Kак украсть миллион
АрхивСпециально для "Компьютерры" из Объединенных Российско-Белорусских Эмиратов
Время обратить внимание на вызревание пачки проектов российского закона о цифровой подписи. Тем более и США, и ЕС поспешили соответствующие документы до конца года принять. Сколько российских проектов существует в природе, не берусь сказать, но вот один - находящийся на какой-то стадии внесения Правительством, дозрел до того, чтобы на него посмотреть [1].
Если б представить американский закон, европейскую директиву и сей билль на конкурс красоты, думаю, у последнего были бы хорошие шансы. Он компактен, и определения прописаны.
На первый взгляд, он даже кажется правильным: можно следовать процедуре централизованной сертификации ключа (Ст. 6), а можно - обычной, предусмотренной ГК процедуре установления договорного признания (Ст. 11-2). Сертификат содержит общепринятые поля, и законодательно запрещается без согласия владельца включать дополнительную информацию (Ст. 6). В качестве основной устанавливается процедура локальной генерации ключей (Ст. 8-2).
Вся эта косметическая красота не имеет никакого значения, поскольку в проект заложены две юридические "бомбы". Первая относится к лицензированию связанных с оборотом электронных деятельностей (старательно размазана по документу, но сводится к положению Ст. 8: "Уполномоченный федеральный орган определяется Правительством Российской Федерации"). Все рамки ГК и все обычаи делового оборота летят ко всем чертям.
Сертификация ключа - неважно, на бумаге или в электронной форме - типичная нотариальная процедура, и лицензироваться "удостоверяющие центры" должны, как и любые нотариусы, Минюстом и своими отраслевыми органами саморегулирования. Если решать будет сегодняшнее правительство, я предполагаю - безосновательно, просто глядя на портрет премьера, - что таким органом будет названо ФАПСИ.
Если замысел таков, то становится понятен смысл второй "бомбы". В Ст. 11 читаем: "отношения между пользователями электронной цифровой подписи устанавливаются договором, существенными условиями которого являются: сохранение сторонами в тайне... конструктивных особенностей средств электронной цифровой подписи".
Мы знаем, кто у нас разрабатывает "средства ЭЦП" под лицензией ФАПСИ - бывшие ГБшные институты и лавки, созданные для подкорма активного резерва ГБ. Этим положением открывается лазейка для встраивания "закладок" в "сертифицированные средства".
Здесь должна была следовать иллюстрация того, как выглядит оккупация - пока не страны, а одной отдельно взятой отрасли - банковской - стандартенфюрерами в штатском. Но в этот момент возник - к счастью для композиции этого эссе и к несчастью для соседней с банковской отрасли, ценнобумажной [2] - другой повод. Сразу несколько знакомых прислали мне ссылку на интервью, взятое Ольгой Проскурниной у начальника управления по работе с участниками фондового рынка Федеральной комиссии по рынку ценных бумаг (ФКЦБ) Елены Одягайло и опубликованное на сайте Gazeta.Ru.
Оно называется "Интернет-брокеры будут торговать с ведома ФАПСИ", и название очень точное, поскольку речь идет именно о том, что ведомство, занятое правительственной информацией (это П и И в аббревиатуре) будет, с подачи и при содействии ФКЦБ, контролировать инфраструктуру совершения частных сделок. Вообще-то, обычно такое положение дел называется фашизмом (Ф).
Очень точное название, поскольку Ф-суть новости завернута - по инерции или для маскировки - в либеральную фразеологию. Одягайло говорит: "Мы... ничего против электронных брокеров как таковых не имеем... ФКЦБ не будет вводить новые лицензии для интернет-брокеров, мы не имеем права этим [сбором информации о российских инвесторах, вкладывающих деньги в иностранные ценные бумаги] заниматься, да и не собираемся" и т. п. И даже: "ФКЦБ намерена выпустить письмо, предупреждающее российских инвесторов об возможности мошенничества со стороны электронных брокеров".
Этим бы и ограничиться, но в ФКЦБ теперь считают, что "программное обеспечение электронных брокеров обязательно должно иметь сертификат ФАПСИ".
Что это значит для брокера и его клиента?
А - Инвестор не сможет пользоваться стандартным, надежным и общедоступным [3] программным обеспечением для связи с брокером.
Б - Брокер не сможет воспользоваться стандартным, надежным и общедоступным (которое может быть также бесплатным [4]) программным обеспечением для организации и поддержки своего сайта.
В - И брокер, и инвестор вынуждены будут "отстегнуть" некоторую сумму [5] одной из коммерческих "крыш" бывшего 8-го ГУ КГБ СССР.
Г - В итоге они получат нестандартное и ни с чем не совместимое решение весьма сомнительной надежности [6].
Вышеупомянутые статьи вышеупомянутого закона могут набросить тот же рэкет на все онлайновые сделки, и тогда двум российским лицам будет намного проще заключить договор где-нибудь в Нью-Йорке, чем под родной и такой неласковой юрисдикцией.
Потом все это все равно придется менять, дабы под международные санкции не подпасть, но это потом, а до той поры стандартенфюреры свой миллион не упустят. И не один.
Тех, кому интересно про банки, за неимением места отсылаю к исследованию Алексея Волчкова "Электронные платежи от ГКЧП до наших дней" [7]. А здесь уместно лишь проиллюстрировать бардак, который после нашествия ФАПСИ на банкинг там царит.
Рассказываю. Приходит с адреса "Elena Elkina" <EElkina@renins.com> (не отзывающегося, как потом выяснилось) информационный пакет, и написано там, что "На российском рынке появилось страхование через Интернет". Что ж, дело хорошее, хотя на самом деле и не новое. Читаем дальше: "Про хакеров клиентам "Группы Ренессанс Страхование" можно будет забыть, поскольку все финансовые операции в виртуальном офисе будут проводиться в защищенной зоне - системе ASSIST КБ .Платина"". Ну, круто.
А дальше - еще круче: "Для шифрования информации... используется известный протокол SSL 3.0... Опустим здесь возможность взлома SSL... она, безусловно, есть".
Вот это уже совсем здорово. Неужели коллеги в "Ренессансе" или "Платине" сломали SSL? И почему их имена до сих пор не в строчках новостей ведущих агентств мира? И - главное - как согласуется это с "защищенной зоной", упомянутой выше?
Все оказалось до неприличия просто: когда я попытался связаться с сервером www.assist.ru по SSL, выяснилось, что сервер не поддерживает ни одного стойкого шифра, только 40-битные "дурки", оптимизированные для слежки.
1 (обратно к тексту) - Его можно найти на www.isn.ru/zakon или на www.libertarium.ru.
2 (обратно к тексту) - Черт с ним, с рынком ценных бумаг, понятно, что он у нас игрушечный, хотя сам факт, что эту витрину российского капитализма решили окончательно расколошматить, является симптоматичным. В конце концов, кому так уж нравится играть в азартные игры с государством - идите на Merrill Lynch (www.ml.com), они с декабря торгуют в Сети, а в американских депозитариях полно расписок на российские "голубые фишки", если так можно выразиться.
3 (обратно к тексту) - Бесплатное криптографически стойкое клиентское решение, позволяющее безопасно осуществлять транзакции через WWW - например, Netscape Communicator (www.netscape.com) + Fortify for Netscape (www.fortify.net).
4 (обратно к тексту) - Аналогичное серверное решение - например, Apache + SSLeah.
5 (обратно к тексту) - Под лицензией ФАПСИ не выпущено ни одного бесплатного функционального продукта.
6 (обратно к тексту) - На сегодня для экспертизы не доступны исходные тексты ни одного продукта, выпущенного под лицензией ФАПСИ, что не может не вызывать мысли о наличии уже сегодня в них "закладок" для обеспечения несанкционированного доступа.
7 (обратно к тексту) - "Мир карточек", .. 1,7, 1998 г.
