Прежде чем я подойду к окончанию цикла, посвященного проблемам безопасности современных платежных систем, я хочу разъяснить тезис, высказанный в одной из предыдущих колонок. Тезис, который заключался в том, что платежные системы сейчас зачастую проектируют программисты, а не специалисты по таким системам. И который вызвал вопросы у некоторых читателей.

Вернусь немного назад, в прошлое.

Это было больше года назад. Я попал на презентацию, посвященную, так сказать, рестайлингу одной платежной системы. Лейтмотивом презентации было повышение безопасности после рестайлинга. Система была переведена с бесплатной связки php-mysql на серьезную платную платформу, перенесена на новый, хорошо защищенный хостинг, и, как было заявлено, введены серьезные организационные меры безопасности.

Я заинтересовался и стал задавать конкретные вопросы. Ни на один из вопросов, который не был бы связан с софтферными решениями, я ответа не получил. Вернее получил ответ в стандартной обтекаемой форме: «У нас есть защита от упомянутой вами опасности, но в чем она заключена, мы разглашать не будем, чтобы хакеры ею не воспользовались». У меня сложилось впечатление, что докладчик даже не вполне понимает, о чем я у него спрашиваю…

Взломали эту систему через год. Причем довольно серьезно. Из системы были выведены деньги.

Есть несколько очень хороших индикаторов, показывающих в целом, специалисты какого рода занимаются безопасностью системы.

Первый индикатор заключается в том, что если на все свои вопросы вы получаете ответ, что меры противодействия обозначенной вами опасности – секретны, то в 90% случаев это означает, что никаких мер и нет вовсе. Все опасности более-менее известны, и меры противодействия известным опасностям также известны. Все новые открытия в этой области первым делом публикуются (иначе, без массовой общественной проверки, в их эффективности нельзя быть уверенным), и секретного тут ничего не может быть в принципе. Если же специалист по системе безопасности ответит вам что-то вроде «с кражей паролей мы боремся при помощи идентификации по протоколу RSA», это никак не поможет хакерам взломать систему, а вот у вас вызовет только доверие к системе.

Другим индикатором, показывающим, какого рода специалисты занимаются безопасностью системы, является проблема доменных имен, связанных с проектом. Современная доменная система дает множество лазеек для атаки на сайт. Устраняются эти лазейки очень просто, а тот факт, устранены ли они или нет, проверяется очень легко.

Одну подобную лазейку я описал в прошлой колонке. Другую лазейку, кстати, широко известную,  можно назвать «коварные буквы».

Вот, например, латинская буква «m» обладает одним очень коварным свойством. В некоторых шрифтах она практически неотличима на глаз от рядом стоящих букв r и n – «rn». Если, например, вместо «money» написать «rnoney», то в зависимости от того, какой шрифт будет у вас выставлен, вы запросто можете спутать эти два слова.

Есть и другие такие же коварные буквы.

Например, если вы напишете слово «Yangex», то девяносто процентов русскоязычных читателей прочитают это слово как «Yandex» и даже не заметят, что буква «d» заменена на букву «g». И букву «q» очень легко спутать с буквой «g». А буква «l» совершенно неотличима от единички, если шрифт с засечками. И соответственно, если вы напишете, скажем, «mai1» вместо «mail», мало кто заподозрит подвох.

Конечно, подобные визуально похожие домены ошибочно в строке не наберешь, и тот фокус, что я описал в прошлой колонке, с ними не получится.

Но с ними можно провернуть куда как более коварный вариант фишинга: почтовую рассылку с предложением кликнуть по ссылке с визуально похожим доменным именем.

Представьте, что вы клиент платежной системы, и к вам с адреса саппорта этой системы приходит такое письмо:

«Уважаемый клиент, служба безопасности системы тыр-дырмани еще раз напоминает вам, что не следует сообщать свой логин и пароль другим людям, даже если те представляются сотрудниками тыр-дырмани.

Напоминаем вам, что наши сотрудники никогда не спрашивают у клиентов логин и пароль и не просят выслать его по почте.

В случае необходимости смены логина и пароля пользуйтесь только специальной формой расположенной на нашем сайте.»

И далее идет ссылочка на эту форму, которая выглядит точь-в-точь как ссылка на сайт системы. Только вот вместо буквы «m» — в ней визуально мало отличимое сочетание «rn». Или «1» вместо «l». Или еще что-то в этом роде.

Вполне нормальный текст, вызывающий доверие клиента. И многие клиенты, прочитав такой «пугающий» текст, тут же захотят на всякий случай поменять свои пароли.

Зайдя по этой ссылке, клиент попадет на сайт, внешне не отличимый от оригинала, и «сменит» и свой входной пароль и «платежный», введя предварительно для проверки настоящие пароли…

Соответственно, логично предположить, что специалисты системы, которые обеспечивают ее безопасность, первым делом должны озаботится о том, чтобы подобные домены не достались злоумышленникам, занять их.

Я проверил доменные имена:

Rbkrnoney.ru
Yangex.ru
rnoneymail.ru
moneyrnail.ru
webrnoney.ru
moneymai1.ru

И не удержался, проверил заодно и goog1.ru хоть он отношения к платежным системам и не имеет.

Свободными оказались:

rbkrnoney.ru
rnoneymail.ru
moneyrnail.ru
goog1.ru
moneymai1.ru

Специалисты, очевидно, не озаботились.

Зато, и думаю, любой со мной в этом согласится, этими же специалистами наверняка были приняты разумные меры, чтобы защитить систему от прямого хака путем затыкания всех известных системных уязвимостей, правильного выбора платформы, установки «сетевых экранов» и «периметров». То есть меры вполне достаточные с точки зрения программиста или сисадмина, но недостаточные, если не сказать «бесполезные» при отсутствии защиты от других уязвимостей. Вот именно это я и имел ввиду, когда писал, что «современные платежные системы делаются не специалистами по платежным системам, а программистами».

Каюсь, прежде чем написать этот текст я поставил небольшой эксперимент – разослал подобное письмо десятку знакомых, использовав один из вышеперечисленных доменов (разумеется, я тут же зарегистрировал их, как обнаружил, что они свободны). Через полчаса обзвонил своих респондентов и попросил честно ответить, кликали ли по ссылке. Из десяти человек кликнули двое.

В ходе написания последних двух статей мне пришлось взять на себя обязанности специалиста по безопасности платежных систем и зарегистрировать следующие домены, дабы они не достались злоумышленникам:

citibnk.ru
citibnak.ru
citibakn.ru
cotibank.ru
Rbkrnoney.ru
rnoneymail.ru
moneyrnail.ru
moneymai1.ru
goog1.ru

Владельцы торговых марок, сходных с вышеперечисленными доменами, могут получить их в свое распоряжение, как только компенсируют мне расходы по их регистрации.

(Всего прочитано 33 раз, из них 1 посещений сегодня)
0