarece certificatele nu au fost cu adevarat gandite pentru a fi utilizate de catre echipamentele mobile, WAP defineste un nou format de certificat care este optimizat pentru stocarea in echipamentele mobile si transmisia in retelele wireless. Aceste certificate au o functionalitate similara certificatelor obisnuite X.509, dar pentru o mare parte din procesare, in anumite circumstante, se bazeaza pe server.

6 Wireless Identity Module (WIM)

Echipamentele WAP folosesc Wireless Identity Module (WIM) care contine cheile publica si privata pentru a confirma semnaturile digitale si certificarea. Este un echipament bine protejat, fiind dificil pentru un atacator sa obtina cheile stocate in echipament. WIM poate fi asemanat cu cartela SIM din GSM.

7 Gateway-ul WAP

WAP nu asigura o securitate punct-la-punct. Asa cum deja am amintit, echipamentele WAP comunica cu serverele web printr-un intermediar - gateway-ul WAP. Doar protocolul WTLS este folosit intre echipamentul mobil si gateway, intre gateway si serverul web din internet putand fi utilizat protocolul SSL/TLS.

Acest lucru inseamna ca gateway-ul WAP contine, cel putin pentru o anume perioada de timp, date necriptate (care pot avea un caracter confidential). Cei care ofera astfel de gateway-uri trebuie sa ia masuri pentru a se asigura ca decriptarea si re-criptarea se efectueaza in memorie, ca acele chei si datele necriptate nu sunt niciodata salvate pe disc si ca intreaga memorie folosita in procesul de criptare si decriptare este stearsa inainte de a ceda controlul sistemului de operare.

Problema este chiar mai ingrijoratoare. Implicit, arhitectura WAP presupune ca utilizatorul telefonului mobil (si serverul web) au incredere deplina in gateway-ul WAP(Figura 2.6). Toate datele (confidentiale) devin necriptate prin gateway-ul WAP. Acest lucru inseamna ca, in cazul serviciilor confidentiale, cum sunt serviciile bancare electronice, banca nu trebuie sa se bazeze pe gateway-ul WAP implicit (si nesigur) al clientului.

Figura 2.6 Modul de trecere WAP

8 Dezavanaje ale WTLS

Protocolul de criptare folosit pe parcursul unei sesiuni WTLS este stabilit in faza de negociere. Aici exista posibilitatea de a alege metoda de criptare DES pe 40 de biti. In aceasta metoda se foloseste o cheie de cinci octeti care contine cinci biti de paritate. Acest lucru inseamna ca exista doar 35 de biti pentru cheia efectiva in cheia DES. Este foarte usor de aflat aceasta cheie DES printr-un atac brut.

9 Probleme cu virusii informatici

Telefoanele mobile au devenit din ce in ce mai dezvoltate, avand sisteme de operare tot mai complexe. Mai mult, WAP contine si un limbaj de scripting (WMLScript). De aceea, aceste telefoane mobile pot fi tinte ale virusilor informatici. Si mai periculos este faptul ca nu este posibila rularea unui software antivirus complex pe telefonul mobil. Deja au aparut virusi a caror tinta sunt telefoanele mobile, chiar daca momentan nu au o larga raspandire. Insa expertii apreciaza ca este doar o chestiune de timp pana ce acesti virusi informatici se vor raspandi masiv.

10 Securitatea fizica

Unul din cele mai vulnerabile elemente in privinta securitatii din intreg sistemul WAP este chiar telefonul mobil. Telefonul poate fi pierdut sau furat de cineva si asta in contextul in care utilizatorii stocheaza in telefon tot mai multe date si informatii confidentiale. Codul PIN ofera un anume nivel de protectie, dar acesta este format doar din patru cifre si multi posesori de telefoane aleg coduri PIN usor de memorat (de exemplu 1234 sau 0000), deci si de ghicit. La o analiza sincera a riscurilor WAP, securitatea fizica a telefonului mobil ocupa cu siguranta un loc fruntas.

WAP 2.0

Noua versiune de WAP, WAP 2.0, este un WAP reproiectat, folosind o versiune restransa a XHTML avand HTTP capat-la-capat.

Unii observatori prevad ca aceasta noua generatie de WAP va tinde spre accesul web al echipamentelor de buzunar, asa de mult incat va fi absorbit. Daca aceasta noua generatie de protocol pentru echipamente mobile (Wireless Internet Protocol) se va numi in continuare WAT, inca nu se stie. XHTML MP (XHTML Mobile Profile), limbajul de descriere definit in WAP 2.0, este construit sa functioneze pe echipamente mobile. Acesta este un subset al XHTML si un supraset al XHTML Basic. XHTML MP suporta si o versiune de "cascading style sheet" numita WAP CSS.

WAP Push

WAP Push, disponibil inca din versiunea WAP 1.2, a fost incorporat in specificatii pentru a permite "impingerea" continutului WAP spre handseturile mobile cu o interventie minima a utilizatorului. WAP Push este in principiu un mesaj codificat special care include o legatura spre o adresa WAP. WAP Push se situeaza deasupra WDP. Astfel, poate fi livrat prin orice purtaror WDP, precum GPRS sau SMS.

In majoritatea retelelor GSM, activarea GPRS de la retea de regula nu este suportata, prin urmare mesajele WAP Push trebuie livrate deasupra purtatorului SMS. La receptia unui mesaj WAP Push, un handset WAP 1.2 sau mai nou va oferi automat utilizatorului posibilitatea de a accesa continut WAP. Astfel, WAP Push directioneaza utilizatorul final spre o adresa WAP unde se afla deja continut gata de vizualizare sau descarcare pe handset. Adresa poate fi o simpla pagina, una cu continut multimedia (de exemplu, sunete polifonice) sau o aplicatie Java. Cu ajutorul WAP Push, utilizatorii pot gasi si accesa noi servicii mobile.

11 Solutii si practici

Cu toate problemele de securitate ale WAP, exista cateva solutii simple si bune practici pentru ca utilizarea WAP sa aiba loc in conditii de securitate mai mari.

Prima solutie este comutarea de la gateway-ul WAP implicit la un gateway securizat si de incredere. Acest lucru este deosebit de important in cazul serviciilor confidentiale, cum sunt aplicatiile pentru operatii electronice bancare. Insa problema cu aceasta solutie este ca nu este la indemana oricarui utilizator non-tehnic o astfel de comutare la un alt gateway. Notati ca daca WAP-ul functioneaza prin reteaua GSM, trecerea de la un gateway la altul se poate face prin trimiterea unui mesaj SMS. O alta posibilitate ar putea fi schimbarea automata a gateway-ului la cererea serverului web destinatie.

O alta solutie este aceea de a actualiza toate gateweay-urile WAP asa incat acestea sa functioneze in modul de trecere. In acest mod de functionare, gateway-ul permite trecerea intregului trafic, fara sa se atinga de el. Astfel, fluxul de date criptat WTLS strabate ruta de la telefonul mobil la server fara sa fie decriptat, gateway-ul fiind doar un fel de releu de inaintare a fluxului de date. Un gateway poate functiona in doua moduri. In modul normal, functioneaza ca un gateway WAP. Cand gateway-ul WAP detecteaza un flux WTLS, acesta comuta in modul de trecere, lasand fluxul de date sa ajunga la serverul web. Actualizarea tuturor gateway-urilor WAP si a serverelor WAP (acestea trebuie sa "inteleaga WTLS" in aceasta solutie) este mult mai usoara decat actualizarea tuturor echipamentelor WAP.

De asemenea exista si cateva practici bune la utilizarea WAP. Este o idee buna sa nu folosesti WAP-ul in cazul serviciilor extrem de confidentiale si sa te asiguri ca sistemul tau nu suporta algoritmi de criptare slaba. De asemenea, folositi un numar PIN mai greu de ghicit (nu 1234) pentru a va proteja datele stocate in telefon atunci cand il pierdeti sau va este furat.

14 Concluzii

WAP permite navigarea pe internet cu ajutorul telefoanelor si altor echipamente mobile. Este echivalentul wireless la protocolului TCP/IP avand marele avantaj de a fi independent fata de purtator. Arhitectura de securitate WAP se compune din trei parti: telefonul mobil, gateway-ul WAP si reteaua internet. Comunicatia dintre telefonul mobil si gateway este protejata de WTLS, o versiune wireless a SSL/TLS, in timp ce traficul de la gateway spre internet poate fi protejat prin SSL/TLS. Gateway-ul WAP decripteaza intreg traficul WTLS si cripteaza intreg traficul SSL/TLS. Din punct de vedere al securitatii, acest lucru inseamna ca gateway-ul poate fi considerat ca o entitate mediana. Atat utilizatorul cat si serverul din internet trebuie sa aiba incredere in gateway-ul WAP.   Din pacate, nu intotdeauna exista astfel de relatii de incredere, prin urmare s-au cautat diverse solutii care sa evite aceasta entitate mediana. Insa toate aceste solutii au cateva dezavantaje: utilizatorul trebuie sa isi configureze propriul sistem (sa aleaga gateway-ul WAP) sau trebuie actualizate toate gateway-urile WAP si serverele.

Categoric ar fi nevoie de solutii mai simple. Dar pana la gasirea acestora, nu este rau sa fim atenti atunci cand folosim WAP-ul. Daca dorim rularea unor aplicatii cu grad inalt de confidentialitate, atunci mai bine sa nu folosim WAP. Pentru celelalte aplicatii insa, WAP ramane o tehnologie draguta si ingenioasa.