Статьи Новости Контакты

28.05.2008
Игорь Крейн

Защита от несанкционированного доступа в Rupay

изучение защиты от несанкционированного доступа к средствам пользователей системы Rupay

Rupay

Как мы выяснили недавно на примерах программных и онлайновых клиентов систем электронной наличности WebMoney и "Яндекс.Деньги", популярность таких систем не имеет прямой связи с обеспечением ими защиты денежных средств пользователей. Например, люди с легкостью доверяют свои сбережения "Яндекс.Деньгам", хотя толковому злоумышленнику значительно легче добраться до этих денег, нежели до средств, хранящихся в WM-кошельках.

Помимо WebMoney и "Яндекс.Денег" существуют и другие системы аналогичной направленности, ориентированные на русскоязычных пользователей. Возможно, они не столь популярны, однако нам ничто не мешает выяснить, каким образом в этих системах реализована защита от несанкционированного доступа к средствам клиентов: вдруг мы, увлекшись удобством и широтой использования тех же "Яндекс.Денег", оставили без внимания более надежные способы оплаты в Интернете?

Одной из таких систем является Rupay, введенная в эксплуатацию в том же году, что и "Яндекс.Деньги", и совсем недавно переименованная в RBK Money. На данный момент зафиксировано более четверти миллиона пользователей Rupay, что, с одной стороны, нельзя назвать огромным достижением (в WebMoney Transfer примерно в 20 раз больше регистраций), но с другой — с таким количеством людей нельзя и не считаться.

Система Rupay надежно защищена со стороны сервера, а обмен данными шифруется 128-битным ключом
Попытаемся узнать, насколько были правы эти 250 с лишним тысяч человек, доверивших свои деньги этой системе. Как и прежде, мы сосредоточим свое внимание лишь на защите системы со стороны пользователя. Конечно, со своей стороны создатели системы предприняли все необходимые меры: база данных не имеет прямого доступа в Интернет, серверы надежно охраняются физически, а обмен данными по сети шифруется 128-битным ключом. Но взломать такого рода защиту способны считанные единицы; большинство же охотников за легкой наживой предпочтут стричь "капусту" с конечных пользователей. С миру по нитке — голому костюм от Армани.

На первый взгляд Rupay чем-то напоминает "Яндекс.Деньги". Здесь также существует только одна валюта, которая соответствует российскому рублю. А управление своими средствами, как и в "Яндекс.Деньгах", осуществляется через браузер ("Интернет.Кошелек", по всей видимости, можно в расчет не брать, поскольку "Яндекс" всячески поощряет именно онлайновые расчеты, отодвигая программный клиент на второй план).

Регистрация в Rupay
Регистрация

При регистрации система требует от пользователя ввода следующих данных: действующий e-mail-адрес; фамилия, имя и отчество; страна и город проживания; дата рождения; пароль входа; пароль платежа; ответ на контрольный вопрос, который пригодится, в случае если понадобится восстановить утраченный пароль (в качестве вопросов предлагаются на выбор четыре стандартных варианта вроде "девичья фамилия матери", а также секретное слово). При желании можно также указать свой телефон.

Для полного доступа к средствам требуется ввести два пароля
Среди всех этих полей нас в первую очередь интересуют, конечно же, пароли. Здесь тоже можно обнаружить сходство с "Яндекс.Деньгами": один пароль требуется для входа в систему, второй — для совершения денежных операций. Такой подход позволяет защитить свои средства от злоумышленника сразу двумя числовыми последовательностями, что уже неплохо.

Конечно, пользователь — тоже человек, а значит, вполне может забыть один или оба пароля. Поэтому в Rupay имеются возможности по восстановлению доступа пользователя к своим деньгам. Это хорошо для пользователя, но хорошо и для злоумышленника, который может попытаться выдать себя за человека, позабывшего пароли и желающего их "вспомнить".

Восстановление пароля входа в Rupay
Восстановление пароля входа

Итак, если человек забыл пароль входа, то для восстановления доступа ему понадобится указать в соответствующей форме дату своего рождения; если эта дата совпадает с той, что была указана при регистрации, то ему по электронной почте высылается письмо с новым, сгенерированным системой паролем (позднее его можно будет поменять на свой). Дату рождения трудно назвать секретной информацией (если, конечно, заведомо не указать в системе ложные данные, что имеет как свои плюсы, так и свои минусы), так что для получения пароля входа злоумышленнику понадобится, по сути, взломать ваш почтовый ящик.

Для восстановления обоих паролей требуются доступ к зарегистрированному e-mail и знание дополнительной информации
Если он справится с этой задачей, то сможет увидеть, сколько у вас имеется денег на счету, но вывести их из системы у него еще не получится: для этого ему потребуется пароль платежа. Чтобы его получить, понадобится знание ответа на контрольный вопрос — и, в общем-то, больше ничего, поскольку после правильного ответа на этот вопрос система высылает пин-код для задания нового пароля на тот же e-mail-ящик. Вот почему выбирать один из стандартных контрольных вопросов нежелательно, а лучше воспользоваться возможностью указания секретного слова (которое, конечно же, лучше не забывать).

Восстановление пароля платежа в Rupay
Восстановление пароля платежа

Отдельного упоминания заслуживают прочие обязательные поля, которые были введены при регистрации в Rupay. С одной стороны, в них желательно вводить достоверную информацию, поскольку они необходимы для прохождения процедуры аттестации пользователя в системе (речь идет о документальном подтверждении личности). С другой стороны, аттестация — вещь сугубо добровольная, и всеми основными функциями платежной системы можно пользоваться и без нее. Однако аттестованный пользователь имеет возможность быстрее восстановить доступ, в случае если он, к примеру, забудет ответ на контрольный вопрос.

Во всей этой схеме есть не до конца продуманные моменты. Во-первых, в интерфейсе совершенно не предусмотрена возможность изменения каких-либо данных, помимо двух паролей. Общение со службой поддержки выявило, что, для того чтобы изменить неверно указанные при регистрации имя или дату рождения, следует написать электронное письмо по соответствующему адресу. Но это еще полбеды. Хуже то, что адрес электронной почты, играющий, как мы видим, ключевую роль, является фактически логином пользователя (в качестве альтернативы можно логиниться по номеру телефона). И изменить его, как выяснилось в том же разговоре с оператором службы поддержки, в принципе нельзя. Таким образом, если вы теряете доступ к электронной почте, вам придется заводить новый аккаунт. Впрочем, не исключено, что и эту проблему, включающую, возможно, спасение зависших на старом аккаунте средств, можно будет решить в индивидуальном порядке — вопрос только, каких усилий и какого количества времени это потребует.

Опциональная защита по IP находится в зачаточном состоянии
Но система защиты пользовательских средств в Rupay не ограничивается лишь парой паролей. При желании можно воспользоваться функцией защиты по IP-адресу. Функция эта, к сожалению, реализована на рудиментарном уровне: при ее включении система запоминает текущий IP-адрес, под которым вы вышли в Сеть, и следит за тем, чтобы каждый следующий вход в систему производился с того же IP. Поскольку далеко не каждый компьютер подключается к Интернету с постоянным IP, во многих случаях эта функция окажется невостребованной.

Защита по IP в Rupay
Защита по IP

Если человек, компьютеру которого провайдер выделяет случайный IP-адрес из диапазона адресов, включит защиту по IP, ничего особо страшного не случится: на e-mail ему будет выслано письмо с пин-кодом для снятия блокировки. Следует, однако, иметь в виду, что и против злоумышленника эта защита тоже действует весьма условно, поскольку ее обход осуществляется получением контроля над все тем же ящиком электронной почты.

Злоумышленник, завладевший зарегистрированным в системе почтовым ящиком, может наделать много бед
Подведем итоги. Взломав почту пользователя системы Rupay (ту самую, которая была указана в качестве логина), нехороший человек при благоприятных для него обстоятельствах может довольно-таки легко добраться до чужих электронных денег. Для этого ему понадобится знать дату рождения пользователя и ответить на секретный вопрос. С датой рождения он, скорее всего, разберется довольно быстро, ну а с вопросом, возможно, придется слегка повозиться: в большинстве случаев нужно будет указать девичью фамилию матери пользователя, кличку его собаки, номер паспорта или любимое блюдо.

Судя по информации, размещенной на официальном сайте системы, в настоящий момент Rupay готовится полноценно стартовать в новой ипостаси — RBK Money. Не исключено, хотя и необязательно, что к этому торжественному моменту систему модернизируют не только внешне, но и в техническом плане. Ну а пока тем, кто желает зарегистрироваться в Rupay, можно посоветовать следующее. Во-первых, завести себе надежный почтовый ящик специально для этой регистрации и не пользоваться им для каких-либо иных целей, чтобы не "светить" его почем зря. Таким образом, от злоумышленника фактически будет скрыт также и логин к системе. Во-вторых, аттестацией имеет смысл пожертвовать, указав заведомо ложную дату рождения (дата, однако, должна быть такая, чтобы ее можно было легко вспомнить при необходимости). Наконец, стоит либо проигнорировать стандартные контрольные вопросы, указав секретное слово, либо, опять же, указать "неправильный" ответ на контрольный вопрос (который тоже нельзя забывать). Ну и, наконец, все ваши пароли тоже не должны легко угадываться — это самое главное правило.




Скоро на сайте

  • Wordpress

    Серия статей о плагинах к движку WordPrress
  • AJAX

    Проекты и продукты, ориентированные на AJAX
  • Новые сервисы Google

    Обзор новых сервисов Google
 

Copyright © 2003—2018 Все права защищены

При использовании материалов сайта ссылка на hostinfo.ru обязательна

  • хостинг от .masterhost
  • Rambler's Top100