Segurança em Transações e Aplicações WAP (7)

WirelessBR		WirelessBr é um site brasileiro, independente, sem vínculos com empresas ou organizações, sem finalidade comercial, feito por voluntários, para divulgação de tecnologia em telecomunicações
Segurança em Transações e Aplicações WAP (7)
Autores: Jorge Luis Morales Cabral e Leonardo Mascarenhas Leite

Esta página contém muitas figuras grandes. Aguarde a carga se a conexão estiver lenta.

"Use dinheiro sempre que possível. Não forneça seu telefone, seu endereço e os números dos seus documentos, a não ser que seja absolutamente necessário. Não preencha questionários nem responda a serviços de telemarketing. Exija que o banco, a companhia de cartão de crédito e o governo lhe mostrem todos os dados que têm sobre você. Bloqueie identificadores de chamadas e mantenha seu número fora da lista telefônica. jamais deixe seu celular ligado enquanto viaja – ele pode ser rastreado. Se você tiver de utilizar a Internet, use e-mail criptografado, rejeite todos os cookies e nunca dê seu verdadeiro nome quando se registrar em sites. No trabalho, presuma que todos os telefonemas, mensagens de voz, e-mail e computadores sejam monitorados." [ECO99]
A recomendação acima, foi divulgada recentemente na revista americana "The Economist" e resume o medo instalado em torno das questões relativas à segurança de informações nos dias de hoje.
Com o advento do comércio eletrônico e bancos on-line, a Internet mudou o modo de vida de muitas pessoas, que passaram a realizar compras e administrar finanças on-line.
Estes serviços estão surgindo agora na Internet sem fios, permitindo aos usuários ter acesso
a contas bancárias, ações de comércio e bens de consumo, na tela do seu telefone móvel.
De acordo com departamentos de pesquisas e estatísticas, haverá mais de 525 milhões de dispositivos WAP habilitados no mercado no ano 2003 [OVU00], criando grande expectativa referente ao crescimento econômico gerado por este novo segmento de mercado, porém, a disseminação do acesso a Internet, seja ela móvel ou tradicional, acarreta os seguintes fatores:
cada vez mais pessoas, com formação mais heterogênea, tem acesso à Internet;
recursos valiosos são armazenados para uso sem intermediação humana; programas acessam programas;
ampliadas facilidades de acesso e administração de sistemas remotamente facilitando a obtenção de controle total de um sistema conectado à Internet;
literatura e conferências eletrônicas ensinam como quebrar a segurança de sistemas. Portanto, é necessária uma grande preocupação quanto a segurança, por parte dos desenvolvedores de aplicações para Internet, para que os usuários não precisem se preocupar com isto, sentindo-se á vontade para fornecer informações confidencias através dela.
Segurança é um conceito utilizado freqüentemente com pouco rigor. Isto ocorre porque o conceito de segurança é polêmico e freqüentemente equivocado. Quando fala-se de segurança em tecnologias da informação, falam-se de várias coisas ao mesmo tempo: que ninguém roube ou modifique os dados, que nenhuma informação seja extraviada, etc.
Para focalizar a discussão, se deve utilizar os padrões ISO, onde, dentro do modelo de referencia OSI está definido uma arquitetura de segurança dentro da qual existe uma serie de serviços de segurança. Segundo esta especificação, para proteger as comunicações é necessário dotar as mesmas de alguns serviços, que são os seguintes [WAP99]:
privacidade - Garante que só o remetente e o receptor de uma mensagem codificada possam ler os conteúdos daquela mensagem. Para garantir a privacidade, uma solução de segurança deverá assegurar que ninguém poderá visualizar, acessar ou utilizar informação privada, como endereços, informações de cartão de crédito e números de telefone transmitidos através de transações wireless.
integridade - Garante a descoberta de qualquer mudança no conteúdo de uma mensagem entre o envio e a recepção. Por exemplo, quando um usuário instrui um banco para transferir determinada quantia de uma conta para outra, a integridade garante que os números da conta e valor da transação constem na mensagem do usuário e não possam ser alterados sem que o banco ou o usuário perceba. Se a mensagem for alterada de qualquer forma durante transmissão, o sistema de segurança deverá ter um modo de descobrir e informar esta alteração. Em muitos sistemas, se uma alteração é descoberta, o sistema receptor pede que a mensagem seja enviada novamente.
autenticação - Garante que todas as partes envolvidas em uma comunicação são quem dizem ser. O Servidor de autenticação fornece um modo de verificar que os usuários realmente estão se comunicando com o ponto de rede desejado.
não rejeição - Oferece uma garantia que ambas as partes participaram da transação, não podendo ser reivindicada posteriormente, a não participação nesta transação. Pode ocorrer de duas maneiras:
Com prova de origem ou emissor: o destinatário possui a garantia de quem é o emissor concreto dos dados.
Com prova de entrega ou receptor: o emissor possui a prova de que os dados da comunicação chegaram integralmente ao destinatário correto em um determinado momento.
O WAP permite a utilização de um modelo flexível de infra-estrutura de segurança que busca oferecer conexões seguras entre o cliente wap e o servidor. Se um browser e um servidor de origem desejarem, eles devem comunicar-se utilizando diretamente um protocolo WAP. O protocolo também poderá ser considerado seguro, se o WAP gateway for confiável, ou seja, estando localizado em um lugar fisicamente seguro, na mesma localização do servidor.
Para que o WAP consiga ser a tecnologia adotada na realização de M-commerce, será preciso vencer alguns desafios no que se refere à segurança. O principal deles é disponibilizar uma forma segura de processar as transações efetuadas.
Diante destes aspectos, serão apresentados no decorrer deste capítulo elementos de segurança utilizados na Internet e no ambiente WAP (SSL, WTLS, TLS), mostrando também as falhas de segurança e soluções já encontradas, demonstrando ao final a construção do modelo de um ambiente wireless seguro.

Na Internet, normalmente é utilizado o protocolo SSL (Secure Sockets Layer, criado por Netscape Commumications) [FRE96], que dispõe de um nível seguro de transporte entre o serviço de transporte utilizado na Internet (TCP) e as aplicações que se comunicam através dele, como garantia de segurança no acesso a serviços que requerem maior preocupação com a confidencialidade dos dados transmitidos, como comercio eletrônico ou transações bancárias.
O modo de funcionamento do SSL é bastante simples, sendo composto de duas partes diferenciadas [FER00]:
Handshake Protocol - Encarrega-se de estabelecer a conexão, verificando a identidade das partes (opcionalmente) e determinando os parâmetros que serão utilizados posteriormente (fundamentalmente se trata de um acordo sobre qual chave simétrica será utilizada para transmitir os dados durante esta conexão, para o qual se utiliza criptografia de chave pública).
Record Protocol - Comprime, criptografa, descriptografa e verifica a informação que é transmitida desde o inicio da conexão (handshake).
O SSL, como protocolo de transporte seguro, proporciona somente alguns dos serviços de segurança necessários:
confidencialidade - a informação que circula entre o cliente e o servidor que atua na frente do serviço de criptografia, utilizando criptografia de chave simétrica (com uma chave de sessão definida no handshake).
autenticação - as partes que mantêm a comunicação se autenticam mediante certificados baseados em criptografia de chave pública. Isto não é sempre assim, O mais habitual é que seja unicamente o servidor autenticado mediante um certificado digital.
integridade - a integridade dos dados transmitidos é assegurada usando códigos de integridade (MAC) calculados mediante funções de hash (SHA ou MD5).
SSL além de ser bastante utilizado na WWW para codificar o fluxo de dados entre o browser e o Servidor Web, é também utilizado para o ambiente WAP. Porém, o SSL só é utilizado entre o Servidor Web e o WAP gateway. Entre o WAP gateway e o dispositivo WAP é utilizado um sistema semelhante chamado WTLS ou Wireless Transport Layer Security. O WTLS foi especialmente desenvolvido para ser utilizado em ambiente wireless.

O protocolo TLS 1.0 [DIE99] se baseia na especificação do protocolo SSL 3.0, as diferenças entre ambos são pouco significativas, permitindo a comunicação entre TLS e SSL, seu principal objetivo é oferecer privacidade e integridade dos dados, na comunicação entre duas aplicações. O protocolo é composto de duas camadas: o protocolo de gravação TLS e o protocolo TLS Handshake. No nível mais baixo da pilha de protocolos, acima do protocolo de transporte (por exemplo, TCP), é o protocolo de gravação TLS. O protocolo de gravação oferece uma conexão segura, com as seguintes propriedades básicas:
conexão privada - Criptografia simétrica é utilizada para criptografar os dados (por exemplo, DES, RC4, etc.) As chaves para esta criptografia simétrica são geradas exclusivamente para cada conexão e são baseadas em um código secreto gerado por outro protocolo (como o TLS handshake). O Protocolo de gravação também pode ser utilizado sem criptografia.
conexão confiável - O transporte da mensagem inclui uma mensagem de integridade que utiliza uma chave MAC. Funções de hash (por exemplo, SHA, MD5, etc.) são utilizados em cálculos MAC. O protocolo de gravação pode operar sem um MAC, mas geralmente só é utilizado este modo enquanto outro protocolo está usando o Protocolo de gravação como um transporte par negociar os parâmetros de segurança.
O protocolo de gravação TLS é utilizado para encapsulamento de vários protocolos situados nos níveis mais altos da pilha. A partir de seu encapsulamento, o protocolo TLS handshake, permite ao servidor e ao cliente autenticar um ao outro e negociar um algoritmo e uma chave de criptografia antes que o protocolo de aplicação transmita ou receba seu primeiro byte de dados.
O protocolo TLS handshake também é utilizado para fornecer segurança na conexão através de três propriedades básicas:
a identificação do usuário pode ser autenticada utilizando cálculo assimétrico, chave pública ou criptografia (por exemplo, RSA, DSS, etc.). esta autenticação pode ser opcional, mas geralmente é requerida para pelo menos uma das partes;
a negociação de um código compartilhado é segura: os códigos de criptografia negociados não estarão disponíveis, e em qualquer conexão autenticada o código não poderá ser obtido, até mesmo por um invasor que possa acessar a conexão;
a negociação é confiável: nenhum invasor poderá modificar a comunicação da negociação sem ser descoberto por uma das partes envolvidas na comunicação.

Os objetivos propostos através da criação do Protocolo TLS são [DIE99]:
segurança na criptografia - TLS deverá ser utilizado para estabelecer uma conexão segura entre as partes;
interoperabilidade - Programadores independentes deverão ser capazes de desenvolver
aplicações que utilizem parâmetros de troca de criptografia, sem ter conhecimento de outros códigos;
flexibilidade - TLS procura oferecer uma estrutura que permita a incorporação de uma nova chave pública e métodos de criptografia conforme necessário. Isto previne contra a necessidade de criar um novo protocolo (arriscando a introdução de novas falhas) e evitando a necessidade de implementar uma nova biblioteca de segurança;
relativa eficiência - Operações de Criptografia tendem a utilizar muitos recursos de CPU. Por esta razão, o protocolo TLS incorporou uma sessão opcional de caching para reduzir o número de novas conexões a serem estabelecidas. Este cuidado foi tomado de forma a reduzir a atividade da rede.

Existem dois enfoques fundamentalmente diferentes a respeito da segurança dos dados em trânsito [BEL98]. No enfoque da camada de rede, a criptografia e a autenticação são agregadas diretamente na implementação dos protocolos de rede, de modo que o tráfico seja protegido sem requerer que a aplicação incorpore alguns conceitos. O tráfico a alcançar o sistema remoto é decriptografado automaticamente e verificado pelo conjunto de protocolos de rede (por exemplo TCP/IP) antes que o sistema operacional o transfira para a aplicação no servidor. A principal desvantagem de segurança na camada de rede é que o endereço IP deve ser modificado, e estas trocas são realmente necessárias. A longo prazo as redes de alta velocidade poderiam também sofrer problemas de performance. A partir destas desvantagens foram propostos enfoques alternativos como Secure Shell (SSH), SSL e TLS, que funcionam na camada de transporte.
No enfoque a nível de aplicação, a própria aplicação é modificada de modo que o tráfico seja criptografado antes de ser enviado ao sistema operacional e à camada de rede, para depois ser decriptografado pela aplicação contida no servidor que o receber.
Ambos os enfoques possuem vantagens e desvantagens. Para a WWW, por exemplo, a segurança a nível de aplicações é uma opção melhor porque torna mais fácil a definição de limites de confiabilidade entre dois agentes que se encontrem realizando transações.

A tabela 7.1 apresenta as principais diferenças entre as camadas SSL e TLS [BEL98].

O objetivo primário da camada WTLS [WAP99] (também chamada protocolo WTLS) é oferecer privacidade, integridade dos dados e autenticação entre duas aplicações enquanto estas se comunicam. A camada WTLS possui características similares ao TLS 1.0, foi desenvolvida para trabalhar com pacotes de dados em uma rede de alta latência e banda curta, além das outras limitações do protocolo WAP, como baixo poder de processamento, pouca memória e economia de bateria. O WTLS trabalha em uma camada acima do protocolo de transporte de pacotes entre o cliente e o servidor WAP.
Para trabalhar nesse ambiente o WTLS oferece, além das características do TLS, um "handshake" (um protocolo que é iniciado a cada conexão) otimizado e um gerenciamento de conexão mais detalhado. Com estes recursos, transações comercias como vendas on-line e Internet banking possuem um nível de segurança confiável, porém é importante salientar que, sendo o wap um protocolo aberto, pode-se esperar novas ferramentas de segurança, assim como novos tipos de ataques e invasões.
O WTLS possui as seguintes características:
- integridade de dados - O WTLS possui facilidades para assegurar que os dados enviados entre o terminal e o servidor de aplicação continuem inalterados e não sofram alterações; - privacidade - O WTLS possui facilidades para assegurar que a informação transmitida através do terminal a um servidor de aplicação seja privada e não possa ser entendida por qualquer pessoa que possa ter interceptado o fluxo de dados;
- autenticação - O WTLS facilita o estabelecimento da autenticidade do terminal e do servidor; - proteção contra Denial-of-service – O WTLS consegue detectar e rejeitar dados que foram duplicados ou não foram verificados com sucesso. WTLS faz com que muitos ataques típicos de denial-of-service sejam mais difíceis de serem executados e protege as camadas de protocolos acima dele;

O protocolo WTLS é divido em dois sub-protocolos, que são o Protocolo de Handshake e o Protocolo de Gravação (Record Protocol). O acompanhamento da comunicação entre estes protocolos é realizado através de primitivas de serviços. Estas primitivas representam, de maneira abstrata, a troca de informação e controle entre a camada de segurança e as camadas adjacentes. Consistem em comandos e suas respectivas respostas, associadas com os serviços requeridos pelo outro protocolo.

O protocolo handshake é utilizado por WTLS para permitir que uma das partes envolvidas na conexão concorde com os parâmetros de segurança definidos, autenticar-se, iniciar estes parâmetros de segurança e informar aos outros participantes sobre as condições em que serão emitidos alertas de erro [WAP99]. A utilização de chaves dinâmicas recuperáveis permite a atualização de chaves criptográficas, verificação de parâmetros e protocolos em uma sessão, o que possibilita a detecção de um acesso externo e o fechamento da conexão.
O protocolo handshake também é responsável pela negociação da conexão segura, que consiste nos itens especificados na tabela 7.2.

Estes itens serão utilizados na criação dos parâmetros de segurança da camada de gravação (Record Protocol).
Quando ocorre qualquer tipo de erro, a camada de handshake sinaliza a ocorrência deste erro, e envia este sinal para alertar a camada de gravação do WTLS. Estes alertas podem indicar o encerramento da conexão segura, ou um erro nesta conexão. A sinalização de erros no protocolo handshake é muito simples, quando um erro é detectado, à parte que o detectar envia uma mensagem para outra parte. Após a transmissão ou recepção desta mensagem que contém um alerta de erro fatal, ambas as partes imediatamente encerram a conexão segura. Os servidores e clientes envolvidos na conexão apagam qualquer identificador de sessão, chaves e códigos de criptografia associados com a conexão segura que tenha falhado. Após a transmissão ou recepção de uma mensagem de alerta crítico, ambas as partes imediatamente encerram a conexão segura, porém podem preservar os identificadores de sessão e usa-los para estabelecer uma nova conexão segura. Na tabela 7.3 serão descritos alguns alertas de erro.

O protocolo de Gravação WTLS recebe as mensagens a serem transmitidas, comprime os dados (opcional), aplica o código MAC, criptografa e transmite o resultado.
Os dados recebidos são descriptografados, verificados e descomprimidos, passando então para o nível de apresentação do cliente [WAP99].
Vários registros podem ser concatenados em um SDU (Service Data Unit) de transporte. Por exemplo, várias mensagens de handshake podem ser transmitidas em um SDU. Isto é muito utilizado em transporte orientado à conexão, como o serviço de mensagens curtas do sistema GSM.

O gerenciamento de conexões WTLS permite ao cliente conectar-se ao servidor e verificar as opções de protocolo a serem utilizadas. O estabelecimento de conexões seguras consiste em vários passos e tanto o cliente como o servidor podem interromper a negociação quando desejarem (ex.: se os parâmetros propostos por um dos participantes da comunicação não puderem ser aceitos). A negociação pode incluir os parâmetros de segurança (ex: algoritmos de criptografia e tamanho das chaves), troca de chaves e autenticação. Tanto o utilizador do serviço cliente ou servidor podem terminar a conexão a qualquer momento. Uma seqüência de passos deve ser seguida para estabelecer uma conexão com segurança, como mostra a figura 7.1 [WAP99].

A seqüência de passos para estabelecer uma sessão segura pode ser otimizada ou

abreviada, conforme demonstra a figura 7.2, embora a não execução de todos os passos

Ao falar em falhas de segurança em transações e aplicações WAP, deve ser levado em consideração, que a tecnologia WAP utiliza não somente o ambiente wireless, mas também a troca de informações através do meio físico utilizado na WWW, portanto, além das falhas de segurança que podem ocorrer no ambiente WAP, devem-se estar atentos para as já conhecidas falhas da WWW, tais como:
vírus;
worms;
cavalos de tróia;
hackers.

Estas falhas podem ocasionar vários danos à suas informações, como:
destruição de informação ou de outros recursos;
modificação ou deturpação da informação;
roubo, remoção ou perda da informação ou de outros recursos;
revelação de informações;
interrupção de Serviços.

Serão apresentadas a seguir as falhas que podem ocorrer no ambiente WAP, e também, as possíveis soluções para estas falhas.

Os protocolos SSL e WTLS em seus próprios domínios oferecem segurança adequada para a maioria das aplicações. Porém, há um problema de segurança em potencial onde os dois protocolos se encontram, ou seja, no WAP gateway.
O protocolo SSL não é diretamente compatível com WTLS, assim o WAP gateway deve decriptografar o fluxo de dados provenientes do servidor, que se encontram protegidos por SSL e então criptografar novamente estes dados, utilizando WTLS antes de passar os dados para o dispositivo WAP. Dentro da memória do WAP gateway, os dados não estarão protegidos durante um breve período de tempo conhecido como White spoot. O modelo atual é descrito na figura 7.3

Imagine que um banco ou outra instituição que trabalhe com dados confidenciais disponibilize um serviço WAP. Quando os dados deixam a segurança de seu sistema de rede eles estão protegidos. Então, quando eles entram no WAP gateway que geralmente é operado por um terceiro elemento, como uma operadora de telefonia celular, os dados são descriptografados. Neste momento, suas informações estariam disponíveis para a operadora, e se a rede da operadora for vulnerável a ataques, seus dados também estarão desprotegidos.
Todos os principais desenvolvedores WAP estão desenvolvendo soluções para este problema, porém estas soluções criam outros problemas. Desenvolvedores dos chamados "servidores WAP", ou servidores WWW com implementação de WAP gateway oferecem segurança de um extremo a outro da conexão, porque o fluxo de dados deixa o servidor de conteúdo (o "servidor" WAP) já codificado em WTLS. O modelo então ficaria conforme descrito na figura 7.4

Porém, o WAP gateway da operadora não poderá participar deste processo, e o usuário terá que configurar novamente o dispositivo WAP para enxergar o "servidor WAP" que se tornará o WAP gateway para esta sessão. Mas, este WAP gateway só disponibilizará acesso para o servidor configurado, porém, quando o usuário for acessar outro site WAP, ele terá que configurar novamente seu telefone.
Somando a este problema o fato que muitos operadores móveis oferecem o serviço ponto-a-ponto, onde o dispositivo móvel efetua a conexão, e o WAP gateway no mesmo IP privado percorre a rede, normalmente atrás de um firewall. Este firewall normalmente só é configurado para permitir a utilização do protocolo HTTP na porta 80 [FIE97] que é padrão para este protocolo. O WAP gateway utiliza esta porta para receber dados de servidores de conteúdo na Internet, e tudo que for necessário. Quando o dispositivo WAP tenta acessar outro WAP gateway na Internet, o firewall não permitirá, porque o firewall diz que o endereço IP do dispositivo WAP não está configurado para realizar o roteamento dos dados na Internet, ou que não pode abrir as portas necessárias. Isto efetivamente faz com que o usuário deixe de utilizar outros gateways que não sejam o oferecido pela operadora.
Outra forma de compensar a brecha de segurança apresentada pelo WAP gateway, é a utilização da linguagem WMLScript criptografada, que fornece segurança a partir da camada de aplicação WAE, assim a segurança dos dados não ficará restrita a segurança oferecida pela camada WTLS, pois será criptografada diretamente em sua linguagem, e também durante o transporte dos dados.

A ausência de criptografia de um extremo a outro da conexão não é a única falha de segurança encontrada no modelo WAP. Se perderá também a autenticação entre as partes.
A existência de dois domínios tecnológicos provoca o surgimento de duas autenticações diferentes, pois o dispositivo móvel é autenticado junto ao WAP gateway e não ao servidor de conteúdo e o WAP gateway apenas eventualmente oferece autenticação ao servidor, embora seja de extrema importância a utilização de certificação digital para WAP Gateway/Server.
A principio, a autenticação dos usuários deve ser similar a utilizada na internet. A maneira mais simples é utilizar um conjunto de chaves integradas com a própria autenticação do Servidor Web, porém a tecnologia WAP pode utilizar os elementos de autenticação próprios da rede GSM. A partir do momento que o dispositivo WAP estiver autenticado na rede GSM, o operador telefônico poderá enviar o número de telefone ao servidor de conteúdos em forma de um cabeçalho HTTP, desde que este número esteja criptografado, para que somente a aplicação que possuir a chave para descriptografar este número possa obtê-lo.
Outra solução, que tende a se tornar padrão para a realização da autenticação do usuário, é a utilização de uma PKI (Public Key Infrastructure) ou seja, um sistema de chave pública compatível com SSL, através do qual será possível transmitir dados criptografados de forma segura, pois somente será necessário saber a chave pública utilizada pelo destinatário da transmissão. Não existe portanto uma troca das chaves secretas entre os participantes da transmissão, o que normalmente torna a mesma menos segura, sendo que cada participante da conexão possui uma chave secreta que não necessita ser revelada.

Conforme visto nos capítulos anteriores, para que uma transação realizada em WAP possa ser considerada segura, deverão ser utilizados:
criptografia de 128 Bits, a nível de aplicação e transporte;
gateway com implementação de segurança;
autenticação digital através de PKI;
certificação digital;
firewall.
A utilização dos itens acima citados, está representada na figura 7.5.

Por tratar-se de uma tecnologia nova, da qual pouco se conhece ainda, torna-se complicado falar sobre o tema "WAP". Duas correntes surgiram em torno do WAP, uma afirma que o WAP é apenas mais uma tecnologia passageira, a outra afirma que esta é a nova revolução no acesso a Internet, e deve firmar-se cada vez mais como tendência de mercado. Nosso objetivo porém não é realizar especulações em torno do futuro comercial da tecnologia WAP, mas sim analisar aspectos técnicos como a arquitetura e principalmente a segurança do mesmo.
Com base no que foi visto durante a realização deste estudo, chega-se a conclusão que as transações realizadas em WAP oferecem um nível de segurança bastante satisfatório, porém, conforme aumentar o volume de transações realizadas, e principalmente, o valor das informações que estarão disponíveis, aumentarão também as tentativas de acesso não autorizado à estas informações. Isto faz com que os desenvolvedores da tecnologia WAP preocupem-se cada vez mais em implementar novas ferramentas para tornar o WAP cada vez mais seguro.
Dois fatores levam os usuários a realizarem operações de comércio eletrônico, segurança e comodidade. Neste caso a segurança diz respeito ao medo de assaltos, seqüestros e outros. Mas se o usuário não sente-se seguro para ir a uma loja realizar compras, é preciso mostrar ao usuário que o nível de segurança apresentado nas operações de comércio eletrônico é realmente confiável, para que o mesmo sinta-se à vontade para disponibilizar informações confidenciais através da Internet. Mas as atividades de comércio eletrônico ainda são um fato recente na vida da maioria dos usuários da Internet, antes acostumados apenas a realizar pesquisas e trocar e-mail. Estes usuários, por mais que sintam-se preparados para as novas tecnologias que surgem a cada dia, sentem-se ainda receosos de realizar operações de comércio eletrônico através de seu telefone celular ou de qualquer outro dispositivo móvel dotado de tecnologia WAP.
Em países da Europa, berço da tecnologia WAP, apenas 2% dos usuários de Internet
utilizam os serviços disponibilizados em WAP [OVU00]. Isto deve-se basicamente a falta de qualidade nos serviços oferecidos e a falta de confiança na tecnologia WAP, por parte dos usuários. Para que o usuário adquira a confiança necessária a utilização do WAP, é necessário que existam estudos como este, demonstrando não somente aspectos relativos a segurança, mas também ao potencial e as facilidades que a tecnologia WAP irá proporcionar.

[BEL98] Belingueres, Gabriel, Balbi, Luciana, Serafino, Sandra. Transport Layer Security 1.0. 1998. Disponível por www em www.geocities.com/SiliconValley/Byte/4170/articulos/ tls/index.htm. Acessado em 27/10/2000.

[DIE99] Dierks, T., Allen, C., The TLS Protocol version 1.0, RFC 2246. 1999. Disponível por www em ftp://ftp.isi.edu/in-notes/rfc2046.txt. Acessado em 27/10/2000.

[ECO99] The economist, The end of Privacy. maio 1999. Disponível por www em http://www.economist.com/library/focus/displayStory.cfm?story_id=202103. Acessado em 29/10/2000.

[FER00] Fernandez, P. Juan, Seguridad en WAP. Madri: 2000. Disponível por www em http://www.wmlclub.com/articulos/seguridad.htm. Acessado em 13/10/2000.

[FIE97] Fielding, R. et. Al., Hypertext Transfer Protocol -- HTTP/1.1, RFC 2068, 1997. Disponível por www em ftp://ftp.isi.edu/in-notes/rfc2068.txt. Acessado em 08/10/2000.

[FRE96] Freier, A. O., Karlton, P. y Kocher, P. C. "The SSL Protocol Specification 3.0". 1996. Disponível por www em http://home.netscape.com/eng/ssl3/. Acessado em 02/10/2000.

[IEEE99] IEEE Computer Society. IEEE Standard 802.11, 1999 Edition. 1999. Disponível por www em http://standards.IEEE.org/reading/IEEE/std/lanman/MIB-D6.2.txt. Acessado em 18/09/2000.

[ISO89] ISO. Information Processing Systems - OSI - Basic Reference Model, ISO/IEC IS 7498. 1989.

[LAD00] Ladeira, Marcelo. Telefonia Celular, Poa: UFRGS. Disponível por www em www.penta.ufrgs.br/tp951/tccd_ml.html Acessado em 05/09/2000.

[MOU86] MOURA, J. et al. Redes Locais de Computadores: protocolos de alto nível e avaliação de desempenho, São Paulo: McGraw-Hill, 1986.

[OVU00] OVUM Consultancy Ltda.. 2000. Disponível por www em www.ovum.com. Acessado em Outubro de 2000.

[PHO99] Phone.com. The Wireless Application Protocol. Wireless Internet Today, Redwood City: 1999. Disponível por www em www.phone.com/pub/feb99WAPWP.pdf. Acessado em 05/08/2000

[ROS99] Rosa, Miguel. IPv6 - IP Next Generation - Estudos sobre o protocolo IP de Nova Geração. FCUL - Faculdade de Ciências da Universidade de Lisboa, Departamento de Informática, Lisboa: 1999. Disponível por www em www.ip6.fc.ul.pt. Acessado em 12/09/2000.

[SOA95] Soares, G. Luiz Fernando, Lemos, Guido, Colcher, Sérgio. Redes de Computadores. Das LANs, MANs e WANs às Redes ATM, Rio de Janeiro: Campus, 1995

[SOU99] Souza, B. Lindeberg. Redes de Computadores. Dados, Voz e Imagem, São Paulo: Editora Érica, 1999

[TAN94] Tanenbaum, S. Andrew. Redes de Computadores, Rio de Janeiro: Campus, 1994.

[WAP98] Wap Forum, Wireless Application Protocol Architecture Specification, 1998 Disponível por www em http://www1.wapforum.org/tech/terms.asp?doc=WAP-100-

[WAP00] WAPBrasil, WAP (Wireless Application Protocol). 2000, Disponível por www em www.wapbr.com.br/forum/artigos/wap.asp. Acessado em 09/08/2000.

[WAP00a] WapClub, História do WAP. 2000, Disponível por www em www.wapclub.com.br/wap_historia.asp. Acessado em 26/07/2000.

WirelessBR