Особое мнение

Андрей Каролик

Спецвыпуск: Хакер, номер #061, стр. 061-018-6

Крис Касперски: Смотря что понимать под "взломом". Создать генератор электронных единиц WebMoney действительно невозможно. Проникнуть на центральный сервер в принципе, возможно, поскольку ВСЕ реализации стека TCP/IP не свободны от дыр. Даже если там будет использоваться своя собственная ось, 100% гарантии надежности нет. Но такой взлом - довольно сложное дело. Если админ не лось, взлом крайне маловероятен. Однако последствия взлома губительны, и полностью списывать его со счетов нельзя. В настоящее время хакеры занимаются тем, что воруют электронные кошельки. Это не взлом самой платежной системы - это просто воровство, но оно процветает...

XS: Или же в основном кражи электронной наличности происходят действительно из-за "кривых рук"?

Сергей Полянский: Самая уязвимая часть платежных систем - кошельки пользователей. Думаю, найдется мало людей, у которых хоть раз что-нибудь да не украли - кошелек из сумочки, барсетку с сидения машины и т.п. Почему-то мы все учимся только на своих ошибках. Положи портмоне в задний карман джинсов и походи пару часов в оживленном месте - 90 шансов из 100, что ты лишишься бумажника и не заметишь, как это произошло.

3APA3A: Есть распространенное мнение, что во взломе своего компьютера всегда виноват пользователь. Пользователь хочет работать с компьютером как с бытовым прибором - холодильником, пылесосом, стиральной машиной - ни о чем не задумываясь и следуя указаниям на экране техники. Чьи кривые руки виноваты в том, что современная индустрия не может ему это обеспечить?

Bad_guy: Недавно мне начал приходить спам на английском языке. Письма выглядели очень прилично и были присланы якобы от саппорта Paypal. В письме сообщение о том, что с моим аккаунтом (которого у меня в этой системе и вовсе нет) проблемы. Предлагалось кликнуть по ссылке, якобы ведущей на сайт Paypal, но на самом деле она вела на "левый" скрипт на "левом" сайте, который, по-видимому, был призван воровать данные аккаунта владельцев счета Paypal. Кто-то на это попался, но виновата ли одна кривизна рук? Неизвестно. Всегда надо помнить, что обычно крупные системы и сайты никогда ничего не рассылают. А если и пришло незапрашиваемое письмо, не грех спросить по указанному e-mail отправителя, он ли на самом деле послал письмо.

Алексей Лукацкий: Это основная проблема в безопасности. Систему ломают не из-за слабостей в математике, а из-за слабостей в ее реализации. Достаточно допустить ошибку в программировании криптографического алгоритма, и весь его потенциал идет "коту под хвост". Или еще одна распространенная ситуация: программист скачал в интернете исходники криптографической библиотеки и решил, что может создать свою платежную систему, забыв принципы обращения с этой библиотекой. Например, распространенная ошибка - хранение закрытых ключей шифрования в виде незащищенного файла на диске. Стоит злоумышленнику получить доступ к файлу, как вся защищенность платежной системы становится равной нулю. Аналогичная проблема и в администрировании платежных систем. Года три-четыре назад администраторы Western Union проводили регламентные работы на сайте, а по их завершению забыли вернуть все в защищенное состояние. Результат - база клиентов Western Union утекла в интернет.