Вот и я была спокойна. Но случилось узнать про новый вид жульничества - кражи прямо из «электронных кошельков». Рассказал сосед по лестничной площадке. И даже теперь не знаю - куда богатенькому Буратино податься? Короче, недавно одним пермским хакером было вскрыто около 50 совсем некопеечных «кошельков». А вычислили его только тогда, когда другой хакер, уже не местный, хотел позаимствовать накопления первого. Такое их непринужденное общение длиной в несколько дней и раскрыло личину обоих.
Обычная дебетовая карта с мультивалютным банковским счетом, которым можно управлять через Интернет. Замечательно! Счет в заветных евро и как раз - с удаленным управлением. Как здорово! Однако первый же заход в новую систему удаленного банкинга поставил меня в тупик. Я ждала, что система затребует от меня логин, но система попросила ввести... номер кредитной карты. А вместо пароля - ее пин-код! Не поняла! Сразу вспомнились и мой знакомый хакер, и многочисленные легенды о сайтах-ловушках для выманивания у простаков кредиточных реквизитов.
Звонок в службу безопасности банка опасения развеял. Оказалось, действительно, банк запрашивает номер кредитки и пин-код. Но недоумение все же осталось. Как же так?! Доверять номер своей кредитки сайту в Интернете - это пусть небольшой, но все-таки риск. А вот чтобы доверить пин-код, который по определению никому, кроме банкомата, сообщать нельзя... Это уж чересчур...
Когда в начале 90-х годов мои родители получили в банке доступ к первой в своей жизни системе удаленного управления счетом, насколько мне помнится, это была сложная процедура. Нужно было подписать кучу бумаг, показать банковским чиновникам свой паспорт, и только после этого клиент банка получал запечатанный секретный конверт, в котором хранилась напечатанная слепым образом шифровальная таблица для вычисления одноразовых паролей. Для каждого нового захода в систему удаленного управления необходимо было вычислить по этой замысловатой таблице новый пароль, а старый при этом (в целях безопасности!) утрачивал свою силу. Несколькими годами позже на рынке появились платежные системы PayCash и WebMoney, в которых пользователь для подключения должен был указать не только свои пароль и логин, но и предъявить свои специальные секретные криптографические ключи с невероятной по тем временам длиной (ну, или сложностью) в 1024 бита (для сравнения - самый длинный ключ, обеспечивающий секретную передачу данных в Интернете, - это 128 бит).
Использование для доступа к своему счету таких пользовательских ключей являлось, да и по сей день остается самым надежным методом обеспечения безопасности. Такие ключи невозможно подобрать, а взлом системы, закодированной с их помощью, требует таких гигантских вычислительных ресурсов, которые не способна обеспечить ни одна существующая ныне компьютерная система. Хакеры могут взломать ключ всего-то сложностью в 512 бит. Машине требуется на подбор комбинаций четверо суток. Но пользователь счета залазит в «кошелек» по нескольку раз на дню, код меняется. И все старания хакера оказываются тщетными. Не получается, хоть тресни! Именно поэтому такая система получила широкое распространение в 90-х годах не только в платежных системах, но и в большинстве банковских систем удаленного управления счетом. Но затем ситуация изменилась. Внезапно и кардинально.
Вначале все не было так страшно. Появилась новая платежная система MoneyMail, в которой криптографические ключи не применялись вообще. Пользователь просто заходил на сайт в Интернете, указывал свой логин и пароль и начинал работать.
Затем система PayCash, заключив соглашение с «Яндексом» и поменяв свое название на «Яндекс-деньги», выпустила новую версию клиентского софта. Здесь тоже не было замудренного ключа. Схема работы - ровно та же. Пользователь заходит на сайт, указывает логин и пароль и получает доступ к своим деньгам. Все легко и просто.
На банковском фронте - то же самое. Сегодня и у нас в Перми практически все крупные банки, работающие с населением, предлагают системы удаленного управления счетом. Но отличие от методов десятилетней давности, когда такое удаленное управление обуславливалось либо применением шифровальных таблиц для активации одноразовых паролей, либо все же криптографическими ключами, все же есть. Современные системы удаленного банкинга ограничивают уровень безопасности просьбой предъявить логин и пароль на веб-сайте.
Любой специалист по компьютерной безопасности скажет вам, что авторизация при помощи только логина и пароля - как минимум, не безопасна. Пароли можно подсмотреть. Можно перехватить при помощи технических ухищрений. А можно попросту выведать у пользователя путем обмана. И примеров тому масса. Но, тем не менее, именно такой способ становится в последнее время основным во всех системах удаленного управления финансами.
В итоге мы наблюдаем крайне любопытную тенденцию - «гонки по снижению безопасности». И банки, и большая часть платежных систем, словно соревнуясь друг с другом, наперегонки снижают уровень защищенности своего софта. Не любого, разумеется, а того, что рассчитан на «массового» клиента, на физических лиц.
Но ничто на рынке не происходит «просто так». И если уровень безопасности софта, управляющего финансами граждан, снижается - значит, того требует рынок, значит, это кому-то нужно. Для такого явления действительно есть объективные причины.
В последнее время возник рынок новых мобильных устройств, позволяющих осуществлять доступ в Интернет: различных коммуникаторов и смартфонов. И в Перми у каждого третьего в кармане теперь не просто мобильный телефон, а персональный компьютер. И вполне понятно, что пользователи этих устройств хотят получить доступ к своим денежным средствам в банке или к «электронному кошельку». Однако существующий ныне софт для мобильных устройств не поддерживает необходимые функции безопасности, а значит не может работать с криптографическими ключами. Теоретически на смартфоне тоже можно достичь должного уровня безопасности. Однако это требует от клиента технической грамотности и долгой возни с настройкой софта.
То же касается и традиционной, не мобильной компьютерной техники. Всего каких-то семь лет назад Интернетом и платежными системами пользовались по большей части так называемые продвинутые пользователи, которые при случае сами могли настроить программы. Но теперь таких пользователей - меньшинство. А подавляющее число потенциальных клиентов не знает и не желает знать, что такое «ассиметричный криптографический ключ» или «персональный сертификат». И как его подключить к браузеру я, например, тоже не имею понятия.
Видимо, чтобы не терять массового клиента, банки и платежные системы пошли по самому простому пути - снизили уровень безопасности своего софта, тем более что это снижение - только потенциальное, клиент его не замечает. Но вот долго ли будет работать такой подход?
Сдается, эта тенденция к снижению безопасности - временная. Ведь на корпоративном рынке, где услугами удаленного управления финансами пользуются профессионалы, уровень безопасности программного обеспечения не только не снижается, но, напротив, растет. На массовом же рынке тон задает огромное количество новых пользователей, еще не разобравшихся в ситуации и не осознавших те реальные опасности, которые могут угрожать их финансовым средствам при удаленном управлении.
Пока что эта группа пользователей готова принять дополнительные «удобства» пользования софтом, происходящие за счет снижения уровня безопасности. Просто для них такой поворот не очевиден. Средние остатки на личных банковских счетах и в «электронных кошельках» не превышают сотен или даже десятков долларов. Так что вряд ли злоумышленники будут прилагать серьезные усилия для кражи паролей к копеечным накоплениям. Но как только речь пойдет о тысячах (а это уже не за горами), ситуация резко изменится. Хакеры моментально переключатся с кражи номеров кредиток на кражу паролей (что, кстати, технически намного проще), а платежным системам срочно придется поднимать безопасность пользовательского софта до уровня 90-х.
И - напоследок. Пароли попадают в руки злоумышленников в 99 процентах случаев не из-за технических «взломов» и «перехватов», а вследствие безалаберности пользователей. Кто-то записывает пароль на огрызок бумажки, чтоб не забыть. Кто-то использует в качестве пароля имя жены, чтобы опять-таки помнить всегда (не жену - пароль). Кто-то использует один и тот же пароль на десятках ресурсов. Короче говоря, основная причина перехвата пароля - это боязнь владельца позабыть его. Короче, может быть и хорошо, что девизом наших банковских структур стало: будь проще - и к тебе потянутся люди. Другой вопрос - не будет ли среди этих людей еще и мошенников?..