Брюс Шнайер - Секреты и ложь. Безопасность данных в цифровом мире

Рейтинг:

• 60
• 1
• 2
• 3
• 4
• 5

Название:

Секреты и ложь. Безопасность данных в цифровом мире

Автор:

Брюс Шнайер

Издательство:

Питер

Жанр:

Прочая околокомпьтерная литература

Год:

2003

ISBN:

ISBN 5-318-00193-9

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Секреты и ложь. Безопасность данных в цифровом мире"

Описание и краткое содержание "Секреты и ложь. Безопасность данных в цифровом мире" читать бесплатно онлайн.

Следующий, более сложный пример: электронная система платежей, основанная на использовании смарт-карты, на которой ведется баланс средств. (Их часто называют «электронным бумажником» – stored-value cards.) Некоторые такие карты уже опробованы на практике: система Mondex (а также MasterCard), VisaCash (испытана во время летних Олимпийских игр 1996 года в Атланте), Banksys's Proton. Мы рассмотрим некую абстрактную карту, не вникая в детали этих систем. Назовем нашу гипотетическую систему Plasticash.

Основная идея Plasticash состоит в том, чтобы использовать ее в денежных расчетах. Специальные терминалы станут неотъемлемой частью деловой жизни: они появятся в банках, в магазинах, будут присоединены к компьютерам, подключенным к Интернету. Когда покупатель захочет купить что-либо (или, в более общем смысле, просто перевести деньги кому-нибудь), они с продавцом вставят свои карты Plasticash в устройство чтения и записи и переведут деньги. (У продавцов, возможно, будут специальные карты, постоянно находящиеся в считывающем устройстве.) В банке или с помощью банкоматов можно будет как пополнить средства, находящиеся на карте, так и перевести их с карты на банковский счет. Обратите внимание: двум картам не обязательно находиться рядом друг с другом, достаточно соединить их по телефону или с помощью модема.

Такие карты обладают тем преимуществом, что они не обязательно должны работать в режиме онлайн, то есть находиться на связи с каким-либо центральным сервером где бы то ни было. (При использовании обычных платежных карточек торговый автомат обязан связаться с банковским компьютером в режиме реального времени.) Их недостаток состоит в том, что утрата или повреждение карты означают потерю денег.

Plasticash, как и всякая другая система электронных платежей, должна будет иметь полный набор средств защиты и использовать криптографию, меры компьютерной безопасности, средства защиты от подделки, возможности контроля и что угодно еще. Она будет обеспечивать необходимый уровень целостности данных, конфиденциальности, анонимности и т. д. Мы не будем вдаваться в подробности. Давайте рассмотрим варианты нападений на подобную систему в принципе.

В функционировании системы Plasticash участвуют три стороны: клиент, продавец и банк. Поэтому существуют три схемы взаимодействия между участниками расчетов:

• Банк – клиент. Клиент снимает деньги на свою карту.

• Клиент – продавец. Клиент переводит деньги со своей карты на карту продавца.

• Банк – продавец. Продавец вносит полученные деньги на свой банковский счет.

В первой части этой книги рассказывается о преступлениях, которые, возможно, будут совершаться и в сфере Plasticash: это кража денег, ложное обвинение, нарушение тайны частной жизни, вандализм и террор, а также разглашение сведений. Система Plasticash должна предусматривать меры противодействия использованию ее для подготовки других преступлений, таких как отмывание денег. Приготовления к преступлению трудно определить точно, представления об этом могут меняться при каждом пересечении границы государства и даже после каждых новых выборов. Также неясно, насколько законы и обычаи различных стран способны противоречить друг другу. Например, на международной арене принятые в США требования к финансовой отчетности могут восприниматься как нарушение швейцарских законов, охраняющих тайну банковской деятельности.

Когда мы говорим о мошенничестве со стороны банков, мы не обязательно имеем в виду, что речь идет о банковской «империи зла». Такие преступления могут совершаться отдельными мошенниками, работающими в заслуживающем уважения банке. Вообще, мы чаще имеем дело с мошенничеством клиентов и продавцов (отдельных мошенников, принятых на эту работу), поскольку теоретически банки в силах позволить себе лучшие механизмы и меры безопасности, а возможные потери в связи с ущербом репутации от нападений на банковские системы очень велики.

Итак, первый вид преступлений – это кража. Существует несколько способов похитить деньги с Plasticash. Ими могут воспользоваться как клиенты, так и продавцы:

• Взломать карту, чтобы прибавить себе денег. Это также можно осуществить несколькими способами, наиболее очевидный путь – добраться до устройства, регистрирующего находящуюся на карте сумму.

• Можно таким же образом увеличить или уменьшить размер платы за покупку.

• Можно научиться создавать или имитировать новые карты и изготовить фальшивые Plasticash, которые будут функционировать, как настоящие. Фальшивая карта не обязательно даже должна быть похожа на оригинальную: мошенник может пользоваться ею только при покупках в Интернете или переводить деньги с фальшивой карты на настоящую, с которой и будет производить платежи.

• Можно научиться клонировать карты. Мошеннику понадобится завладеть на время настоящей картой, чтобы сделать клон, после чего ее можно будет вернуть владельцу. (Успешные преступления такого рода уже совершались с канадскими банковскими карточками, и в 1999 году некоторые из мошенников были арестованы. Жулик-продавец ухитрялся в считанные секунды клонировать карту, использовавшуюся покупателем для расчетов.)

Вот способы мошенничества, используемые клиентами:

• Отрицать сделанные покупки. Это старый прием, состоящий в том, чтобы приобрести что-либо дорогостоящее, заявить о краже карточки и опротестовать произведенные платежи. Есть новый вариант этого метода – прикинуться дураком в свое оправдание, заявляя, например, следующее: «Visa виновата в том, что я потерял все свои деньги в азартных играх онлайн; это произошло не по моей вине». Такое мошенничество проводится на законном административном уровне. С чем бы мы ни имели дело – с чеками, кредитными картами, дорожными чеками и чем угодно еще, – всегда найдутся люди, не желающие платить по счетам и утверждающие, что они не расходовали этих денег.

• Можно договориться с кем-нибудь о том, что он заявит о похищении своей карты, и получить ее дубликат. Такого рода жульничества также распространены во многих сферах и не ограничиваются системой Plasticash.

Виды мошенничества, доступные лишь продавцам:

• Принять платеж и отказаться передать покупку. Защита карты не будет препятствием для такого обмана, предотвратить его можно лишь с помощью административных мер и установленных законом процедур.

• Получить доступ к карте покупателя и произвести серию несомненно действительных переводов на свой банковский счет. Это очевидный способ мошенничества. Преступник попытается перевести деньги и затем быстренько снять их со счета.

• Повторить перевод денег. Продавец может каким-либо способом сделать так, что покупатель заплатит двойную цену.

Наконец, мошенничества, доступные банкам:

• Отказаться перевести в Plasticash сумму, которую внес клиент. Противодействовать этому можно только с помощью административных мер и регистрации банковских операций: клиент сумеет доказать незаинтересованной третьей стороне, что его обманули, если будет правильно организовано ведение записей.

• Прикарманить деньги, переведенные клиентом с Plasticash для занесения на его счет. Иначе как административными методами противодействовать этому нельзя.

Все эти мошенничества могут совершаться также в сговоре двух (или трех) сторон. Трудно представить какой-либо другой вид надувательства, которое могут совершить вместе покупатель с продавцом, но в зависимости от степени защищенности системы вероятны такие виды преступлений, которые будут успешны, если они действуют сообща, и обречены на провал при попытке осуществить их в одиночку. Кроме того, нетрудно представить себе преступления, совершаемые людьми, прикидывающимися обслуживающими терминал лицами или телефонистами.

Второй вид преступлений представляет собой ложное обвинение (клевету или шантаж). Их способны совершить как покупатель, так и продавец:

• Покупатель может заявить, что у продавца недействительная карта Plasticash (или неправильно функционирует терминал). То же самое может заявить и продавец относительно карты покупателя. Это мошенничество следует пресекать административными мерами.

Также вероятен шантаж со стороны банка:

• Можно подделать карту клиента (или продавца) и выдвинуть против него ложное обвинение. Весьма правдоподобно, что если банк выпускает карты, то для него не проблема и подделывать их. Приятно ли будет клиенту узнать, что в его карте числятся расходы на проституток?

Третий вид преступлений – это нарушение тайны частной жизни. Это происходит, когда кто-либо сообщает третьей стороне конфиденциальную информацию о некотором лице без его согласия. В зависимости от местного законодательства такие действия не везде считаются преступлением. Если разработчики Plasticash хотят, чтобы система распространилась по всему миру, имеет смысл составить перечень этих действий и не обращать на них внимания, если они считаются законными (и не причиняют никому вреда).