Гонка разоружения
Андрей Шипилов
02 января 2006 года.
Мне невероятно стыдно, но вынужден признаться. Недавно я «повелся» на рекламу одного весьма известного банка, носящего международное имя, которая настойчиво предлагала завести кредитную карту на «очень выгодных» условиях. И написал заявление на получение этой самой чудо–карты.
Спустя месяц в выдаче карты мне отказали. Без объяснения причин. Но зато дали обычную, дебетовую, а в придачу к ней мультивалютный банковский счет, которым можно было дистанционно управлять через Интернет, что пришлось очень кстати. Мне как раз нужен был счет в евро. И как раз — с удаленным управлением. Однако первый же заход в новую систему удаленного банкинга поставил меня в тупик. Вместо логина, система попросила ввести… номер кредитной карты. А вместо пароля — ее пин–код! Сразу вспомнились многочисленные легенды о хакерах, которые делают сайты–ловушки для выманивания у простаков кредиточных реквизитов.
Звонок в службу безопасности банка опасения развеял. Оказалось, банк, и в самом деле, запрашивает номер кредитки и пин–код. Но недоумение осталось. Все знают, что доверять номер своей кредитки сайту в Интернете, — это пусть небольшой, но все–таки риск. А чтобы доверить пин–код, который по определению никому, кроме банкомата, сообщать нельзя… К такому я не был готов.
Безопасность для масс
Нужно четко разделять клиентуру платежных систем и клиентуру банков. Не стоит забывать, что клиенты платежных систем — это, в силу новизны рынка, в большинстве своем люди, интересующиеся новыми технологиями. А потому способные самостоятельно настроить сложное программное обеспечение. Массовый же клиент банка, если мы, конечно, говорим о физических лицах, а не о корпорациях, — это человек, далекий от техники. Он может пользоваться Интернетом, хочет управлять банковским счетом через Интернет, но совершенно не желает возиться с установкой ключей в настройках браузера. Он просто не знает, что это такое!
Для массового рынка авторизация по логину и паролю вполне достаточна. В конце концов, это не корпоративный рынок, где на счетах лежат миллионы. Что же касается применяемой нами авторизации по номеру кредитной карты и пин–коду, то эта мера только на первый взгляд снижает безопасность. В реальности она повышает ее.
Давайте рассуждать здраво. Пароли попадают в руки злоумышленников в 99% случаев не из–за технических «взломов» и «перехватов», а вследствие безалаберности пользователей. Кто–то записывает пароль на бумажку, чтобы не забыть. Кто–то использует в качестве пароля имя жены, чтобы опять–таки помнить всегда. Кто–то использует один и тот же пароль на десятках ресурсов, по тем же сображениям. Короче говоря, основная причина перехвата пароля — это боязнь клиента позабыть его.
А пин–код — это как раз та вещь, которую человек знает наизусть и не станет записывать на бумажку и терять ее. Поскольку вся информация о пин–коде передается из вашего браузера в зашифрованном виде, такой способ в плане безопасности ничем не отличается от ситуации, когда вы вводите свой пин–код в банкомате.
Технический сотрудник крупного банка, пожелавший сохранить анонимность.
Все это заставило вспомнить об одном явлении, которое я наблюдаю вот уже несколько лет. Когда в начале 90–х годов я получал в банке доступ к первой в своей жизни системе удаленного управления счетом, — это была сложнейшая процедура. Я подписал кучу бумаг, показал свой паспорт нескольким банковским чиновникам, и только после этого мне выдали секретный запечатанный конверт, в котором хранилась отпечатанная «слепым» способом шифровальная таблица для вычисления одноразовых сеансовых паролей. Для каждого нового захода в систему удаленного управления счетом я должен был вычислять по этой таблице новый пароль, а старый при этом (в целях безопасности!) утрачивал свою силу. Тогда же на рынке появились платежные системы PayCash и WebMoney, в которых пользователь для подключения должен был указать не только свои пароль и логин, но и предъявить специальные секретные криптографические ключи с невероятной по тем временам длиной в 1 024 бита (для сравнения, самый длинный ключ, обеспечивающий секретную передачу данных в Internet Explorer, — это 128 бит).
Использование для авторизации асимметричных пользовательских ключей являлось, да и по сей день является, самым надежным методом обеспечения безопасности. Такие ключи невозможно «подобрать», а «взлом» системы, закодированной с их помощью, требует таких гигантских вычислительных ресурсов, которые не способна обеспечить ни одна существующая ныне компьютерная система. Именно поэтому метод защиты информации и авторизации при помощи пар асимметричных ключей получил широкое распространение в 90–х годах не только в платежных системах, но и в большинстве банковских систем удаленного управления счетом. Но затем ситуация вдруг изменилась. Причем внезапно.
Первой ласточкой стало появление новой платежной системы MoneyMail, в которой пользовательские криптографические ключи не применялись вообще. Пользователь просто заходил на сайт в Интернете, указывал свои логин и пароль и начинал работать.
Затем система PayCash, заключив соглашение с «Яндексом» и поменяв свое название на «Яндекс–деньги», выпустила новую версию клиентского софта, в котором также отказалась от использования криптографической защиты на стороне клиента. Схема работы — ровно та же. Пользователь заходит на сайт, указывает логин и пароль и получает доступ к своим деньгам.
Через барьер
Думаю, что переход на «бесключевые» технологии связан с массовым доступом. Любое усложнение технологии создает барьер примерно на порядок. Например, если для пользования сайтом надо зарегистрироваться, его посещаемость, скорее всего, составит процентов 10 от потенциально возможной (при свободном доступе). Массовый пользователь хочет простоты взаимодействия при приемлемом уровне безопасности. Кроме того, пользователь, работающий с платежной системой, рискует меньше. Просто потому, что платежная система есть средство расчета, а не накопления, так что остатки по счетам, как правило, — незначительны.
Елена Колмановская, главный редактор компании «Яндекс»
На банковском фронте — то же самое. Сейчас практически все крупные банки, работающие с населением, предлагают системы удаленного управления счетом. Но, в отличие от методов десятилетней давности, когда такое удаленное управление обуславливалось либо применением шифровальных таблиц для генерации одноразовых паролей, либо все теми же асимметричными парами криптографических ключей, современные системы удаленного банкинга ограничивают уровень безопасности просьбой предъявить логин и пароль на веб-сайте.
С точки зрения любого специалиста по компьютерной безопасности, авторизация при помощи только логина и пароля — как минимум, небезопасна. Пароли можно подсмотреть. Можно перехватить при помощи технических средств. А можно попросту выведать у пользователя путем обмана. И примеров тому масса. Но, тем не менее, именно такой способ становится в последнее время основным во всех системах удаленного управления финансами.
В итоге мы наблюдаем крайне любопытную тенденцию, которую я бы охарактеризовал словами «гонка по снижению безопасности». И банки, и большая часть платежных систем, словно соревнуясь друг с другом, наперегонки, снижают уровень защищенности своего софта. Не любого, разумеется, а того, что рассчитан на «массового» клиента, на физических лиц.
Но ничто на рынке не происходит «просто так». И если уровень безопасности софта, управляющего финансами граждан, снижается — значит, того требует рынок, значит, это кому–то нужно. Для такого явления, действительно, есть объективные причины.
Каждому — свое
Конечно, есть сектор рынка, где упрощенная авторизация вполне может иметь место. Если вы прибегаете к электронным платежам только раз в месяц, и при этом в кошельке у вас несколько десятков долларов, вам, собственно, терять нечего, и подобный подход не несет серьезной угрозы.
У нас есть продукты, которые рассчитаны на этот сектор рынка, например электронные чеки Paymer. Вы можете выпустить чек на 20 долларов, обеспеченный содержимым вашего электронного кошелька, и расплатиться им хоть по телефону, хоть по ICQ, просто сообщив корреспонденту номер чека и его код. Это даже проще, чем вводить логин–пароль. И вряд ли хакер будет прилагать серьезные усилия, чтобы перехватить номер и код чека с такой небольшой стоимостью.
Но строить всю политику платежной системы на упрощенной авторизации — это в корне неверно. Мы никогда не снижали и не намереваемся снижать уровень безопасности в своей системе. Если же вдруг возникает проблема, когда высокий уровень защищенности начинает создавать неудобства для клиентов, всегда можно найти способ решить ее, не снижая безопасности.
Например, для решения задачи доступа к системе с мобильных устройств мы создали новую версию программного обеспечения, где вместо авторизации по секретным ключам может быть использована технология E–num. Клиент, по сути, использует те же пары логин-пароль, но они генерируются автоматически и меняются при каждом входе в систему. Перехватывать такой пароль бесполезно.
Генератором одноразовых паролей является ЛЮБОЙ мобильный телефон или КПК с поддержкой Java. Это удобно для пользователя, а надежность такого подхода не ниже, чем при авторизации по секретному ключу.
Виктор Турсков, исполнительный директор платежной системы WebMoney Transfer
В последнее время возник рынок новых мобильных устройств, позволяющих осуществлять доступ в Интернет: PDA, коммуникаторы, смартфоны. Этот рынок растет стремительными темпами. И вполне понятно, что пользователи этих устройств хотят получить доступ к своим денежным средствам в банке или к электронному кошельку. Однако существующий ныне софт для мобильных устройств не поддерживает необходимые функции безопасности, а значит, и не может работать с асимметричными криптографическими ключами. Теоретически, на смартфоне тоже можно достичь должного уровня безопасности. Однако это требует от клиента технической грамотности и долгой возни с настройкой софта.
То же касается и традиционной, не мобильной компьютерной техники. Всего каких–то семь лет назад Интернетом и платежными системами пользовались, по большей части, так называемые продвинутые пользователи, которые при случае могли сами настроить программы. Но теперь таких пользователей — меньшинство. А подавляющее число потенциальных клиентов не знает и не желает знать, что такое «асимметричный ключ» или «персональный сертификат». И как его подключить к браузеру.
Видимо, чтобы не терять массового клиента, банки и платежные системы пошли по самому простому пути, снизив уровень безопасности своего софта. Тем более что это снижение — только потенциальное, клиент его не замечает. Но вот долго ли будет работать такой подход?
Сдается, эта тенденция к снижению безопасности — временная. Ведь на корпоративном рынке, где услугами удаленного управления финансами пользуются профессионалы, уровень безопасности программного обеспечения не только не снижается, но, напротив, растет. На массовом же рынке тон задает огромное количество «новых» пользователей, еще не разобравшихся в ситуации и не осознавших те реальные опасности, которые могут угрожать их финансовым средствам при удаленном управлении.
Пока что эта группа пользователей готова принять дополнительные «удобства» пользования софтом, происходящие за счет снижения уровня безопасности. Просто в силу того, что это снижение для них не очевидно. Рынок удаленного управления финансами относительно молод, а средние остатки на личных банковских счетах и в «электронных кошельках» не превышают сотен или даже десятков долларов. Так что вряд ли злоумышленники будут прилагать серьезные усилия для кражи паролей к копеечным накоплениям. Но как только речь пойдет о тысячах (а это случится в уже обозримом будущем), ситуация резко изменится. Хакеры и кардеры переключатся с кражи номеров кредиток на кражу паролей (что, кстати, технически намного проще), а платежным системам срочно придется поднимать безопасность пользовательского софта до уровня середины 90–х годов.
Система защитит
Замена концепции персонального ключа привычными логином и паролем — закономерный шаг в развитии массовых платежных сервисов. Она лежит в рамках глобальной тенденции перехода к мобильным и унифицированным методам авторизации пользователя. И крупнейшие мировые платежные системы, и корпоративное ПО банк–клиент, и розничные решения по дистанционному управлению счетов в банке — все они постепенно отказываются от криптографических решений, которые эволюционно не прижились на рынке, поскольку оказались малоэффективными и неудобными для массового пользователя.
На сегодняшний день подавляющее большинство технологических решений в области дистанционного доступа идентифицирует пользователя по логину и паролю, перекладывая на пользователя сохранность этих данных. Практика показывает, что такое решение обеспечивает необходимую безопасность для розничных сервисов.
Безусловно, в целом упрощение идентификации понижает безопасность клиента точно так же, как наличие кредитной карты понижает безопасность банковского счета, к которому она привязана. Но платежные системы — и карточные, и онлайн — охотно идут на это, развивая концепции, обеспечивающие защиту клиента силами системы.
Для карточных систем эта функция реализована, например, в возможности владельца карты затребовать возврат денег, списанных, по его мнению, необоснованно. Для систем интернет–платежей наиболее перспективным направлением в этой области мне представляется идея скоринга, анализирующего поведение и параметры клиента. Подобное интеллектуальное решение применяется в системах Деньги@Mail.ru и MoneyMail и позволяет моментально отреагировать в случае, если пользовательское поведение, потребительские предпочтения или технические параметры подключения претерпели существенное изменение.
Алексей Басов, генеральный директор платежной системы MoneyMail.