Мошенничество с ЭЦП: проблема глубже и серьёзнее, чем кажется
В СМИ только сейчас начали поднимать панику по поводу ЭЦП, электронной подписи. Оказывается, — ах, кто бы мог подумать, — при помощи электронной подписи можно переписать на себя чужую квартиру, чужой бизнес и чужие деньги. Цена вопроса для преступников — несколько тысяч рублей:
http://47news.ru/articles/156549/
Я поговорил на эту тему со специалистом, который с девяностых годов занимается защитой от хакеров-ломакеров, внутренних крыс и тому подобных злоумышленников. Вот краткий пересказ нашей беседы.
1. ЭЦП в том виде, в котором она существует сейчас, это нечто среднее между распилом и мракобесием. Она работает только в теории. На практике ЭЦП — это дырявая, неуклюжая техническая штуковина, которая создаёт гораздо больше проблем, чем решает.
2. Кроме того способа взлома ЭЦП, который обрисован в статье по ссылке, есть и ещё куча других, ничуть не более сложных. Преступники их знают, однако я на всякий случай всё же не буду перечислять их в этом посте.
3. Ни «Гугл», ни «Яндекс», ни даже коммерческие банки не считают ЭЦП чем-то важным. Пароль плюс подтверждение через смс — вот та защита, которая реально работает на уровне массового пользователя. Взломать её, разумеется, тоже можно, однако это будет уже сложнее.
4. Сейчас есть и более современные системы защиты. Вот, например, простая и мощная защита, взломать которую можно разве что при помощи терморектальных технологий. Когда клиент отправляет денежный перевод или совершает сделку с квартирой, оператор звонит ему по видео и задаёт вопрос: «скажите код под номером 37 на карточке». Клиент стирает монетой защитный слой на карточке, называет код. Оператор видит, что перед ним именно тот человек, фотография которого есть в базе. Компьютер подтверждает, что видеоряд и голос совпадают.
Находящийся поблизости злоумышленник не сможет обмануть такую систему защиты, потому что у него не выйдет убедительно подделать внешность и голос, тем более в реальном времени. Гипотетический хакер, который умеет подделывать внешность и голос, не получит физического доступа к карточке с кодами.
5. Одна из главных проблем ЭЦП — её громоздкость. Простым пользователям непонятны все эти муторные телодвижения с крипто-хрипто и хранилищами сертификатов: они или делают все операции как в тумане, или просто бездумно отдают свою ЭЦП тем, кто разбирается в этом чуть лучше их — бухгалтеру и сисадмину, к примеру.
Нет никаких проблем установить на входной двери в хрущёвке огромный сейфовый замок, который только открывать надо будет по полчаса. Однако к повышению безопасности это не приведёт: замок будут держать всегда открытым, чтобы не терять времени, и, даже если он будет таки иногда закрываться, взломщику не составит труда проникнуть в квартиру через окно или войти в дверь под видом доставляющего пиццу курьера.
6. В статье по ссылке мочат конкретную фирму, которая выдала дубликат ключа взломщику, не проверив как следует его документы, однако проблема отнюдь не в конкретной фирме. Система изначально слишком сложна и запутана, чтобы надёжно работать.
Даже начинающие специалисты по безопасности знают, что нельзя заставлять пользователей использовать сложные пароли, ибо тогда они просто начинают записывать их на приклеенных к монитору стикерах. К сожалению, законы бюрократии противоречат здравому смыслу. Бюрократы живут по инерции: выбирают случайную технологию, а потом так и работают по ней даже тогда, когда это уже явно глупо.
7. Если вы думаете, что проблема только с государством, спешу расстроить. В банках, например, ровно такая же ерунда — лично мне известен ровно один банк, который наладил нормальную (надёжную и простую) систему с уникальными кодами. Большая часть банков работает по старинке, или через ЭЦП, или с подтверждением через смс.
8. Подтверждение через смс обычно надёжнее, чем ЭЦП, ибо телефон директор фирмы носит с собой, однако и тут разработана масса простых способов взлома. Получить доступ к чужим смс-сообщениям — дело совсем нехитрое, особенно если у преступника есть небольшой бюджет. Вот пример такого взлома:
https://habr.com/ru/post/453286/
9. Надежды на скорое изменение ситуации, к сожалению, у меня нет. Государство не может вот так просто взять и выкинуть на свалку существующую инфраструктуру, заменив её на что-нибудь нормальное типа системы с уникальными кодами. Полагаю, государство и дальше будет пытаться латать дыры в изначально ущербном механизме, переводя его из состояния «ужас-ужас-ужас» в состояние «жить можно, хоть и противно».
10. В начале девяностых экономика России потеряла триллионы рублей на так называемых «фальшивых авизо». Советская банковская система была насквозь дырявой, поэтому, когда рубль стал конвертируемым, мошенники начали выводить через эти дыры огромные средства:
https://ru.wikipedia.org/wiki/Фальшивые_авизо
Сейчас одной из таких дыр является возможность оформлять крупные сделки через интернет. Пока что от массовых мошенничеств нас спасала традиционная техническая отсталость жуликов, однако я не удивлюсь, если этот благостный период уже на исходе, и жульничество с ЭЦП вот-вот станет массовым.
PS. Кстати, раз уж зашла речь о сравнении корпораций и государства. Кое-что в нужном направлении делает наш ЦБ. Более конкретно, он принуждает банки использовать современные средства защиты, опознавать клиента по лицу и по голосу:
https://www.interfax.ru/business/662298
Будьте уверены, если бы не постоянные пинки и подзатыльники со стороны ЦБ, большая часть наших банков до сих пор бы ещё пользовалась факсами и моноклями.
http://47news.ru/articles/156549/
Я поговорил на эту тему со специалистом, который с девяностых годов занимается защитой от хакеров-ломакеров, внутренних крыс и тому подобных злоумышленников. Вот краткий пересказ нашей беседы.
1. ЭЦП в том виде, в котором она существует сейчас, это нечто среднее между распилом и мракобесием. Она работает только в теории. На практике ЭЦП — это дырявая, неуклюжая техническая штуковина, которая создаёт гораздо больше проблем, чем решает.
2. Кроме того способа взлома ЭЦП, который обрисован в статье по ссылке, есть и ещё куча других, ничуть не более сложных. Преступники их знают, однако я на всякий случай всё же не буду перечислять их в этом посте.
3. Ни «Гугл», ни «Яндекс», ни даже коммерческие банки не считают ЭЦП чем-то важным. Пароль плюс подтверждение через смс — вот та защита, которая реально работает на уровне массового пользователя. Взломать её, разумеется, тоже можно, однако это будет уже сложнее.
4. Сейчас есть и более современные системы защиты. Вот, например, простая и мощная защита, взломать которую можно разве что при помощи терморектальных технологий. Когда клиент отправляет денежный перевод или совершает сделку с квартирой, оператор звонит ему по видео и задаёт вопрос: «скажите код под номером 37 на карточке». Клиент стирает монетой защитный слой на карточке, называет код. Оператор видит, что перед ним именно тот человек, фотография которого есть в базе. Компьютер подтверждает, что видеоряд и голос совпадают.
Находящийся поблизости злоумышленник не сможет обмануть такую систему защиты, потому что у него не выйдет убедительно подделать внешность и голос, тем более в реальном времени. Гипотетический хакер, который умеет подделывать внешность и голос, не получит физического доступа к карточке с кодами.
5. Одна из главных проблем ЭЦП — её громоздкость. Простым пользователям непонятны все эти муторные телодвижения с крипто-хрипто и хранилищами сертификатов: они или делают все операции как в тумане, или просто бездумно отдают свою ЭЦП тем, кто разбирается в этом чуть лучше их — бухгалтеру и сисадмину, к примеру.
Нет никаких проблем установить на входной двери в хрущёвке огромный сейфовый замок, который только открывать надо будет по полчаса. Однако к повышению безопасности это не приведёт: замок будут держать всегда открытым, чтобы не терять времени, и, даже если он будет таки иногда закрываться, взломщику не составит труда проникнуть в квартиру через окно или войти в дверь под видом доставляющего пиццу курьера.
6. В статье по ссылке мочат конкретную фирму, которая выдала дубликат ключа взломщику, не проверив как следует его документы, однако проблема отнюдь не в конкретной фирме. Система изначально слишком сложна и запутана, чтобы надёжно работать.
Даже начинающие специалисты по безопасности знают, что нельзя заставлять пользователей использовать сложные пароли, ибо тогда они просто начинают записывать их на приклеенных к монитору стикерах. К сожалению, законы бюрократии противоречат здравому смыслу. Бюрократы живут по инерции: выбирают случайную технологию, а потом так и работают по ней даже тогда, когда это уже явно глупо.
7. Если вы думаете, что проблема только с государством, спешу расстроить. В банках, например, ровно такая же ерунда — лично мне известен ровно один банк, который наладил нормальную (надёжную и простую) систему с уникальными кодами. Большая часть банков работает по старинке, или через ЭЦП, или с подтверждением через смс.
8. Подтверждение через смс обычно надёжнее, чем ЭЦП, ибо телефон директор фирмы носит с собой, однако и тут разработана масса простых способов взлома. Получить доступ к чужим смс-сообщениям — дело совсем нехитрое, особенно если у преступника есть небольшой бюджет. Вот пример такого взлома:
https://habr.com/ru/post/453286/
9. Надежды на скорое изменение ситуации, к сожалению, у меня нет. Государство не может вот так просто взять и выкинуть на свалку существующую инфраструктуру, заменив её на что-нибудь нормальное типа системы с уникальными кодами. Полагаю, государство и дальше будет пытаться латать дыры в изначально ущербном механизме, переводя его из состояния «ужас-ужас-ужас» в состояние «жить можно, хоть и противно».
10. В начале девяностых экономика России потеряла триллионы рублей на так называемых «фальшивых авизо». Советская банковская система была насквозь дырявой, поэтому, когда рубль стал конвертируемым, мошенники начали выводить через эти дыры огромные средства:
https://ru.wikipedia.org/wiki/Фальшивые_авизо
Сейчас одной из таких дыр является возможность оформлять крупные сделки через интернет. Пока что от массовых мошенничеств нас спасала традиционная техническая отсталость жуликов, однако я не удивлюсь, если этот благостный период уже на исходе, и жульничество с ЭЦП вот-вот станет массовым.
PS. Кстати, раз уж зашла речь о сравнении корпораций и государства. Кое-что в нужном направлении делает наш ЦБ. Более конкретно, он принуждает банки использовать современные средства защиты, опознавать клиента по лицу и по голосу:
https://www.interfax.ru/business/662298
Будьте уверены, если бы не постоянные пинки и подзатыльники со стороны ЦБ, большая часть наших банков до сих пор бы ещё пользовалась факсами и моноклями.