Наконец, можно взломать самого эмитента/ acquirer'а, особенно если в системе присутствует множество независимых игроков, чьи серверы разрабатываются самостоятельно, без лицензирования. Это одно и тоже, что произойдет, если банкоматы будут ставить не только банки, а все желающие. Появятся не просто банкоматы, а агрегаты, собранные и спроектированные по усмотрению его создателя. Даже если создатель "банкомета" честный инженер и никаких закладок там нет, вполне вероятно всплытие дыр.Наконец, не стоит списывать со счета уже упомянутое мошенничество и простое попрошайничество.

     Выявим  наиболее слабые места  в безопасности электронной платежной системы WebMoney.

     1.2 Структура WebMoney.

     Количество  существующих электронных платежных  систем огромно: Common Electronic Purse Specification (CEPS), European Electronic Purse (EEP), Mondex, Proton, Visa Cash, WorldPay, Globe ID Payment System, Millicent, NetBill, Mandate II, eCheck, BidPay, BillPoint, Q-Pass, i-Escrow, CyberCash, EDI Messages, Opening Buying on the Internet (OBI), Internet Open Trading Protocol, Java EC Framework и т.д. В России наиболее популярна WebMoney Transfer (далее для краткости - WebMoney), созданная московской компанией "Вычислительные Силы", корни которой уходят далеко за рубеж в штат Делавэр. Система была создана еще в 1998 году, как раз во времена пресловутого кризиса, и за минувшее время охватила не только СНГ, но и более отдаленные страны. Система поддерживает рублевые, долларовые, евро- и гривновые кошельки. Самый популярный из них- долларовый.

     Строго  говоря, неправильно называть WebMoney "электронной платежной системой", так как это система учета имущественных прав. Учет ведется в виртуальных единицах (условно они приравниваются к рублю, доллару, евро и гривне соответственно), которые находятся на счетах пользователей. Сама система обеспечивает только передачу единиц от одного пользователя к другому, а специальные финансовые институты ("гаранты") обязуются выкупить (погасить) электронные единицы в момент требования. Поскольку юридический статус WebMoney до сих пор не определен. WebMoney функционирует лишь благодаря сложившемуся доверию к ней.

     Центром системы является оператор (контора "Вычислительные силы"), который  всего лишь предоставляет технические  инструменты для учета (серверы  и клиентское программное обеспечение), а ввод-вывод электронных денег из системы осуществляют ее партнеры - гаранты, за которых она несет моральную ответственность и не выбирает кого попало. Оператор контролирует финансовые операции внутри системы (переводы с одного кошелька на другой), а гаранты обеспечивают перевод электронной наличности в ту или иную валюту и наоборот.

     1.21 Посредники

     Помимо  гарантов, в системе существует множество  независимых игроков, например обменных пунктов. Они нужны связи с  тем, что планка минимальной суммы, которую можно перевести через гарант, поднялась до $10 000. Для большинства пользователей системы это неприемлемо, поэтому гаранты и обзаводятся независимыми дилерами. С другой стороны, если получать зарплату в WebMoney, то разумно находить знакомого, предпочитающего делать покупки из интернет-магазинов, и обмениватьWebMoney на доллары или рубли по своему собственному курсу. Т.к. обменники есть не везде, вполне вероятно, что тем кому нужны электронные деньги, выгоднее приобрести на месте

     Вывод денег из системы (то есть перевод электронных единиц в доллары или рубли) также очень сложен требует времени. "Официальный" сервис в лице https://wire.exchanger.ru предлагает выставить заявку, в ней указать свою контактную информацию и условия обмена, оплатить страховой взнос (2% от суммы) и ждать, пока кто-то не заинтересуется им. Встречная сторона тоже оплачивает страховой взнос и в течение двух дней осуществляет банковский перевод на счет получателя указанной суммы и в затребованной валюте. После подтверждения успешности перевода через сайт exchanger'а электронный кошелек отправителя "автоматически" пополняется нужным количеством единиц (с вычетом комиссии 0,8%). В противном случае устраиваются разбирательства с привлечением администратора, который выступает "независимым" арбитром. Не проще ли воспользоваться кредиткой? Вставить в ближайший банкомат и получить свои деньги. А здесь же нужно выставлять заявку,  идти в банк.

     Также есть трудность с конвертация  одного типа валюты в другой. Прямые операции между кошельками разных типов невозможны. Однако есть ситуации, когда, есть долларовый кошелек, но получатель принимает платежи только в рублях. Необходимо либо искать демократичный обменник, либо долго ждать на бирже, пока кто-нибудь не заинтересуется предложением. Но здесь исчезает главное преимущество электронных денег - простота и прозрачность использования.

     1.22 Безопасность и анонимность.

     Для работы с электронными деньгами пользователю предлагается либо установить специальное  программное обеспечение Keeper Classic, либо осуществлять все расчеты через браузер Keeper Light. Вопреки расхожему мнению, Keeper Light не использует ActiveX, то есть не является программой, а ограничивается одними "сертификатами", которые поддерживают практически все браузеры и под операционную систему Windows, и под LINUX. Электронный кошелек в обоих случаях хранится в специальных файлах (.kwm/.pwm и .p12/.pfx), которые могут быть размещены и на сменном, и на постоянном носителе. Keeper Light плюс носитель с ключом обеспечивают доступ к кошельку из любого места, где только есть интернет. Правда, потребуется быстрый канал (Keeper Light просто интенсивно раходует трафик), а сервисные возможности будут весьма ограничены. Keeper Classic более функционален, но работает только с того компьютера, на котором был установлен. Что не удобно, т.к. получаеться электронный кошелек размером с компьютер. Также невозможно дома использовать Classic, во всех остальных местах - Light. Со своим кошельком можно работать только тем Keeper'ом, в котором он был зарегистрирован.Восстановление доступа к своему кошельку в Classic Keeper после переустановки операционной системы по силам только углубленному в информационные технологии пользователю. 

       Для хранения файлов электронного кошелька есть несколько вариантов, каждый  со своими недостатками.о. Винчестер - не слишком надежное место. Он может отказать, любой хакер может стащить/уничтожить кошелек (впрочем, если хакер внедрился в систему, он все равно стащит его). Сменные носители также не очень надежды. Flash-брелки легко потерять, диски без толку занимают привод, дискеты покрываются BAD-секторами без видимых причин. В итоге, удобно, но все равно ненадежно.

     Анонимность - это одновременно преимущество и проблема. Если кто-то ищет хакера для создания нового вируса, то обе стороны, естественно, хотят остаться в тени и осуществить перевод так, чтобы никто не знал, откуда он и куда. Но никаких гарантий, что оплата пройдет, естественно, не существует. Заберут товар и не оплатят. Как потом искать? В обычной жизни анонимность платежей только создает проблемы. Именно по этой причине разработчики WebMoney придумали систему аттестатов. Раздачей аттестатов занимается Центр Аттестации (http://passport.webmoney.ru) и уполномоченные им лица (аттестаторы или регистры), которых насчитывается с полсотни.

     1.23 Аттестаты.

     Существуют  аттестаты различных уровней. "Аттестат псевдонима" выдается всем, кто зарегистрируется в системе. Формальный аттестат - всем, кто пожелал предоставить информацию о себе в Центре Аттестации. Начальный и Персональный аттестаты выдаются только за деньги (электронные) и только после проверки всех сведений Аттестатором. Как правило, требуют показать паспорт при личной встрече или выслать нотариально заверенное удостоверение. Стоимость аттестации колеблется от 5-ти до 20-ти долларов. Еще существуют аттестаты продавца/разработчика, регистратора, гаранта, оператора, но ими мало кто пользуется.

     Можно ли подделать аттестат? Чисто теоретически есть возможность, так как это  обычный сертификат, заверенный цифровой подписью. В данной области криптографы совершили прорыв еще лет пять назад, к тому же аппаратные мощности за последнее время значительно возросли. Также можно пойти и по другому пути. Если сотрудники МВД неоднократно были замешаны в выдаче поддельных паспортов, то получить сомнительный  аттестат можно куда за меньшее вознаграждение: с юридической точки зрения это не есть документ, и его "подделка", равно как и халатность, не будет сочтена преступлением при проверке регистрационных сведений. К тому же аттестаторы - не эксперты по безопасности, и внедрить на их компьютер программу, выдающую аттестаты от их имени, способно большинство хакеров. Достаточно просто вступить в переписку по e-mail,  украсть из заголовка IP, запустить сканер безопасности и убедиться, что у них стоит незалатанная Windows с дырами IE.

     Аттестаты придуманы только для самоуспокоения и для честных людей. До тех  пор, пока аттестат не будет признан  юридическим документом (если когда-нибудь это время наступит, то нескоро), от виртуальных платежей лучше воздержаться. Риск нарваться на мошенника слишком велик, тем более что практически всегда можно найти альтернативные способы оплаты (наложенный платеж, кредитные карты и т.д.). Основное отличие кредитной карты от WebMoney состоит в том, что если по твоей кредитке будет сделана покупка, которую ты не совершал, с высокой степенью вероятности банк все-таки вернет деньги, а сотрудники WebMoney только разведут руками.

     1.24 Вердикт.

     Очень часто пользователи системы WebMoney оказываются в ситуации: есть деньги, но нет возможности воспользоваться ими, а для платежной системы это фатально. Невозможность оплатить счет, быстро ввести или вывести деньги из системы равносильна их отсутствию. WebMoney требует глубокой начальной подготовки, которая опять-таки неприемлема для нефинансовых работников. Многие не хотят разбираться, как все это работает, кто такие обменники/биржи и где их искать. Человек имеет деньги и хочет совершить покупку, не вставая со своего кресла. Возможно ли это? В общем случае - нет и еще раз нет! Платежи через WebMoney имеют крайне ограниченную сферу применения и крайне небезопасны. Разработчики однозначно не знают, как создаются и взламываются защитные механизмы, поэтому кража электронных денег не представляет никакой проблемы. Опытный мошенник легко обчистит кошельки и в считанные минуты выведет деньги из системы так, что их будет не вернуть.  
 
 
 
 
 
 

     3. Рейтинг безопасности электронных платежных систем.

     Вопрос  безопасности электронных денег  всегда был и остается одним из основных факторов, которые сдерживают развитие этого рынка. В рейтинге будет  тестироваться четыре основные российские платежные системы, чтобы определить, какая из них самая надежная.

     Методика  оценки  четырех систем (Webmoney, «Яндекс.Деньги», CyberPlat и E-Port) будет производиться  по одним и тем же критериям, каждому из которых соответствует определенная шкала оценок. Сами же системы на выходе будут ранжироваться по совокупному количеству баллов, набранных в ходе каждого испытания.

     Оценка будет  по многоуровневой системе, которая включает вложенные параметры. Все эти критерии относятся к сфере информационной безопасности.. Два основных критерия: техническое обеспечение информационной безопасности платежей и организационно-правовое обеспечение. Под вторым подразумеваеться в первую очередь уязвимость платежной системы мошенничеству, фишингу и т.д. Каждый из двух этих параметров будет оцениваться по трехбалльной системе. Шкала оценок именно такая, так как нынешнее развитие электронных платежных систем в нашей стране находится на таком уровне, что большинство их параметров можно описать лишь словами «да» или «нет». Соответственно, если система электронных платежей максимально соответствует какому-либо параметру, она получает высший бал (3), если совсем не соответствует - минимальный (0). Если в системе данного критерия в его явном виде нет, но если присутствуют какие-то сервисы или возможности, связанные с отсутствующим, присуждаем промежуточный бал - единицу или двойку. Какая именно из этих двух оценок будет выбрана, зависит от того, насколько конкретный дополнительный параметр связан с «исходным» критерием.

     Оценивая  системы электронных платежей, не стоит забудывать о том, что при  разных условиях значения одного и  того же параметра не одинаковы. Например, несколько сервисов, которые солидно повышают уровень защиты, могут быть реализованы пользователем только добровольно, дополнительно - ценно само наличие этих сервисов в системе. Человеческий фактор никто не отменял и никогда не отменит, поэтому будет учитываться, что сервис может быть как реализован, так и не реализован. Поэтому стоит, ввести весовой коэффициент для каждого параметра: для обязательных сервисов -«1», а для сервисов, которыми пользуются только добровольно, — «0,5».

     3.1 Техническое обеспечение безопасности транзакций

     Это первый из критериев — набор параметров, обеспечивающий, техническую сторону  защиты информации. В этот параметр включены: криптографические методы шифрования, аутенфикация и доступ при помощи специального аппаратного обеспечения (в самом примитивном случае — с помощью USB-ключей).

     Ни  для кого не секрет, что основным критерием защиты информации в техническом  плане является, конечно, шифрование данных, а конкретнее - криптографические  алгоритмы, с помощью которых  они реализованы. Известно также, что чем больше длина ключа, тем труднее расшифровать его и, соответственно, получить доступ к конфиденциальной информации. Три из «испытуемых» систем используют широко известный и широко уважаемый алгоритм RSA: Webmoney, «Яндекс.Деньги», Cyberplat. В E-Port применяется шифрование через SSL-протокол версии 3.0. Фактически шифрование реализовано с помощью SSL-ключей, которые уникальны и генерируются во время сессии, поэтому и названы сеансовыми ключами. Длина SSL-ключа в системе E-Port варьируется в пределах от 40 до 128-ми бит, что, по оценкам экспертов, вполне достаточно для приемлемого уровня безопасности транзакций.

     В системах Webmoney, «Яндекс.Деньги» и Cyberplat,  для шифрования данных используется криптографический алгоритм RSA. При этом системы используют ключи разной длины. К примеру, в Webmoney и «Яндекс.Деньги» применяется ключ длиной 1024 бита (очень высокий показатель, взломать такой ключ методом простого перебора практически невозможно), а в Cyberplat используется ключ в два раза короче — 512 бит. Соответственно, для первых двух систем по этому критерию получаем максимальный балл — 3. Cyberplat, из-за того что применяет ключ шифрования меньшей длины, получает два балла. Остается только оценить по этому параметру E-Port.