Взгляд в будущее
Программное и аппаратное обеспечение для защиты соединений и приложений в Интернет разрабатывается уже давно, хотя внедряются новые технологии несколько неравномерно.
Одна из причин такого положения — производители еще не достигли согласия по вопросу, где в сети следует использовать криптографические протоколы. Различные сетевые компоненты - рабочие станции, Web-серверы, Web - браузеры и прочие приложения, а также коммуникационные протоколы, порождают свои собственные варианты, многие из которых охватывают только часть рынка.
Решающее влияние на выбор (или, по крайней мере, доминирование) каких-то определенных стандартов окажет рынок, а не усилия органов стандартизации, таких как IEFT. Принятие разработчиками сложившихся стандартов (например, ранних версий SSL) и образование союзов между разработчиками покажут, какие протоколы, скорее всего, станут популярными.
Современное состояние безопасности в электронной коммерции
(выдержки из отчета фирмы "Эрнст энд Янг" о проблемах мошенничества в электронной коммерции, выпущенного в 1999 году).
Источник: http://univermag.com.ru/
Мошенничество с кредитками в Интернет - серьезная, и, по большей части, недооцениваемая проблема. О ней много говорят как об угрозе для безопасности потребителей, однако фактически, американские потребители рискуют немногим: по федеральным законам, их максимальная ответственность ограничивается $50 - хотя и это не останавливает множество credit card - компаний от эксплуатации фобии мошенничества при продвижении различных "схем защиты", которые дают небольшую (если вообще дают какую либо) дополнительную защиту.
Реальный риск лежит на продавцах (мерчантах, купцах). Они несут главную ответственность за мошеннические трансакции онлайн. "Уроком является то, что продавец практически не защищен". Сredit card компании не только мало помогают, - говорят продавцы, - но и вообще отрицают существование этой проблемы. Об Интернет говорят как о месте, где кто угодно может брать номера Ваших карточек. Но в реальности, именно продавцам приходится "проглатывать" стоимость мошенничества.
Спросите у кредитных ассоциаций, таких, как Visa и MasterCard о проблеме мошенничества с кредитками в Интернет - и Вы получите совершенно невразумительный ответ. "Всегда найдутся люди, пытающиеся создать из этого видимость проблемы" - говорят они - "У нас нет проблем с мошенничеством".По их словам, существует небольшая разница между соотношением мошеннических действий при традиционных трансакциях лицом к лицу (face-to-face), по почте, по телефону, или онлайн. "В процентном отношении доля мошенничества почти одна и та же, и составляет менее 0.09%" - утверждают представители этих фирм. Представители American Express (AXP) вообще отказываются обсуждать тему мошенничества - будь то офф- или онлайн.
Однако, истории, рассказываемые многими продавцами и аналитиками индустрии, говорят совершенно о другом.
Исследования на эту тему редки. Некоторые исследования проводились компаниями, специализирующимися на security software, и, по этой причине, заинтересованных в раздувании проблемы. Однако, предварительные данные, собранные Internet Fraud Prevention Advisory Council, ("nonprofit" организации продавцов и производителей софта, сформированной в октябре 1999 года), говорят о соотношении мошенничества от 2% - в одних товарных категориях, до 40% - в других. Интервью с десятками продавцов и аналитиками индустрии подтверждают корректность этих цифр.
Например, такой гигант как Amazon.com
(AMZN) признает серьезность этой проблемы. Amazon заявляет, что его " способность противостоять мошенничествам со стороны третьих сторон, совершаемым посредством credit card - трансакций" является одним из ключевых факторов, влияющих на результаты деятельности компании.
Даже низшая планка опубликованных цифр представляет собой значительные суммы потерь, способных опустошить продавцов. Уровень мошенничества в 2% в 20 раз превышает оценки Visa и MasterCard. В розничном бизнесе, где маржа - тоньше бритвы, 2% продаж могут составлять половину прибыли компании. Вдобавок к потерянным продажам, продавцы (пострадавшие!) платят штраф за каждый возврат, возмещение владельцу карточки за неавторизованную продажу. Если возвраты становятся частыми, мерчент платит повышенную комиссию за трансакции, или теряет эту услугу вообще. "Это - область, в которой, если не взять ее под контроль, можно остаться без штанов" - сказал Greg Drew, президент компании, продающей электронику.
Не только торговцы говорят о реальности проблемы онлайнового мошенничества. Гиганты сredit card индустрии, такие, как First Data (FDC), которая обслуживает более 2 млн. торговцев, говорят об усиливающейся угрозе для торговцев в электронной коммерции. Хотя рискуют все из них, наиболее уязвимы, по иронии, малые и средние - по причине отсутствия ресурсов для привлечения помощи. Многие обвиняют всю систему, как бы выстроенную против них.
Мошенничество в Интернет может принимать различные формы. Наиболее популярной является кража идентифицирующей информации, когда воры собирают персональную информацию - имена, адреса, номера социального страхования и другую важную информацию, а затем заказывают карточки под этими именами. В недавнем, получившим широкое освещение случае, мошенники похитили из файлов Конгресса персональную информацию более 7,000 работников Департамента обороны, включая нескольких высокопоставленных офицеров, а затем незаконно заказали карточки.
Тогда как кражи такого типа - вещь не новая, Интернет значительно облегчил этот способ. Хакеры и кракеры внедряются на сайты, хранящие эту информацию. В некоторых случаях преступники притворяются легитимными онлайновыми торговцами, и самостоятельно собирают информацию у ничего не подозревающих покупателей.
Действительные (воспринимаемые как истинные) номера карточек могут быть так же автоматически сгенерированы. Интернет обвешан хакерскими сайтами, предлагающими софт для генерации кажущихся настоящими номеров. Т.н. "credit card generators" используют сложный алгоритм создания номеров, в которых первые четыре цифры соответствуют "валидным" цифрам банков-эмитентов. Генераторы "выплевывают" 12 дополнительных цифр, которые, при проверке, "соответствуют" параметрам валидных карточек. Даже если даже никакой банк никогда не эмитировал карточку с этим сгенерированным номером, часто credit card системы их авторизируют.
Есть и еще "старый проверенный" способ: карточки похищаются в физическом мире, и используются для покупок онлайн.
Продавцы и индустриальные группы говорят, что мошеннические Интернет-заказы можно разделить на две категории: товары, которые можно легко обменять на наличные, и трансакции, не требующие физической доставки. В первую категорию попадают такие товары, как потребительская электроника, бриллианты и подарочные сертификаты. Во вторую - "downloadable" софт, и подписка на сайты "для взрослых. Danni Ashe, президент Danni's Hard Drive, сайта "для взрослых" с ежегодным доходом около $6 млн., говорит, что его компания имеет значительные проблемы с мошенничеством. Практически 100% трансакций, происходящих из некоторых "заокеанских" стран - мошеннические. Такие заказы поступают из вполне определенных географических райнов. Примечательно, что все заказы, поступившие из нескольких зон Нью-Йорка, были мошенническими.