E-money: доверять или нет?

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-058-7

Безопасность и анонимность

Список проблем продолжается. Система WebMoney изначально спроектирована по методу "Что тут думать? Тут кодить надо и побыстрее". Для работы с электронными деньгами пользователю предлагается либо установить специальное программное обеспечение Keeper Classic, либо осуществлять все расчеты через браузер Keeper Light. Вопреки расхожему мнению, Keeper Light не использует ActiveX, то есть не является программой, а ограничивается одними "сертификатами", которые поддерживают практически все нормальные браузеры и под Windows, и под LINUX. Электронный кошелек в обоих случаях хранится в специальных файлах (.kwm/.pwm и .p12/.pfx), которые могут быть размещены и на сменном, и на постоянном носителе. Keeper Light плюс носитель с ключом обеспечивают доступ к кошельку из любого места, где только есть интернет. Как говорится, все свое ношу с собой! Правда, потребуется быстрый канал (Keeper Light просто пожирает трафик), а сервисные возможности будут весьма ограничены. Keeper Classic более функционален, но работает только с того компьютера, на котором был установлен, что не есть хорошо. Получаем электронный кошелек размером с компьютер! Хорошо, если у плательщика ноутбук... Таскать с собой десктоп весьма затруднительно :). Но вроде бы тоже без проблем: дома используешь Classic, во всех остальных местах - Light. Увы! Со своим кошельком можно работать только тем Keeper'ом, в котором он был зарегистрирован. Кстати, восстановление доступа к своему кошельку в Classic Keeper после переустановки операционной системы по силам только продвинутому пользователю…

Где хранить файлы электронного кошелька, тоже не вполне понятно. Винчестер - не слишком надежное место. Он может отказать, любой хакер может стащить/уничтожить кошелек (впрочем, если хакер внедрился в систему, он все равно стащит его). Сменные носители также не очень надежды. Flash-брелки легко потерять, болванки без толку занимают привод, дискеты сыплются и покрываются BAD-секторами без видимых причин... В общем, удобно, но все равно ненадежно.

И об анонимности. Это одновременно преимущество и проблема. Если кто-то ищет хакера для создания нового вируса, то обе стороны, естественно, хотят остаться в тени и осуществить перевод так, чтобы никто не знал, откуда он и куда. Но никаких гарантий, что оплата пройдет, естественно, не существует. Заберут вирус и покажут пальчик. Кого потом искать?! В обычной жизни анонимность платежей только создает проблемы. Именно по этой причине разработчики WebMoney придумали систему аттестатов - могучую, запутанную и криво работающую :). Раздачей аттестатов занимается Центр Аттестации (http://passport.webmoney.ru) и уполномоченные им лица (аттестаторы или регистры), которых насчитывается с полсотни.