Особое мнение

Андрей Каролик

Спецвыпуск: Хакер, номер #061, стр. 061-018-5

Алексей Лукацкий: В лицензиях на платное программное обеспечение всегда имеется фраза наподобие "оно продается «как есть», и разработчик не несет никаких гарантий". Когда мы въезжаем в новую квартиру, ситуация аналогична: если дом рухнет, то предъявлять претензии можно сколько угодно долго без ясного результата, достаточно вспомнить ситуацию с "Трансвааль-парком". Опять же, если системе доверяют, то ее юридический статус не так важен. Если не доверяют, то даже куча юридически грамотных документов ничего не решит.

Крис Касперски: WebMoney доверяют далеко не все, причем доверяют только в надежде на авось. Количество пострадавших или обиженных просто огромно. Форумы буквально ломятся от сообщений на эту тему. Так что говорить о "доверии" в такой ситуации несколько странно.

XS: Платежные системы утверждают, что взломать их практически невозможно. Хакеры говорят об обратном. Что же на самом деле?

Сергей Полянский: На самом деле взломать можно ВСЕ – дело лишь в вопросе экономической целесообразности. Никто не станет ломать сейф и тратить на эту операцию $1000, если известно, что в этом сейфе вряд ли храниться больше, чем десять тысяч рублей. Взлом самой платежной системы, по большому счету, просто лишен смысла, потому что, в отличие от банковского хранилища, где хранятся деньги (которые, как известно, не пахнут), там не хранится никаких материальных ценностей, которые можно "унести и спрятать". Кроме того, операции мошенников для эмитента электронных денег обратимы: основным объектом нападок являются кошельки пользователей.

3APA3A: На самом деле каждый комментирует защищенность со своих позиций. Если кто-то увел твой кошелек WebMoney через троянец на твоей машине, кого взломали? WebMoney или тебя?

WebMoney скажет, что тебя. Кто-то может сказать, что взломали WebMoney. Вопрос упирается в определение того, что является платежной системой и на чем она заканчивается. Является ли ПО для работы с кошельком и компьютер пользователя частью платежной системы? По-моему, да. Взломать можно все, но ломать-то будут в самом уязвимом месте.

Bad_guy: Допустим, есть хакер, который знает, как воровать деньги, например, из системы e-gold. Естественно, это его "хлеб", и об этом хакер не расскажет даже ближайшему другу. Значит, общественность не узнает о факте уязвимости в системе. Возможно, если суммы краж хакера будут мелкими для системы в целом, то хищение даже не заметят, разбираться не будут. Но если пойдет речь о сотнях долларов, заметят и проведут расследование, соответственно, рано или поздно будут найдены следы вывода средств, которые в принципе могут привести к хакеру, и тот будет тихо обезврежен, а о его деяниях общественность, опять же, не узнает. Системе невыгодно, чтобы ей перестали доверять толпы многочисленных клиентов.

Алексей Лукацкий: Правы обе стороны, каждый судит со своих позиций. Платежная система не может говорить, что она уязвима, иначе потребитель от нее отвернется. Кроме того, когда платежная система заявляет о своей неуязвимости, то речь идет, как правило, о математической стороне вопроса, то есть о криптографии. Однако платежная система - это еще и реализация криптографии, и другие программные компоненты, и организационные вопросы, и люди. Слабость в каждом из этих элементов сказывается на системе в целом. И, конечно же, надо помнить о золотом правиле безопасности - "100% безопасности не существует".