27 август 2020
Либертариум Либертариум

Лицензия ФАПСИ не является гарантией отсутствия воровства

Лицензия ФАПСИ не является аргументом в реальном споре, а носит скорее политический характер. Лицензия ФАПСИ не спасает ни от хакеров, ни от недобросовестных работников, ни от плохой архитектуры системы, ни от плохого алгоритма и пр...

В репликах Московского Либертариума появилось довльно-таки странное и вместе с тем забавное сообщение агентства Интерфакс:

Гендиректор "Юнион Кард" заявляет, что скандал с Europay пошел на пользу российской компании

Москва. 27 декабря. ИНТЕРФАКС-АФИ -- Генеральный директор одного из крупнейших на российском карточном рынке процессингового центра "Юнион Кард" Федор Наумов считает, что скандал в связи с мошенничествами по картам международной платежной системы Europay пошел на пользу российской компании.

По его словам, "Юнион Кард" провела "серьезное внутреннее расследование, за два месяца был проведен огромный объем работы, и порядка с точки зрения управления стало в 10 раз больше". Ф.Наумов подчеркнул, что ранее "Юнион Кард" получила "самую широкую лицензию ФАПСИ". "С такой лицензией обвинения в том, что из-за ненадежности нашей системы кого-то обокрали, просто смешны", -- заявил он в интервью газете "Известия", которое будет опубликовано во вторник.

Гендиректор "Юнион Кард" подчеркнул, что у ФАПСИ "гораздо более жесткие и серьезные стандарты и требования к защите информации, чем у американцев". Глава российской компании заявил о поддержке "политики ФАПСИ, которое противодействует проникновению на рынок иностранных криптографических систем, поскольку защита информации является делом национальной безопасности".

Генеральный директор процессинговой компании "Юнион Кард" Федор Наумов утверждает, что в Europay International не правы, лишив их лицензии на процессинг операций по картам Europay через банкоматы, поскольку у них стоит защита от ФАПСИ, следовательно их система самая надежная,  и обокрасть их просто не могут. Может быть, в Интерфаксе что-то перепутали, " выдрав" реплику из контекста? Но, пролистав газету и наткнувшись на интервью с генеральным директором процессинговой компании,  я в очередной раз убедилась в профессионализме Интерфакса.

Федор Наумов в интервью газете "Известия" (28 декабря 1999г.) утверждает, что "скандал носит политическую окраску" и наезды на них связаны исключительно с тем, что "никому не удалось ... выпустить более 2 миллионов карт" и  ""Юнион" -- единственная общенациональная система, ну, может быть за исключением "Золотой Короны"". На просьбу корреспондента "Известий" прояснить ситуацию с проведенным компанией "ПрайсУотерхаусКуперс" техническим аудитом, который -- по непроверенным данным --  может способствовать приостановке лицензии Europay, интервьюируемый ответил следующим образом: "Судя по настрою специалистов, которые у нас работали, отзыв должен быть положительным. Если информация о итогах аудита появляется где-то за пределами Europay, значит она ворованная". Слово "ворованная" в данном контексте означает истинная? Ежели бы информация была ложной, то зачем ее воровать, я так понимаю. Мне вообще плевать, что ворованная. Для меня, как держателя карты системы Europay, эмитированной отечественным банком, который -- не дай бог! --  имеет процессинг в "Юнион Кард", важно знать, смогу ли я ей воспользоваться в ближайшее время или нет, а не читать, что 3% бизнеса "Юнион" приходится на платежную систему Europay, что для этой компании несущественно.

Заявления Наумова по поводу того, чем Федор Наумов подтверждал в интервью надежность системы "Юнион Кард", лучше меня комментирует ген. директор фирмы "ЛАН-Крипто" Анатолий Лебедев.

"У нас самая широкая, насколько мне известно, лицензия ФАПСИ..." Звучит довольно-таки глупо. Лицензия ФАПСИ по закону может быть на распространение, реализацию или эксплуатацию шифровальных средств. Они могут обладать лицензией ФАПСИ, как пользователи программно-аппаратных средств. 

"С такой лицензией обвинения в том, что из-за ненадежности нашей системы кого-то обокрали просто смешны." Его утверждения выглядят чушью. В лицензии нигде не сказано, что обокрасть их не могли. Нигде в лицензии не сказано, что шифровальные средства надежны. Если посмотрите на любой сертификат ФАПСИ на использование какого-то шифровального устройства, там бы нашли, что реализован такой-то алгоритм и по такому-то ГОСТу, но нигде не сказано что алгоритм хороший, не сказано какая его стойкость, даже не сказано по каким правилам он реализован. Стойкость же показатель качества шифровальных средств государственных служб. У американцев показатель стойкости 264. Вот если бы ФАПСИ определило 2 в какой степепени...

Оправдания Наумова выглядит смешно -- фактически именно лицензия и является защитой. Самое поганое, когда напирают на патриотизм. Уж слишком Наумов напирает на патриотизм, "уж не жулик ли он"? В финансовых расчетах национальности не существует. Но говорить: поскольку мы дружим с ФАПСИ, у нас нет воровства?!

"У ФАПСИ гораздо более жесткие и серьезные стандарты и требования к защите информации, чем у американцев." У ФАПСИ требования к шифровальным средствам есть, но они нигде не опубликованы. Например, в типовых требованиях к заявителю на лицензию ФАПСИ есть пункт, по которому должны быть удовлетворены требования закрытого характера. Какие государственные тайны "Юнион Кард" защищает, там сплошные расчеты. Какие требования закрытого характера могут быть к этой системе?

У американцев, на мой взгляд, более жесткие требования в силу контроля за человеком. У них тратить бесконтрольно, как в России, просто невозможно. Разве что на проституток, в казино или расплачиваясь черным налом. Подовляющая же масса людей живет в кредит, а при жизни в кредит банки вынуждены знать буквально все о человеке, к тому же по несколько раз перепроверять. Технические же средства ничего не решают, тем более так как он говорит. Другими словами он говорит "Мне разрешили много чего, ну, как же меня могли обокрасть?!" или "Мне разрешили выступать в стриптизе, так что обвинения в обвешивании мною покупателей колбасы -- ложь"

"...политику ФАПСИ, которая противодействует проникновению иностранных криптографических систем..." Ложь. Не противодействует. В России пасутся швейцарцы, англичане и пр. со своей криптографией. Более того в российских законах не предусмотрено органа, который бы  пресекал использование "чужой" криптографии. Например, в банкоматах используется шифрование. А если банкомат европейской фирмы? У них же "своя" криптография, отнюдь не российская. А наши фирмы в результате политики ФАПСИ оказались в дурном положении.

На самом деле произошла следующая ситуация: компания Europay International обнаружила, что с помощью 214 карточек были совершены мошеннические операции, следы коих привели к процессинговому центру "Юнион Кард". (Замечу в интервью прозвучала цифра -- 120 карточек.) Europay попросил провести расследование в процессинговом центре Юнион Кард, но расследование не было проведено и не нашли "слесаря, который отвечает за технологию, давшую сбой". У Europay крадут деньги -- естественно, надо перекрыть канал утечки -- отобрать право у Юнион Кард обслуживать карточки Europay, что тут такого? Причем здесь политика? Причем здесь "широкая лицензия ФАПСИ", дающая системе "Юнион Кард" статус надежности? Международной компании нужно было найти, каким образом утекли деньги. Где дырка? И никакой политики здесь нет: если известно что деньги утекают через этот процессинговый центр, нужно пресечь канал утечки. Если вы обнаружили в кармане дырку, неужели вы его не зашьте и к тому же будете упорно класть в него деньги?

 Лебедева поддерживает Алексей Волчков (технический директор МТК-Мобайл)

А чего он оправдывается -- бьют не по паспорту, а по роже. Europay плевал на ФАПСИ, а "Юнион Кард" такие национал-патриоты, что... благодаря правильной политики ФАПСИ Россия отваливается от мирового сообщества. Федор Наумов же пытается отмыться на внутреннем рынке. Перефразирую слова генерального директора процессинговой компании так: "На каком основании меня Europay обвиняет в воровстве, если я пользуюсь шифровальными средствами ФАПСИ". Таким образом ФАПСИ не прошла сертификации Europay. 


Для желающих более детально ознакомится с конфликтом между Europay Int. и "Юнион Кард", ниже приводятся фрагменты статьи Екатерины Быстровой "Quid prodest?" (как можно украсть деньги с карт-счета в банкомате и кратко о процессинговой копании "Юнион Кард" после объявления о приостановке их лицензии на обслуживание карточек Europay). Полную версию статьи можно найти в последнем номере (#12) журнала "Мир карточек" за 1999г. 

Для того чтобы снять деньги с "карточного" счета в банкомате, нужно:
1. Иметь точную копию магнитной полосы.
2. Знать PIN-код.

Где можно узнать эту информацию? Только в банкомате. Однако банкомат имеет, образно выражаясь, две стороны. К нему можно подойти со стороны улицы и с помощью хитроумных дорогих устройств считать магнитную полосу и подсмотреть PIN-код. Здесь вступает в силу первая категория историй о мошенничествах -- захватывающая и трудноисполнимая.

Есть и другой вариант: узнать всю информацию "изнутри" банкомата, что может быть проще и доступнее... при условии, что где-то там сидит один (или несколько) человек и получает ее. Например, можно отключить криптографическую схему, которая шифрует PIN-код в банкомате, и тогда код будет поступать в процессинговый центр в незашифрованном виде. Микросхема с криптографическим ключом (SAM, Secure Authentication Module) должна быть сертифицирована ФАПСИ. Работать с банкоматом, в котором отсутствует такая микросхема, гораздо проще.

Есть и третий вариант, который пришелся по душе некоторым нашим коллегам: "Ловкие жулики умудряются украсть карточку в раздевалке спортивного зала, когда человек машет гантельками, за 10 минут сделать копию и вернуть ее на место. PIN-код можно узнать, просто заглянув через плечо будущей жертве, когда он или она снимает деньги в банкомате" [см. Беляков Д. Российские банкоматы в опасности. Московский экспресс. 1999. " 14]. Однако в данном случае (вспомним, что скомпрометировано как минимум 280 карточек, держатели которых разбросаны по всему свету) о таком варианте размышлять нет смысла. Остаются первые два варианта.

.....

Итак, следы привели нас к российской платежной системе Union Card. Эта система впервые появилась на российском рынке в 1993 г. Процессинговая компания Union Card является процессинговым центром этой платежной системы и сертифицированным провайдером сервисных услуг (Member Service Provider) в Europay. Она может обслуживать сразу несколько банков, обеспечивая им процессинг по карточкам Europay. В частности, система процессировала операции по карточкам Europay через банкоматы Автобанка и Альфа-банка.

Если на секунду представить себе, что мошенничество совершалось "изнутри" системы банкомат -- процессинг, то становится очевидным, что требования по безопасности не выполнялись либо банками, установившими банкоматы, либо той компанией, которая проводит процессинг по карточкам. Что касается банков, то и Europay, и VISA официально заявили, что два российских банка, задействованные в этом деле, соответствуют стандартам безопасности. В частности Тим Мерфи (Tim Murthy), старший вице-президент VISA СЕМЕА по управлению рисками, заявил, что VISA предъявляет жесткие требования к стандартам по обеспечению безопасности, регулярно проводит ряд мер по профилактике безопасности, периодически проверяет банки. В результате проверок часто выясняется, что банки иногда чрезмерно полагаются на продавцов оборудования и программного обеспечения для банкоматов. Также обстоит дело и с российскими банками. Все оборудование российских банков -- членов Europay и VISA сертифицировано этими платежными системами. Хотя, конечно, трудно предположить, что кто-нибудь отважится заявить, что микросхема SAM вообще отсутствовала в банкоматах, или, проще говоря, что банки не соблюдали элементарнейших мер безопасности.

По поводу Union Card руководство VISA официально заявило, что "процессинговая система Union Card никогда не была сертифицирована на проведение транзакций по картам VISA" [см. "Мир карточек". 1999. " 11]. Как утверждают представители Union Card, эта процессинговая компания не проводила транзакции по карточкам VISA, а выступала как "транзитная среда" для этих транзакций. Г-н Мерфи утверждает, что договоренности об операциях транзита по карточкам VISA не было. Мало того, он очень удивился, услышав на пресс-конференции 30 ноября 1999 г. такое понятие, как "транзитная среда". Подобная неосведомленность поражает. Со своей стороны Union Card всегда утверждала, что она транслировала транзакции VISA в России уже несколько лет, так как она является крупной платежной системой и каждая вторая транзакция проходит через "транзитную сеть" Union Card.

Автобанк предпринял ряд мер по стабилизации ситуации и усилению системы безопасности сети своих банкоматов. Эти меры согласованы с Europay, VISA и Union Card. Сейчас банкоматы Автобанка временно не принимают карточки сторонних эмитентов. Что касается карточек, эмитированных Автобанком, то у банка есть собственный процессинговый центр, который процессирует эти карточки. Кроме того, Автобанк собирается провести физическую замену криптографических ключей на 400 банкоматах по всей России. Это довольно серьезный комплекс дорогостоящих мероприятий, выглядящий по меньшей мере странно, если у банка все в порядке.

С другой стороны, Еuropay прямо заявила, что Union Card не выполнила требований безопасности платежной системы, хотя и была сертифицирована Europay. По мнению г-на Королева, компрометация карточек могла происходить и внутри процессингового центра Union Card, хотя пока еще не ясно, на каком этапе транзакции. В ответ процессинговая компания Union Card также выпустила официальное заявление для прессы [см. Мир карточек. 1999. " 11], в котором заявила, что считает меры про временному лишению компании права на процессирование операций по карточкам Europay через банкоматы вполне обоснованными. Union Card также принимает меры по усилению безопасности и, в частности, пригласила независимого аудитора для проверки процессинговой компании. Финансирует аудит Union Card.

В телефонном интервью "Миру карточек" заместитель генерального директора процессинговой компании Union Card Андрей Жабинский сказал, что прекращение операций по карточкам через ее банкоматы связано лишь с необходимостью подстраховаться, и аудиторская проверка нужна для того, чтобы доказать, что все меры безопасности были соблюдены. Г-н Жабинский заявляет, что крупного, запланированного мошенничества с пластиковыми карточками не было и не могло быть, так как все меры безопасности были соблюдены, и Union Card не имеет никакого отношения к тем карточкам, которые были скомпрометированы. Он полагает, что расследование должно быть проведено по каждому конкретному случаю мошенничества, так как единичные случаи мошенничества все же имели место. Однако, так как скомпрометированы были в основном иностранные карточки, которые побывали во многих странах, все обвинения, прямые или косвенные, в адрес Union Card не имеют под собой почвы.

.....

На самом деле схема мошенничества с международными карточками ничем не отличалась от мошенничества с карточками Union Card в декабре 1998 г. По имеющимся у нас сведениям, тогда прошло несколько мошеннических транзакций по карточкам этой платежной системы. Ни способ мошенничества, ни конкретные исполнители выявлены не были. Затем уже в 1999 г. по тому же сценарию были сняты деньги с "карточных" счетов держателей карточек международной платежной системы VISA [см. КоммерсантЪ-Daily. 1999. 19 ноября]. Люди, которые снимали деньги из банкоматов (не в России), были арестованы. Мошенники пользовались поддельными карточками со скопированной магнитной полосой, им был известен PIN-код. На вопрос об этом случае г-н Мерфи с трудом вспомнил, что "было несколько мошеннических операций", но сообщить подробности дела отказался.

[email protected] Московский Либертариум, 1994-2020