Цифровая экономика: гладко было на бумаге...

Аватар пользователя CyberGEN

Цифровые технологии - это конечно хорошо, но с ними связана куча нерешенных проблем, которые авторы всевозможных инноваций предпочитают заметать "под коврик".

Проблема первая: ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. Да, именно так, все большими буквами. Что происходит, когда Вы совершаете электронный платеж? Вы взаимодействуете с программным и аппаратным  обеспечением, которое на экране показывает, что например идет оплата 300 руб за телефон. Затем вы подтверждаете операцию (паролем или еще как-то) и видите сообщение, что платеж на 300 руб принят. Вроде бы все хорошо и красиво, но откуда Вы знаете, что именно 300 руб. заплачено именно за телефон? Это Вам ПОКАЗАЛА программа. А что СДЕЛАЛА эта программа на самом деле? Может быть она перечислила все Ваши деньги жуликам? И что это за программа? Она от "Сбербанка" или от жуликов, но со сбербанковским логотипом? И тут мы понимаем, что для выполнения операции необходима т.н. доверенная платформа. Ни домашний компьютер, ни смартфон таковой не являются (что бы Вам не говорили девушки-манагеры с разноцветными шарфиками). Кому интересно - читаем про троян Carberp, Metel и их дружную семью. Банкомат - это и есть та самая доверенная платформа. Да, не без изъянов, да, иногда их даже взламывают, но защитой банкоматов занимаются профессионалы. 99,99% пользователей смартфонов и ПК таковыми не являются. Естественный выбор - использовать банкомат, а не ПК или смартфон. И на данном этапе развития технологий - это верный выбор.

Проблема вторая: ЮРИДИЧЕСКАЯ ЗНАЧИМОСТЬ ПОДТВЕРЖДЕНИЙ. Итак, Вы провели платеж через интернет-банк и получили распечатку квитанции на принтере. Проходит пара дней и телефон у Вас ... отключен. Идете в XYZ-телеком с этой распечаткой, а там Вам говорят, что отметки банка нет и вообще не было такого платежа. Потом Вы идете в банк, где слышите о том, мало ли чего Вы там себе могли напечатать, в базе такой транзакции нет. А деньги где? А какие деньги? Все! Ни для суда ни для какой конторы у Вас нет никакого подтверждения совершения операции. Его нет вообще. И доказательств нет никаких. Поэтому народ стоит в банкоматы (там есть хотя бы чек) либо в окошки касс, где ставят отметку банка на бумажный документ. После этого этот документ является ДОКАЗАТЕЛЬСТВОМ совершения платежа и его можно использовать в таком качестве в спорных ситуациях.

Проблема третья: ЦИФРОВАЯ НЕДОПОДПИСЬ. ЭЦП-мощная вещь, если она правильно используется и грамотно юридически оформлена. Если же Вы подписываете открытие депозита вводом пин-кода от пластиковой карточки (как в Сбере), то формально заключение такого договора банковского вклада является юридически ничтожным! Почему? А потому, что частный ключ на карточке не является КЭП-квалифицированной электронной подписью и договора об использовании его в таком качестве Вы ни с кем не заключали. Нет печати и подписи на документах - нет доказательств того, что в банке у Вас вообще есть какие-то деньги. Что Вы предъявите в суде? На бумаге нет даже хэша документа!

 

Итак, цифровая экономика предоставляет кое-кому огромные возможности. Но сможем ли мы при таком подходе к делу вообще хоть как-то отстоять свои права?

Авторство: 
Авторская работа / переводика

Комментарии

Аватар пользователя Сабуро-Микими
Сабуро-Микими(11 лет 9 месяцев)

Кому интересно - читаем про троян Carberp, Metel и их дружную семью. Банкомат - это и есть та самая доверенная платформа. Да, не без изъянов, да, иногда их даже взламывают, но защитой банкоматов занимаются профессионалы. 99,99% пользователей смартфонов и ПК таковыми не являются.

Ставьте обновления на операционную систему, пользуйтесь антивирусом, не открывайте вложения и ссылки в письмах неизвестных адресатов, не качайте порнуху - и не будет никаких вирусов. Для выполнения этих простеньких требований профессионалом быть не надо, достаточно немного мозгов.

 Поэтому народ стоит в банкоматы (там есть хотя бы чек) либо в окошки касс, где ставят отметку банка на бумажный документ. После этого этот документ является ДОКАЗАТЕЛЬСТВОМ совершения платежа и его можно использовать в таком качестве в спорных ситуациях.

Я Вам советую поинтересоваться, сколько в Сбербанке берут в качестве комиссии за Вашу любовь к "окошкам". Желание оплачивать сотовую связь через кассу пропадёт сразу. А народ стоит: а) по привычке б) потому, что начитался всяких глупостей типа тех, что Вы тут пишите

Итак, Вы провели платеж через интернет-банк и получили распечатку квитанции на принтере. Проходит пара дней и телефон у Вас ... отключен.

 Элементарно решается. Зачислять через компьютер, при этом уведомление о списании с банковского счёта и о зачислении денег приходят на телефон в виде двух SMS.  Одно из банка, второе от сотового оператора.  Проверить баланс до и после тоже с телефона. Компьютер и телефон сразу одним вирусом не заразятся. Тем более, что вирусы на разных устройствах с разными операционными системами друг с другом не общаются. Несоответствие выявляется сразу, какие такие "пара дней"?

 P. S. Если уж совсем невмоготу, пополняйте телефонный счёт через терминал, стоящий в салоне связи своей сотовой компании. Комиссию не возьмут, сотрудники всегда проконсультируют.

 Ещё есть бесплатная услуга - автоматическое пополнение с карточки на телефон, сразу как только телефонный счёт обнуляется. Без банкомата, без телефонного аппарата, без компьютера, без человека. Вирусу "воткнуться" просто некуда.

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

>Ставьте обновления на операционную систему, пользуйтесь антивирусом, не открывайте вложения и ссылки в

>письмах неизвестных адресатов,

Этого недостаточно. Кроме того, есть масса дыр, например, в AdobeReader, когда открытие документа приводит к исполнению кода. Документ может называться АктСверки.pdf, адресат может быть Вашим контрагентом. Антивирусы неизвестный код как вредоносный не определяют, пока он не занесен в базы.

Сделать на уровне простого пользователя ничего нельзя.  Защищенные системы строят совсем на других принципах. прочитайте про TPM, или про наш "Соболь". В домашних ПК и смартфонах этого нет и близко.

>Я Вам советую поинтересоваться, сколько в Сбербанке берут в качестве комиссии

Занимался подготовкой материалов для полиции и ФСБ по хищениям с организаций и частных лиц через системы дистанционного банковского обслуживания. Суммы ущерба - миллионные! У частников - поменьше. Один клиент привязал к карте депозит. Молодец! Со счетов исчезли 600 т.р. Деньги не возвращены, виновные не найдены. А всего-то он платил за телефон с ноутбука  с лицензионной виндой и да, с антивирусом (правда тогда не было системы "Безопасные платежи", но и она как оказалось не панацея).

> Зачислять через компьютер, при этом уведомление о списании с банковского счёта и о зачислении денег приходят на телефон в виде двух SMS.

Отсюда следует вывод: платить со смартфона нельзя. Кстати, известен случай применения поддельной фемтосоты-ретранслятора с перехватом и подменой sms. SMS передаются по открытому каналу.

> вирусы на разных устройствах с разными операционными системами друг с другом не общаются

Еще как общаются! Прочитайте про гетерогенные ботнеты и про то, что с их помощью можно сделать интересного.

 

 

Аватар пользователя Сабуро-Микими
Сабуро-Микими(11 лет 9 месяцев)

Документ может называться АктСверки.pdf, адресат может быть Вашим контрагентом. Антивирусы неизвестный код как вредоносный не определяют, пока он не занесен в базы.

Видел я такие pdf-документы, открывается спокойно, там пустой документ и вложенный исполняемый файл. Автоматически он не запускается, только "вручную". Люди pdf-документы так не делают. Не запускайте и проблем не будет. Смысл такого pdf-документа в том, чтобы обойти проверку антивирусом на почтовом сервере. С той же целью посылают вирус в архиве. Ничего принципиально нового тут нет. Adobe Reader сам по себе тут ни при чём.

Занимался подготовкой материалов для полиции и ФСБ по хищениям с организаций и частных лиц через системы дистанционного банковского обслуживания. Суммы ущерба - миллионные!

В организациях бардак с бухгалтерскими паролями - обычное явление. Директора вообще не хотят заниматься электронными платежами. Бухгалтерши болеют, уходят в отпуск, уезжают и пр., а проводки делать надо. Соответственно, пароли и ключи доверяют ещё кому-то. Раньше подделывали подписи и печати на бумаге. Теперь то же самое на новом уровне. "Свои" крадут, без всяких вирусов. 

 Решение проблемы лежит в другой плоскости - рубли должны быть только безналичными, единая база данных счетов и операций, каждый рубль со своим номером. Т. е. полностью замкнутая денежная система. Автоматические налогообложение, обязательные платежи и пр. В этом случае красть крайне затруднительно. В конечном итоге так и будет.

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

> Ничего принципиально нового тут нет. Adobe Reader сам по себе тут ни при чём.

Очень даже причем. Взлом Apple iOS идет как раз через ошибку в обработке pdf. Простое открытие документа может приводить к выполнению кода. Вспомним Confiker и WannaCry - тут даже действий пользователя не требовалось! "Оно само пришло"...

>В организациях бардак с бухгалтерскими паролями - обычное явление

И в этом ключевая проблема. В организации можно навести порядок, можно нанять специалиста (а я как раз такой специалист;-)  ). Но в каждую квартиру Вы сертифицированного специалиста  не примете на работу. Поэтому цифровые технологии - удел организаций. Массовое их внедрение в быту на данном этапе преждевременно из-за слишком больших рисков ИБ и крайне низкого уровня компьютерной грамотности народа. На конференции RIW-2014 представители Yota говорили о разработке СИМ-карт с КЭП, т.е. мобильным телефоном можно будет подписать ЛЮБОЙ договор. Вы себе представляете, что сделают всевозможные жулики со всякими наивными пенсионерами, у которых есть такая подпись?

 

 

Аватар пользователя Сабуро-Микими
Сабуро-Микими(11 лет 9 месяцев)

Взлом Apple iOS идет как раз через ошибку в обработке pdf.

 Продукцией Apple не пользуюсь. У меня, как и у большинства жителей Россиии, на компьютере Windows и на смартфоне  Android.

 Вспомним Confiker и WannaCry - тут даже действий пользователя не требовалось! "Оно само пришло"...

Всё те же простые меры безопасности - обновлять OS, антивирусы, не запускать подозрительные файлы и пр.  Там, где я работаю, проблем с вирусами не наблюдается. Права доступа большинства пользователей ограничены, по поводу почтовых сообщений проинструктированы, иногда обращаются с вопросами, если им что-то кажется подозрительным....

На конференции RIW-2014 представители Yota говорили о разработке СИМ-карт с КЭП, т.е. мобильным телефоном можно будет подписать ЛЮБОЙ договор. Вы себе представляете, что сделают всевозможные жулики со всякими наивными пенсионерами, у которых есть такая подпись?

 Вообще-то полно случаев, когда наивные пенсионеры подписывают бумажные документы. Бумажку подделать проще, как и подпись или печать. При использовании цифровых технологий сделать "защиту от дурака" гораздо проще. Собственно, уже кое-что в этом направлении делается. Некоторые банки реагируют на подозрительные платежи с банковских карточек, например, банковский оператор может позвонить и попросить подтверждения или нужно быстро ответь на SMS, послав обратно определённый код и пр.

 Современные наивные пенсионеры такими технологиями не пользуются. Смартфоны не у всех. Широкое распространение цифровых технологий начнётся тогда, когда подавляющее большинство населения будут знакомы с IT с детства, т. е. примерно после 2025 года. Наивные пенсионеры к тому времени уже помрут. Как обычно бывает, к тому времени уже придумают технические и законодательные способы "защиты от дурака".

  Ну, и, разумеется, безналичные рубли в единой замкнутой базе данных. Любые неправомерные платежи будут расследоваться легко и быстро. Так или иначе, но от бумажек придётся избавляться.

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

>Там, где я работаю, проблем с вирусами не наблюдается. Права доступа большинства пользователей ограничены

Правильно. А дома все работают по административными учетками, иначе "игрушки же не поставить".

>Вообще-то полно случаев, когда наивные пенсионеры подписывают бумажные документы.

Это так, но более-менее разумные пенсионеры (не алкаши) понимают, что они подписывают ДОКУМЕНТ,

а когда их просят нажать на телефоне цифирки - этого не поймут даже они.

>Бумажку подделать проще, как и подпись или печать. 

Но с бумажкой можно провести экспертизу. А доказать, что электронной подписью воспользовались неправомерно невозможно. Если ЭЦП правильно зарегистрирована, то подписал-значит подписал. Не ты подписал, а твой племянник-наркоман? Но подпись же твоя - поэтому претензии не принимаются!

Аватар пользователя Тех Алекс
Тех Алекс(8 лет 11 месяцев)

Забыли некоторые ругатели цифровой экономики как платежи месяц шли через улицу. Про фальшивые авизо забыли. Про  мгновенный тотальный многоуровневый контроль цифры тоже можно умолчать

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

Про "забалансовые счета" забыли? И где это был Ваш хваленый многоуровневый контроль?

 

Могу рассказать, как в системе "клиент-банк" у клиента сами появлялись платежки на перевод денег "в никуда". Проводилось расследование. Нашли источник атаки ... ноутбук бабуси лет 70 в г. Самара, зараженный трояном.

Чем это лучше "фальшивых авизо"? Причем концов принципиально не найти...

Аватар пользователя Тех Алекс
Тех Алекс(8 лет 11 месяцев)

Это Вам к психологу, выговориться о склонности людей к воровству.

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

Это я о том, что технологии несовершенны и работать с ними непрофессионалу на данном этапе небезопасно. Есть много "подводных камней", которые преступники знают намного лучше, чем их жертвы.

Аватар пользователя Тех Алекс
Тех Алекс(8 лет 11 месяцев)

Потеряться можно и в лесу. Другое дело что в цифровой экономике стандартные ошибки исключаются из оборота.

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

> стандартные ошибки исключаются из оборота.

Да, на уровне профессионалов, которые накапливают опыт, но не на уровне "тети Дуни из Тамбова с Айфоном в кредит".

Аватар пользователя Тех Алекс
Тех Алекс(8 лет 11 месяцев)

Я не расплачиваюсь телефоном и т.Дуне не рекомендую. Будет сертифицированный Экошелек буду подумать. А Вы еще храните деньги в авоське за окном?

Аватар пользователя CyberGEN
CyberGEN(6 лет 10 месяцев)

31.07.2017 не смог купить продуктов, не смог снять деньги с карты - пришлось брать взаймы, есть-то хотелось.

Масштабный сбой эквайринга... Теперь думаю, а не надежнее ли в авоське?