Za posledných pár rokov sa vo svete vyvinula nová z metód marketingu, takzvaný mobilný marketing. Niektorí túto metódu označujú ako následníka alebo zdokonalenú formu internet marketingu, čo však nie je pravda, i keď sa dajú nájsť určité spoločné prvky. S čiastočným oneskorením oproti ázijským krajinám, krajinám Škandinávie, USA a UK, prichádza mobilný marketing (označovaný aj Mobile Marketing alebo m-marketing) postupne aj k nám na Slovensko a do Českej republiky. Čo to vlastne mobilný marketing je a aké má výhody oproti ostatným marketingovým metódam, čiastočne popisuje tento článok.
Definovanie mobilného marketingu
Mobilný marketing (m-marketing, Mobile Marketing) je nový pojem, ktorý označuje jednu z metód priameho marketingu, založenú na využívaní mobilných zariadení, ako sú mobilné telefóny, smartfóny, PDA, MDA a zriedka prenosné počítače – notebooky. Na distribúciu komerčného či nekomerčného obsahu sa používajú technológie ako SMS, MMS, YAPs, Bluetooth, WLAN, Infrared (IRDA) a iné.
Vďaka neprestajnému vzrastaniu popularity mobilných telefónov, mobilný marketing sa dá označiť ako jedna z najrýchlejšie rastúcich a najzacielenejších marketingových metód.
Pojem mobilný marketing sa dostal do popredia zo začiatku vďaka SMS-marketingu, ktorý je jeho súčasťou. Stalo sa tak potom, ako v niektorých európskych a ázijských krajinách začali niektoré spoločnosti zbierať telefónne čísla a zasielať na ne reklamu.
Oprávnenosť používania mobilného marketingu
Akokoľvek, za posledných pár rokov sa SMS stali legitímnym reklamným kanálom a jednotlivé národné či medzinárodné marketingové a reklamné asociácie vkladajú pravidlá pre mobilnú reklamu a mobilný marketing do svojich etických kódexov. Taktiež niektoré vlády začínajú vymedzovať právny rámec pre mobilný marketing vo novotvorenej legislatíve. Nakoľko však kvôli rýchlemu vzrastu popularity mobilného marketingu neboli doposiaľ presne stanovené kritériá pre používanie mobilných zariadení pre reklamu, vyskytli sa občas v niektorých krajinách, ako napríklad USA, Japonsko a podobne, prípady negatívneho používania mobile marketingu. Napriek niekoľkým negatívnym výnimkám, ktoré boli pri vývine mobile marketingu zaznamenané, sa však každá spoločnosť, ktorá si chce zachovať svoje dobré meno, snaží pri aplikovaní mobilného marketingu zachovávať všeobecne platné morálne kritériá a zásady, ako aj rešpektovať existujúcu legislatívu v danom štáte, ktorá by mohla nepriamo vplývať na využívanie mobil marketingovej metódy.
Výhody mobilného marketingu, oproti iným marketingovým metódam
Vďaka stále sa rozvíjajúcim technológiám je možnosť využívať čoraz viac a viac funkcií mobilných zariadení pre marketingové účely.
Mobilný marketing má oproti iným marketingovým metódam množstvo špecifík, vyplývajúcich zo samotnej podstaty mobilnej komunikácie. Penetrácia mobilných telefónov sa celosvetovo pohybuje okolo 90% a v niektorých krajinách už dávno presiahla 100% hladinu. Mobilné telefóny väčšina ľudí nosí zapnuté pri sebe 24hodín denne a nevie si už predstaviť život bez týchto zariadení. Navyše mobilné telefóny si ľudia zosobňujú – prispôsobujú podľa svojho imidžu, životného štýlu či nálady (zvonenia, tapety, kryty, profily...).
Vďaka množstvu rozličných pridaných funkcií sa mobilný telefón stáva multifunkčným zariadením. Na rozdiel od služieb na internete si ľudia zvykli, že za služby cez mobilný telefón musia platiť a aj keď sa vyskytne určitá služba zadarmo, zväčša je dotovaná nejakou inou formou, ako je priama platba od zákazníka.
Mobilný telefón a tým aj prvky mobilného marketingu možno využiť kdekoľvek, kde je pokrytie signálom. Výrazný faktor zohráva aj rýchlosť a kvalita. Ten najlepší a najaktuálnejší obsah sa zväčša dostáva skôr na mobilný internet ako do iných médií. Mobilný obsah možno oveľa rýchlejšie aktualizovať, než napríklad pri printových médiách.
Použitie týchto výhod sa dá znázorniť v nasledujúcom príklade:
V každom väčšom meste (ako je napríklad Bratislava), sa dá na každé miesto v ňom dostať pešo, ak má chodec na to dostatok času. Chôdza je však veľmi pomalá a ak je potrebné dostať sa rýchlejšie na niektoré vzdialenejšie miesto, pravdepodobne každý radšej nasadne do autobusu alebo iného prostriedku verejnej dopravy a zaplatí cenu lístku za použitie daného dopravného prostriedku. V prípade, že sa niekto veľmi ponáhľa a nemá čas čakať na autobusovej zastávke alebo sa nechať prevážať okľukou navyše ešte aj s mnohými zastávkami, tak si radšej zoberie taxi a je ochotný zaplatiť oveľa viac ako za bežných okolností, len aby prišiel načas.
Podobne je to aj s informáciami. Za bežných okolností, ak chce mať niekto prehľad o tom, čo sa dnes stalo vo svete, pustí si večer doma televíziu a pozrie si správy. Poprípade obetuje pár korún na zakúpenie si novín. V novinách či večerných správach je už však informácia so značným oneskorením. V televízii alebo rádiu je síce správa hneď, v prípade závažnej udalosti, ale bežne počas dňa väčšina ľudí nepozerá televíziu. Na pracoviskách býva prístup na internet a tak nie je problém vyhľadať si požadované informácie cez web. Ak je však žiadaná informácia dôležitá, jej požadovateľ neváha zaplatiť i určitý poplatok za prístup k nej (napríklad za registráciu na stránku). Čo však v situácii, ak je niekto na ulici a potrebuje sa rýchlo dostať k určitej informácii? Pravdepodobne zavolá zo svojho mobilného telefónu kolegom do práce, priateľovi, či rodinnému príslušníkovi, aby mu danú informáciu vyhľadali v počítači, na internete, v encyklopédii a pod. Poprípade, aby nemusel obťažovať niekoho iného, použije pripojenie do WAPu alebo v sieťach 2,5G a 3G priamo do mobilného internetu. Tak či tak je ochotný platiť viac, či už za hovor alebo za mobilné internetové pripojenie.
Vlastnosti mobilného marketingu
Rozličné spoločnosti a pracovníci v oblasti mobilného marketingu vytvorili rôzne akronymy na pomenovanie vlastností mobilného marketingu, ako napríklad:
PAIR (Personal - osobný; Available - dostupný; Immediate – okamžitý, Real time – v reálnom čase)
MAGIC (Mobile – mobilný, prenosný; Anytime – dostupný v každom čase; Globally – globálny, teda rozšírený po celom svete; Integrated – integrovaný; Customised – zosobnený podľa želania a potrieb zákazníka)
5M’s (Movement, Moment, Me, Money, Machines)
Movement (pohyb) - umožňuje uniknutie z jedného miesta
Moment (chvíľa, okamih) - rozširuje koncept času
Me (ja) - vyzdvihuje mňa samotného a moje spoločenstvo
Money (peniaze) - vynakladá peňažné prostriedky
Machines (prístroje) - splnomocňuje prístroje vykonávať určité činnosti
Najčastejčie pojmy spájané s mobilným marketingom a jeho formy
Mobilný marketing sa skladá z rozličných foriem, medzi ktoré patrí SMS marketing, MMS marketing, Mobile Advertising, MMR - Mobile Marketing Research (marketingový prieskum s pomocou mobilných zariadení, či mobilný zber dát), atď... Stretávame sa s pojmami, ako je mCommerce, Mobile banking (mBanking), mWallet (mobilná peňaženka), mPay (platenie cez mobil), mSecurity (bezpečnosť v mobilnom svete), mBroadcasting (živé vysielanie televízie či rozhlasu cez mobilné telefóny), Mobilný Internet, Mobloging (mobilné blogovanie), mIM (Mobile Instant Messenger), a ďalšími.
Bohužiaľ sa stretávame aj s negatívnymi formami, ako je Mobile SPAM (mSPAM), Mobile Hacking (mHacking), SMS snooping (čítanie správ priamo v databázach a prístupových bránach operátorov), SMS spoofing (prijímanie nevyžiadaných správ šírených z internetových SMS brán), SMS interception (odposluch, odchytávanie SMS správ zasielaných v mobilných sieťach) a iné formy novodobej kriminality.
Otázka úspešnosti na poli m-marketingu
Na svete pribúda stále viac a viac nových spoločností, ktoré sa snažia využiť mobilný marketing na rozšírenie svojho biznisu, zefektívnenie foriem komunikácie, oslovenie nových zákazníkov a podobne. Otázkou zostáva, ktorá z týchto firiem aj naozaj dokáže využiť ten obrovský potenciál, ktorý mobilný marketing v sebe ukrýva.
Résumé:
People in business can still more often hear a relativelly new term: Mobile Marketing. In this article, author is shortly presenting Mobile Marketing as a new marketing method that is based on the use of mobile devices (mobile phones, smartphones, PDA, MDA, partly laptops). The article is talking about legitimity of using mobile marketing, advantages of using mobile marketing, characteristics of mobile marketing (PAIR, MAGIC, 5M’s) and mobile marketing forms (SMS marketing, MMS marketing, etc.).
Použité zdroje/ List of References:
- Ahonen, T.: M-Profits: making money from 3G services. Chichester: Wiley, 2002. ISBN 0470847751
- http://en.wikipedia.org/wiki/Mobile_Marketing [17:08, 15. január 2007]
- Metke, J.: m-marketing: Mobilný telefón ako nový nástroj marketingu. Bratislava: Univerzita Komenského, 2006
Nebezpečné SMS
Krátke textové správy - SMS, sú v súčasnosti jedným z najobľúbenejších komunikačným nástrojov. Vyplýva to z rôznych výskumov robených na Slovensku i v zahraničí. Posielanie SMS správ nie je len zábavkou pre teenagerov; taktiež množstvo dospelých, významných ľudí sa vyjadrilo, že preferuje posielanie SMS správ pred volaním.
SMS správy sa stali bežným komunikačným nástrojom aj v biznise. V rôznych firmách management firmy oznamuje svojim zamestnancom cez SMS rôzne zmeny ktoré nastali v plánoch firmy, pozýva všetkých na firemné akcie alebo na nečakané porady, informuje o pracovných úlohách svojich obchodných zástupcov v teréne, či oslovuje pravidelných zákazníkov o novinkách a akciách.
SMS sa postupne dostávajú do rôznych firemných riešení, ako je ovládanie inteligentných domov cez SMS, zasielanie poplašných správ na mobil zabezpečovacími systémami pripojenými na SMS bránu a využívajú sa aj pri systémoch mobilného bankovníctva, či na informovanie o zaplatení daného tovaru.
Mnohokrát sa pri takýchto biznis riešeniach posielajú cez SMS správy informácie, ktoré sú privátne a ich zverejnenie môže narušit firemné know-how, či súkromie danej osoby. Jedná sa o informácie, ako napríklad výška uskutočnenej transakcie, informácie o zostatku na účte spolu s čislom účtu, rodné číslo, overovací PIN kód a podobne.
Veľa krát si ani samotní tvorcovia týchto riešení neuvedomujú bezpečnostné riziká s týmto spojené alebo ich jednoducho ignorujú z dôvodu vidiny zisku z používania ich riešení, v ktorých sa jednoducho použijú SMS. Ešte menej si možné riziká uvedomujú samotní používatelia týchto riešení, ktorý si veselo cez SMS posielajú dôverné informácie.
SMS je veľmi dobrým nástrojom pre jednoduchú komunikáciu a pre rôzne firemné riešenia, nie však pre zasielanie citlivých informácií. Pozrime sa na niektoré možné bezpečnostné hrozby.
Ak chceme hovoríť o bezpečnosti vo svete mobilnej komunikácie, treba sa na problematiku pozrieť z viacerých uhlov. Bezpečnosť závisí od užívateľov, samotných zariadení, podnikovej siete, mobilnej siete a rôznych iných faktorov. U mobilných sietí, tak ako aj u iných rádiových sietí, je potrebné počítať s možným odpočúvaním, takže v samotnej sieti je potreba zabezpečiť komunikáciu, aby jej prípadní útočníci nemohli preniknúť. Najčastejší problém úniku informácií uložených v mobilnom telefóne je v prípade, že sa nám mobilný telefón stratí, ukradnú nám ho alebo si ho jednoducho necháme na mieste, kde sa doň môžu dostať kolegovia, rodinní príslušníci, spolužiaci, niekto úplne cudzí atď. Bezpečnosť samotných mobilných sietí a komunikácie v nich, nemôže koncový užívateľ ovplyvniť, pretože to je plne v kompetencii prevádzkovateľov sietí (operátorov).
Pozrime sa teda na bezpečnosť mobilnej komunikácie z viacerých uhlov:
Bezpečnosť v GSM/GPRS
V sieťach 2 a 2,5 generácie (GSM/GPRS) má každý mobilný užívateľ pridelený jedinečný identifikátor IMSI (International Mobile Subscriber Identity), ktorý sa skladá z 3 miestneho kódu zeme MCC (Mobile Country Code), dvojmiestneho kódu mobilnej siete MNC (Mobile Network Code) a desaťmiestneho identfikačného čísla mobilného užívateľa. IMSI je uložené v SIM. Informácia o zákazníkovi vrátane IMSI je uložená v mobilnej sieti domáceho poskytovateľa v registri HLR (Home Location Register). Pri každom prístupe do siete GSM/GPRS sa musí užívateľ autentizovať. Autentizácia v sieťach GSM/GPRS má však nedostatky a tým hlavným je jej jednosmernosť, pretože sa autentizuje len užívateľ, nie sieť samotná.
Prenášané dáta sú v sieti GSM/GPRS chránené pri prenose sieťou proti odpočúvaniu pomocou šifrovania. SGSN a mobilné stanice používajú 128bitové náhodné číslo použité pri autentizácii a privátny kľúč uložený na SIM. Šifrovaný kľúč sa vygeneruje prostredníctvom algoritmu A8. Dáta v sieti GPRS sa šifrujú pomocou algoritmu GPRS-A5. Dĺžka takéhoto kľúča je 64 bitov, čo však nie je dostatočne silná ochrana pre potreby súčasného zabezpečenia komunikácie. Pretože sieť GSM poskytuje len jednosmernú autentizáciu užívateľa pomocou SIM pred prístupom do siete a uživatelské zariadenia si neoverujú identitu siete, ku ktorej sa chcú pripojiť, prípadní útočníci majú možnosť zakladať falošné základňové stanice pre zachytenie identifikácie mobilných užívateľov IMSI a vypnutie šifrovania.
Medzi bezpečnostné medzery pri týchtoch sieťach patrí napríklad aj kontrola integrity dát. Taktiež je to bezpečnosť pri prechode medzi sieťami, čo sa prejavuje hlavne pri roamingu. Za bezpečnosť sú zodpovedné len základňové stanice, nie ústredne, teda dochádza tu k problémom k ochrane medzi ústredňou a základňovou stanicou. Čo sa týka identity terminálov (IMEI), tá nie je integrovanou súčasťou protokolu, ale len doplnkom.
Bezpečnosť v sieťach 3. generácie - UMTS
Vďaka tomu, že siete UMTS majú dostatočnú šírku pásma, šifrovanie nemá žiadny dopad na rýchlosť prenosu dát. Preto bezpečnosť komunikácie v sieťach UMTS je vyššia ako v sieťach GSM/GPRS, ale stále nie 100%. Vyššia bezpečnosť vytvára vhodné prostredie pre m-commerce či platby online, kde bezpečnosť transakcií, pri ktorých sa uvádzajú citlivé osobné informácie (heslá, čísla účtov, kreditných kariet, atď.) je úplne prvoradá.
UMTS obsahuje bezpečnostné prvky ako utajenie identity účastníkov, autentizáciu účastníkov, prenositeľný modul SIM a šifrovanie prenosu. Šifrovanie je oproti GSM (64bit) vyššie 128 bit. Je tu kvalitnejšia kontrola integrity dát, bezpečnosť sa kontroluje nielen v rámci siete, ale aj medzi sieťami, za bezpečnosť sú zodpovedné ústredne. Vzájomná autentizácia medzi mobilnými zariadeniami a sieťou je na module USIM (Universal Subscriber Identity Module). Pre zaistenie integrity a utajenia sa musí užívateľský terminál a sieť dohodúť na súbore kľúčov. (AKA, Authentication and Key Agreement). Z hladiska bezpečnosti je tu však stále problém pri prepájaní do roamingu.
Ak chceme hovoriť o šifrovaní v sieťach UMTS, tie využívajú algoritmus Kasumi so 128 bitovým kľúčom. Kľúč pre zachovanie integrity sa odvodzuje v priebehu AKA. Integrita dát je však zaistená medzi koncovými zariadeniami užívateľa a RNC iba pre signalizačné dáta, nie však pre užívateľské dáta. Užívateľské dáta tak nemajú kontrolný súčet a sú náchylné k útokom opakovaním. Šifrovanie dlhším kľúčom ako pri sieťach 2G a 2,5G síce garantuje vyššiu bezpečnosť, dáta však nie sú zabezpečené koncovo proti útokom typu replay. Preto by koncová ochrana dát mala byť zabezpečená aplikačným softvérom. Takýto softvér vo svete ponúka napríklad spoločnosť Grapevine, Concept Data Technologies alebo FE-Mobile. Na Slovensku a v Čechách aplikačné softvéry, ktoré garantujú šifrovanie od začiatku do konca, ponúka spoločnosť mSolutions. Vďaka ich riešeniam možno bez obavy robiť akýkoľvek biznis cez mobilné telefóny.
Obrázok 1: Bezpečnostné slabiny vo väčšine dnes využívaných m-commerce riešeniach
Obrázok 2: Bezpečné m-commerce riešenie ošetrené technológiou mEncrypt od mSolutions
3G siete majú ešte niekoľko slabín. Napríklad únos relácií je možný prostredníctvom MITM a účinný pri vypnutom šifrovaní. Útok môže byť taktiež proti autentizačnému vektoru – vektor možno získať v čase medzi jeho generovaním v autentizačnom centre a jeho použitím v sieti.
Pretože 3G sú postavené na IP, vzťahujú sa na ne všetky možné bezpečnostné problémy IP komunikácie.
Sledovanie a kontrova komunikácia v mobilných sieťach úradmi
Rovnako ako v GSM, tak aj v UMTS sieťach je povolené odpočúvanie na základe právneho opatrenia oprávnenými úradmi. Týka sa to tak prenášaných dát, zasielaných SMS správ, ako aj informácií o danom volaní. V EU bolo navyše vydané nariadenie, ktoré platí aj u nás na Slovensku, že prevádzkovatelia telekomunikačných a dátových služieb majú povinnosť zaznamenávať všetky správy a hovory a odovzdávať tieto záznamy bezpečnostným službám. Obsah však bude možné zistiť len vtedy, pokiaľ nepôjde o koncové šifrovanie alebo pokiaľ sa na obsah nepoužili protokoly, napr. DRM. Tu môže vznikáť rozpor a nespokojnosť koncových užívateľov, z dôvodu zasahovania do ich súkromia.
Ľudský faktor
Najväčšie bezpečnostné hrozby zväčša vznikajú zavinením ľudského faktora alebo náhodnými situáciami. K množstvu citlivých dát uložených v telefóne sa môžu nepovolané osoby dostať v prípade straty či krádeže telefónu, ak má používateľ telefón položený na mieste, od ktorého sa vzdiali a podobne. Najbežnejšie dáta, ku ktorým sa v týchto prípadoch nepovolané osoby dostanú, sú čísla v telefónnom zozname a SMS správy. V telefónnom zozname môžu byť uložené čísla osôb, ktoré majú radšej svoje číslo utajené a pozná ho len úzky kruh ľudí. Taktiež sa dá podľa zoznamu volaných čísel dostať k informáciám, ktoré by niektorí ľudia chceli utajiť. Takáto forma zneužitia telefónu však ešte nie je taká zlá. Horšie je to s SMS správami.
Väčšina ľudí SMS správy nevymazáva, kým nemá pamäť v telefóne určenú pre správy zaplnenú. V SMS správach sú zväčša obsiahnuté naše súkromné a dôverné informácie. V prípade m-commerce riešení sa SMS správy používajú napríklad pri internet/mobile bankingu na zaslanie informácií o výškach uskutočnených platieb, o zostatkoch na účtoch, mnohokrát aj s identifikačnými údajmi účtu a podobne. Zamestnávatelia, či kolegovia v práci si cez SMS zvyknú posielať často aj rôzne dôverné informácie, týkajúce sa firemnej stratégie, či know-how.
Nespoľahlivosť SMS
Svetovy leader v IT consultingu – spoločnosť Gartner už v roku 2002 vydala vyhlasenie v ktorom uvadza, ze SMS vonkoncom nie sú bezpečným komunikačným nástrojom. Množstvo firiem, ktoré vytvárajú riešenia pre mobilné telefóny, ich však stále s obľubou ponúka aj v riešeniach, v ktorých by mala byť bezpečnosť na 1. mieste, napríklad pri internet/mobile bankingu. Väčšine ľudí určite nevadí, ak si niekto cudzí prečíta SMS správu oznamujúcu, že bola spravená nejaká finančná transakcia. Ak tá správa však obsahuje informácie o výške zostatnu na účte alebo výške vykonanej transakcie, čo je v súčasnosti bežný jav, množstvo ľudí určite nepoteší to, že túto správu si môže prečítať niekto iný. Spoločnosti ako mSolutions, Grapevine, Fe-mobile a iné, ktoré už boli v tomto článku spomenuté, ponúkajú m-commerce a mobil-bankingové riešenia založené na zasielaní bezpečných správ, takže koncový užívateľ sa nemusí báť straty dôvernosti svojich údajov. Problémom je, že veľakrát kvôli neznalosti, rodinkárstvu, kvôli vidine domnelého prospechu či iným dôvodom sa v praxi častejšie uplatňujú riešenia, ktoré nepokrývajú dostatočne potrebné bezpečnostné štandardy.
Vo svete sa pre rôzne druhy útokov na SMS používajú výrazy ako: SMS snooping, SMS spoofing, ci SMS interception. Tieto termíny označujú situácie, keď sa k SMS správam dostanú zamestnanci mobilného operátora a môžu si ich čítať, ak niekto odchytáva zasielané SMS alebo sa niekto nabúrava do serverov mobilných operátorov, SMS gateways alebo priamo do koncových zariadení.
Ak jednotlivcom či spoločnostiam záleží na bezpečnosti ich komunikácie cez mobilné telefóny, mali by v prvom rade spraviť analýzu a zhodnotenie reálnych rizík. Skontrolovať, nakoľko citlivé správy a údaje uchovávajú vo svojich telefónoch a posielajú ich cez SMS správy, či mobilný dátový prenos. Taktiez sa odporúča dať si pozor na to, kto všetko má k telefónom prístup a osvojiť si určité bezpečnostné návyky. Z dôvodov ľahkej možnosti straty či ukradnutia telefónov, odporúča sa využívať ochrana koncovými aplikačnými nástrojmi. Na zasielanie dôverných správ je vhodné používať šifrované správy ako YAPs a podobne. Je dobré ustanoviť postup, ktorý treba dodržať po strate či ukradnutí telefónu (napríklad požiadanie operátora o zablokovanie SIM karty). Ak takú možnosť telefón ponúka, odporúča sa zablokovať telefón alebo aspoň jeho časti (telefónny zoznam, prístup k správam,...) heslom. Na zariadeniach s operačnými systémami, ako sú PDA, MDA a smartfóny, by sa mali používať antivíry a firewall, ako na osobných počítačoch. Taktiež by sa malo dávať pozor na to, s akými okolitými zariadeniami telefón komunikuje a nenechávať spustený Bluetooth alebo WiFi na mobilných zariadeniach nepretržite.
Pravidlá bezpečnej mobilnej komunikácie je potrebné vysvetliť aj svojim rodinným príslušníkom, známym a na pracoviskách. Ak iba jedna komunikujúca strana dodržiava bezpečnostné pravidlá a druhá nie, ochrana nemôže byť úplná. V takomto prípade sa riziko zneužitia údajov síce zníži, ale nie eliminuje. Preto treba aby pravidlá bezpečnej komunikácie dodržiavali obe komunikujúce strany.
www.privatext.com
www.cryptosms.com
JONES, N. Don’t Use SMS for Confidential Communication. London Gartner Research, 2002, ID No: FT-18-9298
PUŽMANOVÁ, R. Bezpečnost bezdrátové komunikace. Praha: Computer Press, 2005, ISBN 80-251-0791-4
Interné materiály spoločnosti mSolutions s.r.o.
SMS správy sa stali bežným komunikačným nástrojom aj v biznise. V rôznych firmách management firmy oznamuje svojim zamestnancom cez SMS rôzne zmeny ktoré nastali v plánoch firmy, pozýva všetkých na firemné akcie alebo na nečakané porady, informuje o pracovných úlohách svojich obchodných zástupcov v teréne, či oslovuje pravidelných zákazníkov o novinkách a akciách.
SMS sa postupne dostávajú do rôznych firemných riešení, ako je ovládanie inteligentných domov cez SMS, zasielanie poplašných správ na mobil zabezpečovacími systémami pripojenými na SMS bránu a využívajú sa aj pri systémoch mobilného bankovníctva, či na informovanie o zaplatení daného tovaru.
Mnohokrát sa pri takýchto biznis riešeniach posielajú cez SMS správy informácie, ktoré sú privátne a ich zverejnenie môže narušit firemné know-how, či súkromie danej osoby. Jedná sa o informácie, ako napríklad výška uskutočnenej transakcie, informácie o zostatku na účte spolu s čislom účtu, rodné číslo, overovací PIN kód a podobne.
Veľa krát si ani samotní tvorcovia týchto riešení neuvedomujú bezpečnostné riziká s týmto spojené alebo ich jednoducho ignorujú z dôvodu vidiny zisku z používania ich riešení, v ktorých sa jednoducho použijú SMS. Ešte menej si možné riziká uvedomujú samotní používatelia týchto riešení, ktorý si veselo cez SMS posielajú dôverné informácie.
SMS je veľmi dobrým nástrojom pre jednoduchú komunikáciu a pre rôzne firemné riešenia, nie však pre zasielanie citlivých informácií. Pozrime sa na niektoré možné bezpečnostné hrozby.
Ak chceme hovoríť o bezpečnosti vo svete mobilnej komunikácie, treba sa na problematiku pozrieť z viacerých uhlov. Bezpečnosť závisí od užívateľov, samotných zariadení, podnikovej siete, mobilnej siete a rôznych iných faktorov. U mobilných sietí, tak ako aj u iných rádiových sietí, je potrebné počítať s možným odpočúvaním, takže v samotnej sieti je potreba zabezpečiť komunikáciu, aby jej prípadní útočníci nemohli preniknúť. Najčastejší problém úniku informácií uložených v mobilnom telefóne je v prípade, že sa nám mobilný telefón stratí, ukradnú nám ho alebo si ho jednoducho necháme na mieste, kde sa doň môžu dostať kolegovia, rodinní príslušníci, spolužiaci, niekto úplne cudzí atď. Bezpečnosť samotných mobilných sietí a komunikácie v nich, nemôže koncový užívateľ ovplyvniť, pretože to je plne v kompetencii prevádzkovateľov sietí (operátorov).
Pozrime sa teda na bezpečnosť mobilnej komunikácie z viacerých uhlov:
Bezpečnosť v GSM/GPRS
V sieťach 2 a 2,5 generácie (GSM/GPRS) má každý mobilný užívateľ pridelený jedinečný identifikátor IMSI (International Mobile Subscriber Identity), ktorý sa skladá z 3 miestneho kódu zeme MCC (Mobile Country Code), dvojmiestneho kódu mobilnej siete MNC (Mobile Network Code) a desaťmiestneho identfikačného čísla mobilného užívateľa. IMSI je uložené v SIM. Informácia o zákazníkovi vrátane IMSI je uložená v mobilnej sieti domáceho poskytovateľa v registri HLR (Home Location Register). Pri každom prístupe do siete GSM/GPRS sa musí užívateľ autentizovať. Autentizácia v sieťach GSM/GPRS má však nedostatky a tým hlavným je jej jednosmernosť, pretože sa autentizuje len užívateľ, nie sieť samotná.
Prenášané dáta sú v sieti GSM/GPRS chránené pri prenose sieťou proti odpočúvaniu pomocou šifrovania. SGSN a mobilné stanice používajú 128bitové náhodné číslo použité pri autentizácii a privátny kľúč uložený na SIM. Šifrovaný kľúč sa vygeneruje prostredníctvom algoritmu A8. Dáta v sieti GPRS sa šifrujú pomocou algoritmu GPRS-A5. Dĺžka takéhoto kľúča je 64 bitov, čo však nie je dostatočne silná ochrana pre potreby súčasného zabezpečenia komunikácie. Pretože sieť GSM poskytuje len jednosmernú autentizáciu užívateľa pomocou SIM pred prístupom do siete a uživatelské zariadenia si neoverujú identitu siete, ku ktorej sa chcú pripojiť, prípadní útočníci majú možnosť zakladať falošné základňové stanice pre zachytenie identifikácie mobilných užívateľov IMSI a vypnutie šifrovania.
Medzi bezpečnostné medzery pri týchtoch sieťach patrí napríklad aj kontrola integrity dát. Taktiež je to bezpečnosť pri prechode medzi sieťami, čo sa prejavuje hlavne pri roamingu. Za bezpečnosť sú zodpovedné len základňové stanice, nie ústredne, teda dochádza tu k problémom k ochrane medzi ústredňou a základňovou stanicou. Čo sa týka identity terminálov (IMEI), tá nie je integrovanou súčasťou protokolu, ale len doplnkom.
Bezpečnosť v sieťach 3. generácie - UMTS
Vďaka tomu, že siete UMTS majú dostatočnú šírku pásma, šifrovanie nemá žiadny dopad na rýchlosť prenosu dát. Preto bezpečnosť komunikácie v sieťach UMTS je vyššia ako v sieťach GSM/GPRS, ale stále nie 100%. Vyššia bezpečnosť vytvára vhodné prostredie pre m-commerce či platby online, kde bezpečnosť transakcií, pri ktorých sa uvádzajú citlivé osobné informácie (heslá, čísla účtov, kreditných kariet, atď.) je úplne prvoradá.
UMTS obsahuje bezpečnostné prvky ako utajenie identity účastníkov, autentizáciu účastníkov, prenositeľný modul SIM a šifrovanie prenosu. Šifrovanie je oproti GSM (64bit) vyššie 128 bit. Je tu kvalitnejšia kontrola integrity dát, bezpečnosť sa kontroluje nielen v rámci siete, ale aj medzi sieťami, za bezpečnosť sú zodpovedné ústredne. Vzájomná autentizácia medzi mobilnými zariadeniami a sieťou je na module USIM (Universal Subscriber Identity Module). Pre zaistenie integrity a utajenia sa musí užívateľský terminál a sieť dohodúť na súbore kľúčov. (AKA, Authentication and Key Agreement). Z hladiska bezpečnosti je tu však stále problém pri prepájaní do roamingu.
Ak chceme hovoriť o šifrovaní v sieťach UMTS, tie využívajú algoritmus Kasumi so 128 bitovým kľúčom. Kľúč pre zachovanie integrity sa odvodzuje v priebehu AKA. Integrita dát je však zaistená medzi koncovými zariadeniami užívateľa a RNC iba pre signalizačné dáta, nie však pre užívateľské dáta. Užívateľské dáta tak nemajú kontrolný súčet a sú náchylné k útokom opakovaním. Šifrovanie dlhším kľúčom ako pri sieťach 2G a 2,5G síce garantuje vyššiu bezpečnosť, dáta však nie sú zabezpečené koncovo proti útokom typu replay. Preto by koncová ochrana dát mala byť zabezpečená aplikačným softvérom. Takýto softvér vo svete ponúka napríklad spoločnosť Grapevine, Concept Data Technologies alebo FE-Mobile. Na Slovensku a v Čechách aplikačné softvéry, ktoré garantujú šifrovanie od začiatku do konca, ponúka spoločnosť mSolutions. Vďaka ich riešeniam možno bez obavy robiť akýkoľvek biznis cez mobilné telefóny.
Obrázok 1: Bezpečnostné slabiny vo väčšine dnes využívaných m-commerce riešeniach
Obrázok 2: Bezpečné m-commerce riešenie ošetrené technológiou mEncrypt od mSolutions
3G siete majú ešte niekoľko slabín. Napríklad únos relácií je možný prostredníctvom MITM a účinný pri vypnutom šifrovaní. Útok môže byť taktiež proti autentizačnému vektoru – vektor možno získať v čase medzi jeho generovaním v autentizačnom centre a jeho použitím v sieti.
Pretože 3G sú postavené na IP, vzťahujú sa na ne všetky možné bezpečnostné problémy IP komunikácie.
Sledovanie a kontrova komunikácia v mobilných sieťach úradmi
Rovnako ako v GSM, tak aj v UMTS sieťach je povolené odpočúvanie na základe právneho opatrenia oprávnenými úradmi. Týka sa to tak prenášaných dát, zasielaných SMS správ, ako aj informácií o danom volaní. V EU bolo navyše vydané nariadenie, ktoré platí aj u nás na Slovensku, že prevádzkovatelia telekomunikačných a dátových služieb majú povinnosť zaznamenávať všetky správy a hovory a odovzdávať tieto záznamy bezpečnostným službám. Obsah však bude možné zistiť len vtedy, pokiaľ nepôjde o koncové šifrovanie alebo pokiaľ sa na obsah nepoužili protokoly, napr. DRM. Tu môže vznikáť rozpor a nespokojnosť koncových užívateľov, z dôvodu zasahovania do ich súkromia.
Ľudský faktor
Najväčšie bezpečnostné hrozby zväčša vznikajú zavinením ľudského faktora alebo náhodnými situáciami. K množstvu citlivých dát uložených v telefóne sa môžu nepovolané osoby dostať v prípade straty či krádeže telefónu, ak má používateľ telefón položený na mieste, od ktorého sa vzdiali a podobne. Najbežnejšie dáta, ku ktorým sa v týchto prípadoch nepovolané osoby dostanú, sú čísla v telefónnom zozname a SMS správy. V telefónnom zozname môžu byť uložené čísla osôb, ktoré majú radšej svoje číslo utajené a pozná ho len úzky kruh ľudí. Taktiež sa dá podľa zoznamu volaných čísel dostať k informáciám, ktoré by niektorí ľudia chceli utajiť. Takáto forma zneužitia telefónu však ešte nie je taká zlá. Horšie je to s SMS správami.
Väčšina ľudí SMS správy nevymazáva, kým nemá pamäť v telefóne určenú pre správy zaplnenú. V SMS správach sú zväčša obsiahnuté naše súkromné a dôverné informácie. V prípade m-commerce riešení sa SMS správy používajú napríklad pri internet/mobile bankingu na zaslanie informácií o výškach uskutočnených platieb, o zostatkoch na účtoch, mnohokrát aj s identifikačnými údajmi účtu a podobne. Zamestnávatelia, či kolegovia v práci si cez SMS zvyknú posielať často aj rôzne dôverné informácie, týkajúce sa firemnej stratégie, či know-how.
Nespoľahlivosť SMS
Svetovy leader v IT consultingu – spoločnosť Gartner už v roku 2002 vydala vyhlasenie v ktorom uvadza, ze SMS vonkoncom nie sú bezpečným komunikačným nástrojom. Množstvo firiem, ktoré vytvárajú riešenia pre mobilné telefóny, ich však stále s obľubou ponúka aj v riešeniach, v ktorých by mala byť bezpečnosť na 1. mieste, napríklad pri internet/mobile bankingu. Väčšine ľudí určite nevadí, ak si niekto cudzí prečíta SMS správu oznamujúcu, že bola spravená nejaká finančná transakcia. Ak tá správa však obsahuje informácie o výške zostatnu na účte alebo výške vykonanej transakcie, čo je v súčasnosti bežný jav, množstvo ľudí určite nepoteší to, že túto správu si môže prečítať niekto iný. Spoločnosti ako mSolutions, Grapevine, Fe-mobile a iné, ktoré už boli v tomto článku spomenuté, ponúkajú m-commerce a mobil-bankingové riešenia založené na zasielaní bezpečných správ, takže koncový užívateľ sa nemusí báť straty dôvernosti svojich údajov. Problémom je, že veľakrát kvôli neznalosti, rodinkárstvu, kvôli vidine domnelého prospechu či iným dôvodom sa v praxi častejšie uplatňujú riešenia, ktoré nepokrývajú dostatočne potrebné bezpečnostné štandardy.
Vo svete sa pre rôzne druhy útokov na SMS používajú výrazy ako: SMS snooping, SMS spoofing, ci SMS interception. Tieto termíny označujú situácie, keď sa k SMS správam dostanú zamestnanci mobilného operátora a môžu si ich čítať, ak niekto odchytáva zasielané SMS alebo sa niekto nabúrava do serverov mobilných operátorov, SMS gateways alebo priamo do koncových zariadení.
Obrázok 3: SMS-Gateway, z pohľadu administrátora, ktorý má prístup k všetkým údajom o zaslanej správe
Riešenia
Aby sa predchádzalo zneužívaniu osobných údajov, dôverných informácií, know-how a podobne, bolo navrhnutých niekoľko bezpečnostných odporúčaní, ktoré by sa mali všeobecne používať pri komunikácii v mobilných sieťach. Čo sa týka SMS správ, vo svete bolo vyvinutých niekoľko riešení, ktoré by mali garantovať bezpečnú textovú komunikáciu. Sú to buď kryptované (zašifrované) textové správy alebo samodeštruktívne správy, ktoré sa hneď po prečítaní samé zmažú. Ako najlepšie sa javia správy YAPs, ktoré možno nájsť vo svete aj pod názvom Privatext alebo Cha-cha-wa. Taktiež sú známe aj správy označované ako CryptoSMS, tie však fungujú len na zariadeniach s operačným systémom, ako sú MDA a smartfóny.
Riešenia
Aby sa predchádzalo zneužívaniu osobných údajov, dôverných informácií, know-how a podobne, bolo navrhnutých niekoľko bezpečnostných odporúčaní, ktoré by sa mali všeobecne používať pri komunikácii v mobilných sieťach. Čo sa týka SMS správ, vo svete bolo vyvinutých niekoľko riešení, ktoré by mali garantovať bezpečnú textovú komunikáciu. Sú to buď kryptované (zašifrované) textové správy alebo samodeštruktívne správy, ktoré sa hneď po prečítaní samé zmažú. Ako najlepšie sa javia správy YAPs, ktoré možno nájsť vo svete aj pod názvom Privatext alebo Cha-cha-wa. Taktiež sú známe aj správy označované ako CryptoSMS, tie však fungujú len na zariadeniach s operačným systémom, ako sú MDA a smartfóny.
Ak jednotlivcom či spoločnostiam záleží na bezpečnosti ich komunikácie cez mobilné telefóny, mali by v prvom rade spraviť analýzu a zhodnotenie reálnych rizík. Skontrolovať, nakoľko citlivé správy a údaje uchovávajú vo svojich telefónoch a posielajú ich cez SMS správy, či mobilný dátový prenos. Taktiez sa odporúča dať si pozor na to, kto všetko má k telefónom prístup a osvojiť si určité bezpečnostné návyky. Z dôvodov ľahkej možnosti straty či ukradnutia telefónov, odporúča sa využívať ochrana koncovými aplikačnými nástrojmi. Na zasielanie dôverných správ je vhodné používať šifrované správy ako YAPs a podobne. Je dobré ustanoviť postup, ktorý treba dodržať po strate či ukradnutí telefónu (napríklad požiadanie operátora o zablokovanie SIM karty). Ak takú možnosť telefón ponúka, odporúča sa zablokovať telefón alebo aspoň jeho časti (telefónny zoznam, prístup k správam,...) heslom. Na zariadeniach s operačnými systémami, ako sú PDA, MDA a smartfóny, by sa mali používať antivíry a firewall, ako na osobných počítačoch. Taktiež by sa malo dávať pozor na to, s akými okolitými zariadeniami telefón komunikuje a nenechávať spustený Bluetooth alebo WiFi na mobilných zariadeniach nepretržite.
Pravidlá bezpečnej mobilnej komunikácie je potrebné vysvetliť aj svojim rodinným príslušníkom, známym a na pracoviskách. Ak iba jedna komunikujúca strana dodržiava bezpečnostné pravidlá a druhá nie, ochrana nemôže byť úplná. V takomto prípade sa riziko zneužitia údajov síce zníži, ale nie eliminuje. Preto treba aby pravidlá bezpečnej komunikácie dodržiavali obe komunikujúce strany.
Použité zdroje:
www.privatext.com
www.cryptosms.com
JONES, N. Don’t Use SMS for Confidential Communication. London Gartner Research, 2002, ID No: FT-18-9298
PUŽMANOVÁ, R. Bezpečnost bezdrátové komunikace. Praha: Computer Press, 2005, ISBN 80-251-0791-4
Interné materiály spoločnosti mSolutions s.r.o.
Prihlásiť na odber:
Príspevky (Atom)