Карл Шкафиц - Omert@. Руководство по компьютерной безопасности и защите информации для Больших Боссов

Главное преимущество при использовании электронных кошельков — их очень неплохая защищённость и анонимность. Это программное обеспечение разрабатывалось именно для онлайновых платежей, и в нём используется несколько различных степеней защиты как самых кошельков, так и операций, проводимых с их помощью.

В России активно используются две подобные системы — Webmoney и Яндекс.Деньги. Обе они защищают кошелёк пользователя и паролем, и парой ключей, которые хранятся на компьютере пользователя или на любом внешнем носителе. В Webmoney также есть возможность защиты секретного ключа от попыток украсть его через Интернет, а также отдельная специальная защита всех видов операций.

Кроме того, и это бывает актуальным для многих пользователей, электронные платежные системы могут быть обезличенными — то есть ты при их использовании не обязан сообщать свои реальные ФИО. Правда, в этом случае многие возможности систем становятся недоступными, но для оплаты чего-то через Интернет их можно использовать безо всяких проблем.

Меры безопасности при работе с обычным (неэлектронным) банкингом не напрямую связаны с тематикой данной книги, которая в основном затрагивает вопросы защиты именно электронной информации, однако я, подумав, решил всё-таки вставить эту маленькую главу, потому что данные советы всё-таки относятся к защите информации как таковой. Итак, несколько полезных советов по работе со своим банковским счётом...

1. В большинстве европейских и наших, американских банков есть услуга «подтверждение голосом» - используй её. Твой западный банкир будет твоим ангелом-хранителем и никогда не проведёт платёж, если в твоём голосе будет чувствоваться сладостное томление от ректального подогрева, трепетно сделанного паяльником или утюгом.

2. Самый надёжный и единственный абсолютно невскрываемый шифр, от которого отказались из-за проблем с доставкой обеим сторонам, — это одноразовые шифровальные блокноты. У тебя нет проблемы встречи с банкиром — используй этот метод, если банк поддерживает его. Тебе дают таблицу с кодом каждого последующего платежа — который подтверждает трансакцию номер 888. Для следующей он уже не сработает. Перехват или прослушка бесполезны. (Аналогичный метод, как ты помнишь, используется для эффективной защиты электронных платежей.)

3. Если работаешь по факсу, создай свою систему нумерации платёжных поручений и меняй её как минимум раз в год. Например 10001, 10002, 10016 в этом rоду и 201, 202, 279 в следующем.

4. Никогда не давай партнёрам копию международных платёжных поручений. Не искушай их желанием попробовать отправить это поручение ещё раз. Ограничься копией SWIFT телеграммы. Тем более, что солидный партнёр всегда сможет проверить факт такого платежа и оценить твою продвинутость.

5. Не рисуй SWIFT references на лазерном принтере. Это легко проверить, и ты будешь выглядеть полным кретином. И быть им.

б. Путешествуя, не отправляй платёжки или номер своей кредитной карточки факсом через reception отеля. Факс имеет память как минимум на сорок сообщений. Отправь факс сам через программу (например, Winfax), инсталлированную на зашифрованном диске своего лаптопа.

7. Не храни выписки в открытом доступе. Глупо уповать на швейцарскую банковскую тайну, если выписки валяются в столе у твоего бухгалтера. Храни Господь «Локхид» и Мартина Рича — они были Большими Боссами.

8. Не выбрасывай слипы от кредитной карты где попало, не оставляй в ресторане детализированный чек, ограничиваясь слипом по трансакции, и не печатай электронные чеки на сетевые принтеры в отелях и даже у себя в офисе. Не оставляй сохранённые слипы в открытом доступе на незашифрованном диске — не искушай программиста или судьбу. (В то же время не носи домой или в бухгалтерию детализированный счёт — даже гаремная жена догадается с кем ты был, если счёт состоит из одного бифштекса, тайского салата из креветок, десерта haute cousine и бутылки розового шампанского. Никто не поверит, что друг детства Гоша перешёл со «Столичной «на винтажный «Кристаль».)

9. Не получай выписки по почте или по электронной почте. Запрашивай их регулярно с курьерской доставкой (хотя таможня регулярно вскрывает DHL Express) или (аллилуйя!) получай их лично. Веб-интерфейс в данном случае лучше и конфиденциальнее E-mail (разумеется, при наличии защищённого соединения).

Нужно очень чётко понимать, что любая информация, появившаяся в Интернете, остается там фактически навсегда (если говорить о более или менее нам доступных периодах будущего). Масса пользователей со страшной силой «следят» в Интернете, оставляя там о себе совершенно конфиденциальную информацию, собрать которую воедино и идентифицировать её с конкретным человеком под силу не только сотруднику спецслужб, но и любому пользователю, который обладает логическим мышлением и хоть чуть-чуть разбирается в том, что такое поиск в Сети.

Вот пример. Есть у меня один знакомый — достаточно солидный бизнесмен. Бизнес у него хорошо налажен, и знакомый имеет возможность два-три часа в день посвящать Интернету, каковому занятию он и отдаётся с большим удовольствием. Больше всего он любит несколько тематических форумов, где является завсегдатаем, на которых весьма активно обсуждает всевозможные проблемы: от чисто личных до деловых. На вопрос, не боится ли он сообщать о себе в Сети всякие весьма личные сведения, знакомый наивно ответил, что никто в Сети не знает, кто он такой, поэтому все его откровения — чистая абстракция. После этого мне пришлось провести небольшyю демонстрацию...

В течение примерно двух-трех часов я, во-первых, нашёл, на каких форумах он бывает и под какими псевдонимами, но главное — я не поленился и в течение ещё пары часов по его высказываниям с этих форумов составил на него подробное досье с четким указанием, из чего сделаны те или иные выводы. Понятно, что я о нём и так много чего знал, однако технология поиска и составления досье базировалась на вполне элементарных данных, которые при желании мог узнать каждый: его ФИО, дата рождения, имя жены, название фирмы, где он работает, место проживания и так далее. Когда знакомый увидел, сколько информации он выдал о себе, а главное — насколько цельная картина получается, если всю эту информацию собрать с разных форумов и сложить, как мозаику, то просто офонарел. Потому что он весь был — как на ладони. Причем, что интересно, я ему также показал, как по всем этим данным можно произвести обратную экстраполяцию — в том же Интернете найти его реальные ФИО, название его фирмы, его домашний и рабочий адреса. Это оказалось настолько до отвращения просто, что знакомый потом неделю пытался убрать всевозможные свои данные из Интернета, но с этим, увы, уже большие проблемы. Если данные регистраций на форумах ещё как-то можно подкорректировать, то всякие свои «изливания души» убрать не получится (за редкими исключениями). Равно как ни одна оффлайновая фирма не будет держать список купленных клиентом книг по баллистике, токсикологии, мастерству куннилингуса и анальному массажу, а интернет-магазин — запросто и навсегда. Ещё пример. Другой мой знакомый на свою частную веб-страничку, на которой вообще не бывала ни одна живая душа, выложил некий документ — только для того, чтобы его прочитал один его деловой партнер. Знакомый кинул партнеру ссылку на этот документ в Сети, тот текст прочитал. После этого текст с сайта был убран.