Система электронных платежей

В итоге можно сказать, что электронные деньги при всей перспективности идеи все таки оставляют  множество дыр. Они не обеспечивают ни удобства, ни прозрачности, ни универсальности, ни надежности оплаты. Иметь пару кошельков  с небольшими суммами для оперативных  расчетов целесообразно, по крайней  мере, потому что какой-то конкретный товарищ может предложить расчет только по WebMoney или все другие способы оплаты окажутся еще менее приемлемыми.

1.1 Устройство  электронных платежных систем.

При всем многообразии электронных  платежных систем, присутствующих на рынке, им присуще некоторые общие  черты. В каждой системе присутствует как минимум плательщик (payer) и получатель (payee). Перемещение денег от плательщика к получателю обеспечивается определенной последовательностью действий - протоколом электронного платежа. Теоретически обе стороны могут связываться и напрямую (современный криптографический аппарат позволяет это), но практически такая схема оказывается ненадежной и приходится вводить так называемые "финансовые институты", которые соотносят электронный перевод с реальным перемещением денежных средств. В роли "финансового института" могут выступить и банк, и любая другая уважаемая контора, которой доверяют участники обмена. Кстати, банки очень настороженно относятся к рискованным экспериментам с виртуальной наличностью. В основном финансовыми институтами становятся сами разработчики платежных систем, которые в принципе не способны обеспечить все электронные единицы живыми деньгами. Налицо превышение эмиссионного права. Чтобы хоть как-то сгладить углы и удержать систему от падения, привлекаются дополнительные игроки...

Финансовый институт, принимающий  денежные средства от плательщика, называется эмитентом (issuer). Институт, передающий их получателю, - эквайр (acquirer). Эмитент и acquirer могут осуществлять перевод любым платежным протоколом, и даже быть единым, обслуживающим и плательщиков, и получателей.

Если все собрано в  одно, платежная система называется централизованной, что, во-первых, означает постоянный "перегруз" центрального сервера, во-вторых - подрыв доверия  к системе (возможность оппортунистического  поведения). Вот почему центральный  финансовый институт обычно делегирует часть своих прав сторонним конторам, контролируя их деятельность или  не контролируя. В  контроле есть как  положительные так и отрицательные  стороны. "Полоожтельные "в том что центр в ответе за все: если эмитент скрылся с чужими деньгами, их оплачивает "материнская" организация. С другой стороны, в такой системе задавлена инициатива и отсутствует конкуренция, значит, спектр предоставляемых услуг невелик...

Если контроль отсутствует, работать с электронными деньгами может  любой желающий. Добиваться одобрения "центра" необязательно, и потому можно вводить любые услуги, лишь бы существовал спрос. Ценой за это  становится отсутствие каких бы то ни было гарантий. Если вас кто либо обманул, можно обращаться только в  прокуратуру, но добиваться возврата наличности от других участников рынка бессмысленно (хотя в условиях свободного рынка  обязательно появятся лица, которые  предложат услуги подобного рода, так что ситуация не совсем безнадежна).

В банковском мире действует  первая схема. Центробанк следит за всеми  коммерческими банками и в  случае малейших подозрений немедленно устраивает разбирательства. А если банк, в который положены деньги, вдруг пропал, все долги перебрасываются  на Центробанк. Но и спектр предоставляемых  услуг остается на недоразвитом уровне, так как он контролируется Центробанком. Электронные платежные системы  могут использовать либо первую, либо вторую схему, либо их комбинацию. Тогда  на рынке будут присутствовать и "доверенные" конторы, и "серые" участники, которым люди доверяют только на свой страх и риск.

В любой платежной системе  обязательно должен присутствовать арбитр (Arbiter) - независимое лицо, решающее спорные вопросы и зарабатывающее за счет комиссионных сборов. Если в платежной системе арбитра нет или его "независимость" декларирована лишь условно, то такая системы слишком небезопасна.

Платежи могут быть прямыми  или непрямыми. Прямой платеж подразумевает  непосредственную связь плательщика  с эмитентом и получателем, а  получателя - с плательщиком и acquirer'ом. Плательщик передает получателю денежные средства, эмитент списывает эту сумму с его счета, acquirer начисляет ее на счет получателя. Классический пример прямого платежа - чек.

Существуют и непрямые системы, в которых плательщик связывается  только с эмитентом, а получатель - только с acquirer'ом. Именно по этой схеме работает телеграфный перевод, для которого не требуется, чтобы обе стороны в момент оплаты находились в онлайне. К тому же непрямые системы защищены намного надежнее, чем прямые.

Большинство электронных  платежных систем используют гибридную  модель, чтобы унаследовать сильные  стороны обоих схем и практически  полностью ликвидировать их недостатки. Самый больной вопрос - безопасность. Электронная наличность может храниться  как на центральном сервере владелицы  платежной системы, предоставляя пользователям  уникальный пароль (что-то вроде комбинации цифр от сейфа или связки ключей), так и непосредственно у самих  участников платежа, например на smart-картах или в хитроумно зашифрованных  файлах. С точки зрения безопасности, первый способ намного предпочтительнее: т.к. максимально затрудняет генерацию  фальшивых денег и в случае обнаружения кражи пароль на "сейфе" может быть быстро изменен, однако вернуть  назад smart-карту уже невозможно.

Тем не менее, электронные  деньги чрезвычайно уязвимы. Начнем с клиентского компьютера. Если хакер  сумеет внедрить на него собственную  программу, он запросто выгребет весь электронный кошелек подчистую. Также возможно попытаться перехватить  канал связи плательщика и  получателя/эмитента, взяв под контроль один из промежуточных серверов. Впрочем, скорее всего это ничего не даст, так как протокол обмена изначально разрабатывается устойчивым к перехвату (во всяком случае, теоретически). А  вот внедрение подложного эмитента может дать положительный результат. Его можно осуществить, например, путем "подмятия" DNS-сервера с последующим перенаправлением клиента на хакерский узел. Во многих платежных системах предусмотрена авторизация клиента сервером, но отсутствует авторизация сервера клиентом. . Чтобы подключиться к серверу, клиент должен знать некоторую уникальную информацию (пароль), а сервер ничего не должен ему. И отличить "левый" сервер от "правого" в этом случае невозможно.

Наконец, можно взломать самого эмитента/ acquirer'а, особенно если в системе присутствует множество независимых игроков, чьи серверы разрабатываются самостоятельно, без лицензирования. Это одно и тоже, что произойдет, если банкоматы будут ставить не только банки, а все желающие. Появятся не просто банкоматы, а агрегаты, собранные и спроектированные по усмотрению его создателя. Даже если создатель "банкомета" честный инженер и никаких закладок там нет, вполне вероятно всплытие дыр.Наконец, не стоит списывать со счета уже упомянутое мошенничество и простое попрошайничество.

Выявим наиболее слабые места  в безопасности электронной платежной  системы WebMoney.

1.2 Безопасность и анонимность.

Для работы с электронными деньгами пользователю предлагается либо установить специальное программное  обеспечение Keeper Classic, либо осуществлять все расчеты через браузер Keeper Light. Вопреки расхожему мнению, Keeper Light не использует ActiveX, то есть не является программой, а ограничивается одними "сертификатами", которые поддерживают практически все браузеры и под операционную систему Windows, и под LINUX. Электронный кошелек в обоих случаях хранится в специальных файлах (.kwm/.pwm и .p12/.pfx), которые могут быть размещены и на сменном, и на постоянном носителе. Keeper Light плюс носитель с ключом обеспечивают доступ к кошельку из любого места, где только есть интернет. Правда, потребуется быстрый канал (Keeper Light просто интенсивно раходует трафик), а сервисные возможности будут весьма ограничены. Keeper Classic более функционален, но работает только с того компьютера, на котором был установлен. Что не удобно, т.к. получаеться электронный кошелек размером с компьютер. Также невозможно дома использовать Classic, во всех остальных местах - Light. Со своим кошельком можно работать только тем Keeper'ом, в котором он был зарегистрирован.Восстановление доступа к своему кошельку в Classic Keeper после переустановки операционной системы по силам только углубленному в информационные технологии пользователю. 

 Для хранения файлов  электронного кошелька есть несколько  вариантов, каждый  со своими  недостатками.о. Винчестер - не слишком надежное место. Он может отказать, любой хакер может стащить/уничтожить кошелек (впрочем, если хакер внедрился в систему, он все равно стащит его). Сменные носители также не очень надежды. Flash-брелки легко потерять, диски без толку занимают привод, дискеты покрываются BAD-секторами без видимых причин. В итоге, удобно, но все равно ненадежно.

Анонимность - это одновременно преимущество и проблема. Если кто-то ищет хакера для создания нового вируса, то обе стороны, естественно, хотят  остаться в тени и осуществить  перевод так, чтобы никто не знал, откуда он и куда. Но никаких гарантий, что оплата пройдет, естественно, не существует. Заберут товар и не оплатят. Как потом искать? В обычной  жизни анонимность платежей только создает проблемы. Именно по этой причине разработчики WebMoney придумали систему аттестатов. Раздачей аттестатов занимается Центр Аттестации (http://passport.webmoney.ru) и уполномоченные им лица (аттестаторы или регистры), которых насчитывается с полсотни

Заключение.

Состояние рынка платежных  систем сегодня можно охарактеризовать как «в начале бурного развития». Электронные платежи - это закономерный этап в развитии телекоммуникаций. Востребованность высока в тех нишах, где есть полноценный продукт - цифровой товар, чьи свойства хорошо "накладываются" на свойства онлайнового платежа: моментальность оплаты, моментальность доставки, простота и безотзывность. Как электронная почта избавляет от необходимости ходить на почту для отправки писем, так и электронные платежи экономят время и усилия. Также электронные платежи востребованы для оплаты маленьких сумм, т.к. у кредитных карт велика стоимость транзакций.

Очевидно, что скорость распространения  электронных платежей зависит не только от развития самих платежных  систем, но и от расширения доступа  населения к интернету. Сейчас в  России интернет-пользователей более 20-ти миллионов, из них половина пользуется сетью не реже раза в неделю и чуть больше четверти - ежедневно. Рост аудитории интернета - четыре-пять миллионов пользователей в год. Пользователи чаще обращаются к интернету, и, что еще более важно, обращение к сети психологически становится даже проще, чем звонок по телефону. Естественно, все это стимулирует рост платежных систем. В ближайшие годы вполне реальны ежегодные приросты в несколько раз.

Но рост рынка электронных платежей будет сдерживать безопасность, т.к. взлом электронной платежной  системы – это не миф, а суровая  реальность. Обезопасить себя на 100% нельзя, даже если вы эксперт по безопасности. Всегда существует риск подхватить вирус  через еще не известную дыру в  операционной системе или браузере. Если от потери оперативных данных на винчестере спасет резервирование, от раскрытия конфиденциальных данных – физическое отключение интернета  от сети, то от кражи электронных  денег не спасет ничто.

Список литературы.

1. Журнал Хакер.Спец. 12(61) декабрь 2005.
2. Учебник Электронная коммерция. И.Т. Балабанов П. 2001
3. http://www.xakep.ru
4. www.goldcity.ru
5. www.wfin.ru
6. www.emoney.ru/esystem