Мошенничество с ЭЦП: проблема глубже и серьёзнее, чем кажется


В СМИ только сейчас начали поднимать панику по поводу ЭЦП, электронной подписи. Оказывается, — ах, кто бы мог подумать, — при помощи электронной подписи можно переписать на себя чужую квартиру, чужой бизнес и чужие деньги. Цена вопроса для преступников — несколько тысяч рублей:

http://47news.ru/articles/156549/

Я поговорил на эту тему со специалистом, который с девяностых годов занимается защитой от хакеров-ломакеров, внутренних крыс и тому подобных злоумышленников. Вот краткий пересказ нашей беседы.

1. ЭЦП в том виде, в котором она существует сейчас, это нечто среднее между распилом и мракобесием. Она работает только в теории. На практике ЭЦП — это дырявая, неуклюжая техническая штуковина, которая создаёт гораздо больше проблем, чем решает.

2. Кроме того способа взлома ЭЦП, который обрисован в статье по ссылке, есть и ещё куча других, ничуть не более сложных. Преступники их знают, однако я на всякий случай всё же не буду перечислять их в этом посте.

3. Ни «Гугл», ни «Яндекс», ни даже коммерческие банки не считают ЭЦП чем-то важным. Пароль плюс подтверждение через смс — вот та защита, которая реально работает на уровне массового пользователя. Взломать её, разумеется, тоже можно, однако это будет уже сложнее.

4. Сейчас есть и более современные системы защиты. Вот, например, простая и мощная защита, взломать которую можно разве что при помощи терморектальных технологий. Когда клиент отправляет денежный перевод или совершает сделку с квартирой, оператор звонит ему по видео и задаёт вопрос: «скажите код под номером 37 на карточке». Клиент стирает монетой защитный слой на карточке, называет код. Оператор видит, что перед ним именно тот человек, фотография которого есть в базе. Компьютер подтверждает, что видеоряд и голос совпадают.

Находящийся поблизости злоумышленник не сможет обмануть такую систему защиты, потому что у него не выйдет убедительно подделать внешность и голос, тем более в реальном времени. Гипотетический хакер, который умеет подделывать внешность и голос, не получит физического доступа к карточке с кодами.

5. Одна из главных проблем ЭЦП — её громоздкость. Простым пользователям непонятны все эти муторные телодвижения с крипто-хрипто и хранилищами сертификатов: они или делают все операции как в тумане, или просто бездумно отдают свою ЭЦП тем, кто разбирается в этом чуть лучше их — бухгалтеру и сисадмину, к примеру.

Нет никаких проблем установить на входной двери в хрущёвке огромный сейфовый замок, который только открывать надо будет по полчаса. Однако к повышению безопасности это не приведёт: замок будут держать всегда открытым, чтобы не терять времени, и, даже если он будет таки иногда закрываться, взломщику не составит труда проникнуть в квартиру через окно или войти в дверь под видом доставляющего пиццу курьера.

6. В статье по ссылке мочат конкретную фирму, которая выдала дубликат ключа взломщику, не проверив как следует его документы, однако проблема отнюдь не в конкретной фирме. Система изначально слишком сложна и запутана, чтобы надёжно работать.

Даже начинающие специалисты по безопасности знают, что нельзя заставлять пользователей использовать сложные пароли, ибо тогда они просто начинают записывать их на приклеенных к монитору стикерах. К сожалению, законы бюрократии противоречат здравому смыслу. Бюрократы живут по инерции: выбирают случайную технологию, а потом так и работают по ней даже тогда, когда это уже явно глупо.

7. Если вы думаете, что проблема только с государством, спешу расстроить. В банках, например, ровно такая же ерунда — лично мне известен ровно один банк, который наладил нормальную (надёжную и простую) систему с уникальными кодами. Большая часть банков работает по старинке, или через ЭЦП, или с подтверждением через смс.

8. Подтверждение через смс обычно надёжнее, чем ЭЦП, ибо телефон директор фирмы носит с собой, однако и тут разработана масса простых способов взлома. Получить доступ к чужим смс-сообщениям — дело совсем нехитрое, особенно если у преступника есть небольшой бюджет. Вот пример такого взлома:

https://habr.com/ru/post/453286/

9. Надежды на скорое изменение ситуации, к сожалению, у меня нет. Государство не может вот так просто взять и выкинуть на свалку существующую инфраструктуру, заменив её на что-нибудь нормальное типа системы с уникальными кодами. Полагаю, государство и дальше будет пытаться латать дыры в изначально ущербном механизме, переводя его из состояния «ужас-ужас-ужас» в состояние «жить можно, хоть и противно».

10. В начале девяностых экономика России потеряла триллионы рублей на так называемых «фальшивых авизо». Советская банковская система была насквозь дырявой, поэтому, когда рубль стал конвертируемым, мошенники начали выводить через эти дыры огромные средства:

https://ru.wikipedia.org/wiki/Фальшивые_авизо

Сейчас одной из таких дыр является возможность оформлять крупные сделки через интернет. Пока что от массовых мошенничеств нас спасала традиционная техническая отсталость жуликов, однако я не удивлюсь, если этот благостный период уже на исходе, и жульничество с ЭЦП вот-вот станет массовым.

PS. Кстати, раз уж зашла речь о сравнении корпораций и государства. Кое-что в нужном направлении делает наш ЦБ. Более конкретно, он принуждает банки использовать современные средства защиты, опознавать клиента по лицу и по голосу:

https://www.interfax.ru/business/662298

Будьте уверены, если бы не постоянные пинки и подзатыльники со стороны ЦБ, большая часть наших банков до сих пор бы ещё пользовалась факсами и моноклями.


Чтобы упомянуть другого пользователя в комментарии, введите знак @

Упомянуть можно тех, на кого Вы подписаны или тех, кто принимал участие в дискуссии


Чтобы упомянуть ценную бумагу в комментарии, введите ее тикер после знака ^

Последние комментарии в блогах

Silver Surfer

Уже 10 лет наши управляющие успешно ведут портфель трендовой стратении SilverSurfer по российскому рынку акций.

Правила поведения в блогах и ограничение ответственности

Цель социальной сети TRADERNET – общение и дискуссии на тему финансовых рынков и экономики в широком ее спектре. Участие в общении может принимать любой желающий, придерживающийся настоящих правил.

ПРАВИЛА ИСПОЛЬЗОВАНИЯ САЙТА TRADERNET

1. Регистрация

1.1 Факт вашей регистрации означает, что вы согласны соблюдать настоящие правила.

1.2 Ник (имя профиля) выбирается индивидуально самим пользователем, старайтесь избегать ников, совпадающих с уже ранее существующими.

1.3 Аватара - это небольшое изображение, показываемое в ваших сообщениях и блогах. Выбирается пользователем самостоятельно. Аватарку можно менять в зависимости от желания и настроения, но при его частой смене есть риск «потеряться», так как собеседники к вашему виртуальному лицу привыкают.

1.4 Категорически запрещается использовать в имени, нике, аватаре, грубые или нецензурные выражения, содержание в любых проявлениях разврат, насилие, рекламный текст или политическую направленность.

1.5 Все материалы, помещаемые на данном сайте (включая все сообщения Пользователя), отражают исключительно мнения их авторов, администрация сайта не даёт каких-либо гарантий, выраженных явно или подразумеваемых, что они полны, полезны и правдивы. Вы можете их использовать только на свой страх и риск. Администрация Сайта не несёт никакой ответственности за прямой или косвенный ущерб, причинённый Вам в результате использования (или неиспользования) этих материалов, упущенную выгоду, потерю информации и прочее. Администрация данного Сайта также не несёт никакой ответственности за содержание рекламных материалов, размещённых на страницах Сайта, а также материалов, на которые могут указывать ссылки из материалов, расположенных в Форуме.

2. Общение в блогах

2.1 Каждый пользователь имеет право вести свой блог.

2.2 Каждый пользователь имеет право оставлять комментарии к любому посту в сообществе.

2.3 Автор блога должен стремиться к тому, чтобы его запись была не только интересной сообществу, но и эксклюзивной для рунета.

2.4 Использование тегов, при публикации поста, приветствуется. Это позволит увеличить число ваших подписчиков и читаемость блога.

3. Запрещается на ресурсе

3.1 Недопустимо использование на ресурсе мата, грубых выражений, оскорблений, оскорбление национальных или религиозных чувств, реклама в любом ее проявлении. Для выяснения личных отношений существуют Личные сообщения.

3.2 Запрещено публично вести споры и перебранки, а также цитировать личную переписку с администрацией сайта и модераторами. Для разрешения спорных вопросов достаточно написать Личное сообщение модератору!

3.3 Обилие грамматических ошибок является основанием для удаления вашего поста из общей ленты.

3.4 Нарушение правил карается БАНом на 7 дней. Последующие нарушения могут вынудить администрацию продлить этот срок до бесконечности.

4. Администрация ресурса

4.1 Администрация предлагает строить отношения между самими пользователями и, пользователями и администрацией на дружественной и уважительной основе. Здоровое чувство юмора приветствуется.

4.2 Администрация готова рассмотреть любые предложения по улучшению работы ресурса. Свои идеи публикуйте в общей ленте с тегом «Инновация».

4.3 Администрация сайта оставляет за собой исключительное право в некоторых ситуациях, действовать во благо ресурса, не руководствуясь установленными Правилами.

5. Отношения в сфере распространения информации:

5.1 Администрация сайта:

5.1.1 не осуществляет обязательную проверку размещаемых пользователями на Сайте материалов.

5.1.2 не несет ответственности за содержание материалов, за негативные последствия их использования.

5.1.3 вправе удалять любые публикации пользователей, не соответствующие политике Администрации Сайта.

5.2 Размещая материалы на настоящем сайте, пользователь сайта:

5.2.1 подтверждает, что обладает всеми правами, необходимыми для доведения материалов до всеобщего сведения, обязуется самостоятельно урегулировать претензии третьих лиц, оспаривающих наличие у пользователя таких прав.

5.2.2 несет полную ответственность за соответствие применимому законодательству размещаемых материалов.

5.2.3 обязуется возместить любой ущерб, возникший у TRADERNET, вследствие нарушений Пользователем законодательства или прав третьих лиц.

5.2.4 предоставляет Администрации сайта и его партнерам бесплатное, постоянное, безотзывное, неисключительное право (неисключительную лицензию) на территории всех стран мира на весь срок охраны авторского права, предусмотренный местным законодательством, в отношении таких материалов, в том числе использовать эти материалы, размещать их, хранить, воспроизводить, публиковать их, открыто воспроизводить, отображать, а также распространять перечисленные права.

5.2.5 по требованию Администрации сайта обязуется предоставить копии своих удостоверяющих личность документов.