Архивы: по дате | по разделам | по авторам

Kак украсть миллион

Архив
автор : Максим Отставнов   14.12.1999

Специально для "Компьютерры" из Объединенных Российско-Белорусских Эмиратов


Время обратить внимание на вызревание пачки проектов российского закона о цифровой подписи. Тем более и США, и ЕС поспешили соответствующие документы до конца года принять. Сколько российских проектов существует в природе, не берусь сказать, но вот один - находящийся на какой-то стадии внесения Правительством, дозрел до того, чтобы на него посмотреть [1].


Если б представить американский закон, европейскую директиву и сей билль на конкурс красоты, думаю, у последнего были бы хорошие шансы. Он компактен, и определения прописаны.

На первый взгляд, он даже кажется правильным: можно следовать процедуре централизованной сертификации ключа (Ст. 6), а можно - обычной, предусмотренной ГК процедуре установления договорного признания (Ст. 11-2). Сертификат содержит общепринятые поля, и законодательно запрещается без согласия владельца включать дополнительную информацию (Ст. 6). В качестве основной устанавливается процедура локальной генерации ключей (Ст. 8-2).

Вся эта косметическая красота не имеет никакого значения, поскольку в проект заложены две юридические "бомбы". Первая относится к лицензированию связанных с оборотом электронных деятельностей (старательно размазана по документу, но сводится к положению Ст. 8: "Уполномоченный федеральный орган определяется Правительством Российской Федерации"). Все рамки ГК и все обычаи делового оборота летят ко всем чертям.

Сертификация ключа - неважно, на бумаге или в электронной форме - типичная нотариальная процедура, и лицензироваться "удостоверяющие центры" должны, как и любые нотариусы, Минюстом и своими отраслевыми органами саморегулирования. Если решать будет сегодняшнее правительство, я предполагаю - безосновательно, просто глядя на портрет премьера, - что таким органом будет названо ФАПСИ.

Если замысел таков, то становится понятен смысл второй "бомбы". В Ст. 11 читаем: "отношения между пользователями электронной цифровой подписи устанавливаются договором, существенными условиями которого являются: сохранение сторонами в тайне... конструктивных особенностей средств электронной цифровой подписи".

Мы знаем, кто у нас разрабатывает "средства ЭЦП" под лицензией ФАПСИ - бывшие ГБшные институты и лавки, созданные для подкорма активного резерва ГБ. Этим положением открывается лазейка для встраивания "закладок" в "сертифицированные средства".

Здесь должна была следовать иллюстрация того, как выглядит оккупация - пока не страны, а одной отдельно взятой отрасли - банковской - стандартенфюрерами в штатском. Но в этот момент возник - к счастью для композиции этого эссе и к несчастью для соседней с банковской отрасли, ценнобумажной [2] - другой повод. Сразу несколько знакомых прислали мне ссылку на интервью, взятое Ольгой Проскурниной у начальника управления по работе с участниками фондового рынка Федеральной комиссии по рынку ценных бумаг (ФКЦБ) Елены Одягайло и опубликованное на сайте Gazeta.Ru.

Оно называется "Интернет-брокеры будут торговать с ведома ФАПСИ", и название очень точное, поскольку речь идет именно о том, что ведомство, занятое правительственной информацией (это П и И в аббревиатуре) будет, с подачи и при содействии ФКЦБ, контролировать инфраструктуру совершения частных сделок. Вообще-то, обычно такое положение дел называется фашизмом (Ф).

Очень точное название, поскольку Ф-суть новости завернута - по инерции или для маскировки - в либеральную фразеологию. Одягайло говорит: "Мы... ничего против электронных брокеров как таковых не имеем... ФКЦБ не будет вводить новые лицензии для интернет-брокеров, мы не имеем права этим [сбором информации о российских инвесторах, вкладывающих деньги в иностранные ценные бумаги] заниматься, да и не собираемся" и т. п. И даже: "ФКЦБ намерена выпустить письмо, предупреждающее российских инвесторов об возможности мошенничества со стороны электронных брокеров".

Этим бы и ограничиться, но в ФКЦБ теперь считают, что "программное обеспечение электронных брокеров обязательно должно иметь сертификат ФАПСИ".

Что это значит для брокера и его клиента?

А - Инвестор не сможет пользоваться стандартным, надежным и общедоступным [3] программным обеспечением для связи с брокером.

Б - Брокер не сможет воспользоваться стандартным, надежным и общедоступным (которое может быть также бесплатным [4]) программным обеспечением для организации и поддержки своего сайта.

В - И брокер, и инвестор вынуждены будут "отстегнуть" некоторую сумму [5] одной из коммерческих "крыш" бывшего 8-го ГУ КГБ СССР.

Г - В итоге они получат нестандартное и ни с чем не совместимое решение весьма сомнительной надежности [6].

Вышеупомянутые статьи вышеупомянутого закона могут набросить тот же рэкет на все онлайновые сделки, и тогда двум российским лицам будет намного проще заключить договор где-нибудь в Нью-Йорке, чем под родной и такой неласковой юрисдикцией.

Потом все это все равно придется менять, дабы под международные санкции не подпасть, но это потом, а до той поры стандартенфюреры свой миллион не упустят. И не один.

Тех, кому интересно про банки, за неимением места отсылаю к исследованию Алексея Волчкова "Электронные платежи от ГКЧП до наших дней" [7]. А здесь уместно лишь проиллюстрировать бардак, который после нашествия ФАПСИ на банкинг там царит.

Рассказываю. Приходит с адреса "Elena Elkina" <EElkina@renins.com> (не отзывающегося, как потом выяснилось) информационный пакет, и написано там, что "На российском рынке появилось страхование через Интернет". Что ж, дело хорошее, хотя на самом деле и не новое. Читаем дальше: "Про хакеров клиентам "Группы Ренессанс Страхование" можно будет забыть, поскольку все финансовые операции в виртуальном офисе будут проводиться в защищенной зоне - системе ASSIST КБ .Платина"". Ну, круто.

А дальше - еще круче: "Для шифрования информации... используется известный протокол SSL 3.0... Опустим здесь возможность взлома SSL... она, безусловно, есть".

Вот это уже совсем здорово. Неужели коллеги в "Ренессансе" или "Платине" сломали SSL? И почему их имена до сих пор не в строчках новостей ведущих агентств мира? И - главное - как согласуется это с "защищенной зоной", упомянутой выше?

Все оказалось до неприличия просто: когда я попытался связаться с сервером www.assist.ru по SSL, выяснилось, что сервер не поддерживает ни одного стойкого шифра, только 40-битные "дурки", оптимизированные для слежки.



1 (обратно к тексту) - Его можно найти на www.isn.ru/zakon или на www.libertarium.ru.

2 (обратно к тексту) - Черт с ним, с рынком ценных бумаг, понятно, что он у нас игрушечный, хотя сам факт, что эту витрину российского капитализма решили окончательно расколошматить, является симптоматичным. В конце концов, кому так уж нравится играть в азартные игры с государством - идите на Merrill Lynch (www.ml.com), они с декабря торгуют в Сети, а в американских депозитариях полно расписок на российские "голубые фишки", если так можно выразиться.

3 (обратно к тексту) - Бесплатное криптографически стойкое клиентское решение, позволяющее безопасно осуществлять транзакции через WWW - например, Netscape Communicator (www.netscape.com) + Fortify for Netscape (www.fortify.net).

4 (обратно к тексту) - Аналогичное серверное решение - например, Apache + SSLeah.

5 (обратно к тексту) - Под лицензией ФАПСИ не выпущено ни одного бесплатного функционального продукта.

6 (обратно к тексту) - На сегодня для экспертизы не доступны исходные тексты ни одного продукта, выпущенного под лицензией ФАПСИ, что не может не вызывать мысли о наличии уже сегодня в них "закладок" для обеспечения несанкционированного доступа.

7 (обратно к тексту) - "Мир карточек", .. 1,7, 1998 г.



© ООО "Компьютерра-Онлайн", 1997-2021
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.