Поделиться
Системы интернет-платежей России: тестируем на защищенность
Количество степеней защиты у электронных и бумажных денег различно, причем преимущество явно на стороне первых. Специальные способы печати, невидимые метки защищают купюры достоинством максимум в 1000 рублей, в то время как “интернет-купюры” не имеют верхней границы. Подход к защите денег одинаков во всех случаях – необходимо исключить целесообразность подделки. Но все способы защиты окажутся бесполезными, если сами владельцы денег будут пренебрегать элементарными мерами безопасности.Степень надежности электронных расчетов
Возможность моментального денежного расчета послужила мощным толчком для развития электронной коммерции. Число владельцев интернет-денег постоянно растет. Да и обороты электронных платежных систем составляют сегодня значительные суммы. Естественно, все это не может не привлекать к себе внимание разных мошенников. Вопросы безопасности электронных транзакций приобрели сегодня особую актуальность. И они же являются одним из основных сдерживающих факторов дальнейшего развития электронной коммерции. Все-таки многие люди не доверяют интернет-деньгам, поскольку боятся хакеров, вирусов и других компьютерных сюрпризов.
Нужно заметить, что все электронные платежные системы обладают достаточно серьезной защитой. А поэтому взломать их "напрямую" практически невозможно. Для примера можно взять одну из самых распространенных в нашей стране систем - WebMoney. В ней абсолютно все операции вплоть до простого обмена сообщения между участниками выполняются с применением шифрования по криптоалгоритму, подобному RSA с длиной ключа 1024 бита. Между тем при современном уровне развития электроники взломать такой шифр за приемлемый срок просто невозможно. Таким образом, одна из самых серьезных опасностей Сети, перехват данных (сниффинг), оказывается бездейственной.
То же самое можно сказать и о других платежных системах. Так, например, в E-port все данные между компьютером клиента и сервером передаются по протоколу SSL 3.0 с длиной ключа до 128 бит. Правда, в этом случае пользователю нужно быть очень осторожным. Дело в том, что многие старые версии браузеров поддерживают шифрование с ключами меньшей длины (56 или даже 40 бит). В этом случае злоумышленник может попытаться взломать перехваченные данные и имеет все шансы на успех. Поэтому, пользователи всех электронных платежных систем, использующих для работы не специальное программное обеспечение, а обычный браузер, должны иметь, хотя бы, последнюю его версию. Иных проблем с шифрованием информации у интернет-денег на сегодняшний день не выявлено.
Сравнительная таблица надежности платежных систем
| Характеристика | WebMoney | «Яндекс.Деньги» | CyberPlat | E-port | «Рапида» |
| Аутентификация с использованием токенов | Есть | Нет | Нет | Нет | Нет |
| Многофакторная аутентификация | Пароль + файл-ключ | Пароль + программа-кошелек | Есть | Нет | Нет |
| Шифрование | Алгоритм типа RSA, ключ 1024 бита | Алгоритм RSA, ключ 1024 бита | Алгоритм RSA, ключ 512 бит | Технология SSL 3.0, ключ от 40 до 128 бит | Нет данных |
| Наличие SMS-сервиса | Есть | Нет | Нет | Есть | Есть |
| Возможность перевода средств между частными клиентами | Есть | Есть | Нет | Нет | Есть |
| Анонимность частных клиентов | Есть | Есть | Нет | Есть | Есть |
| Система blacklist | Есть | Нет | Нет | Нет | Нет |
| Дополнительные средства защиты от мошенников | Аттестация, арбитраж | Нет | Нет | Нет | Нет |
Другим часто используемым хакерами приемом является подмена пользователя. То есть злоумышленник некоторым путем (например, с помощью подбора пароля) входит в систему от имени зарегистрированного клиента и получает доступ к его кошельку. Естественно, разработчики электронных платежных систем не могли не учесть это. Наиболее удачно описанная проблема решена у WebMoney и "Яндекс.Деньги". Вообще, во всех системах используется парольная защита. Между тем ни для кого не секрет, что большая часть пользователей применяет крайне слабые с точки зрения информационной безопасности ключевые слова. Кроме того, у злоумышленников есть немало способов получения паролей пользователей. Для этого могут использоваться троянские кони и программы-кейлоггеры. Кроме того, некоторые люди применяют одно и тоже ключевое слово для доступа ко всем интернет-сервисам. Таким образом, злоумышленнику достаточно получить пароль человека к слабо защищенной системе и использовать его для доступа к электронной платежной системе.
Описанная проблема является достаточно серьезной, поскольку позволяет злоумышленникам проникать в защищенную систему через один из самых слабых элементов в ее безопасности - человека. Самым удачным ее решением является повсеместное использование токенов (USB-ключей). Вот только сегодня эти устройства в нашей стране до сих пор остаются достаточно большой редкостью. Поэтому разработчикам электронных платежных систем приходится находить нестандартное решение проблемы с незащищенностью пользовательских паролей.
Поделиться
Короткая ссылка
