E-money: доверять или нет?

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-058-4

В банковском мире действует первая схема. Центробанк зорко следит за всеми коммерческими банками и в случае малейших подозрений немедленно устраивает суровые разборки. А если банк, в который ты положил свои кровные, вдруг испарился без суда и следствия, все долги перебрасываются на Центробанк. По крайней мере, мы не останемся в одних трусах, но и спектр предоставляемых услуг остается на недоразвитом уровне, так как он контролируется Центробанком. Электронные платежные системы могут использовать либо первую, либо вторую схему, либо их комбинацию. Тогда на рынке будут присутствовать и "доверенные" конторы, и "серые" участники, которым люди доверяют только на свой страх и риск. Немного замороченно, но в жизни все еще сложнее и научиться пользоваться электронными платежами без ущерба для себя намного сложнее, чем приручить "форточки".

В любой платежной системе обязательно должен присутствовать арбитр (Arbiter) - независимое лицо, решающее спорные вопросы и питающееся за счет комиссионных сборов. Если в платежной системе арбитра нет или его "независимость" декларирована лишь условно, от такой системы лучше держаться подальше.

Платежи могут быть прямыми или непрямыми. Прямой платеж подразумевает непосредственную связь плательщика с эмитентом и получателем, а получателя - с плательщиком и acquirer'ом. Плательщик передает получателю несколько тугриков, эмитент списывает эту сумму с его счета, acquirer начисляет ее на счет получателя. Классический пример прямого платежа - чек.

Существуют и непрямые системы, в которых плательщик связывается только с эмитентом, а получатель - только с acquirer'ом. Именно по этой схеме работает телеграфный перевод, для которого не требуется, чтобы обе стороны в момент оплаты находились в онлайне. К тому же непрямые системы защищены намного надежнее, чем прямые.

Большинство электронных платежных систем используют гибридную модель, чтобы унаследовать сильные стороны обоих схем и практически полностью ликвидировать их недостатки. Самый больной вопрос - безопасность. Электронная наличность может храниться как на центральном сервере владелицы платежной системы, предоставляя пользователям уникальный пароль (что-то вроде комбинации цифр от сейфа или связки ключей), так и непосредственно у самих участников платежа, например на smart-картах или в хитроумно зашифрованных файлах. С точки зрения безопасности, первый способ намного предпочтительнее: он максимально затрудняет генерацию фальшивых денег и в случае обнаружения кражи пароль на "сейфе" может быть быстро изменен, однако вернуть назад smart-карту уже невозможно.

Тем не менее, электронные деньги чрезвычайно уязвимы. Начнем с клиентского компьютера. Если хакер сумеет внедрить на него собственную программу, он запросто выгребет весь электронный кошелек подчистую. Также можно попытаться перехватить канал связи плательщика и получателя/эмитента, например запустить sniffer или взять под контроль один из промежуточных серверов. Впрочем, скорее всего это ничего не даст, так как протокол обмена изначально разрабатывается устойчивым к перехвату (во всяком случае, теоретически). А вот внедрение подложного эмитента может дать положительный результат! Его можно осуществить, например, путем "подмятия" DNS-сервера с последующим перенаправлением клиента на хакерский узел. Во многих платежных системах предусмотрена авторизация клиента сервером, но отсутствует авторизация сервера клиентом. Проще говоря, "игра идет в одни ворота". Чтобы подключиться к серверу, клиент должен знать некоторую уникальную информацию (грубо говоря, пароль), а сервер ничего не должен ему. И отличить "левый" сервер от "правого" в этом случае невозможно.