fbpx

Даже усиленную электронную подпись можно украсть

Интер­нет пода­рил нам боль­шие воз­мож­но­сти. При помо­щи него мож­но узнать любую инфор­ма­цию, купить авиа­би­лет, опла­тить ком­му­наль­ные пла­те­жи и нало­ги, заклю­чить тор­го­вый кон­тракт, продать/купить иму­ще­ство, осу­ществ­лять опе­ра­ции на бир­жах и т. д. Бумаж­ные доку­мен­ты и пас­пор­та заме­не­ны элек­трон­ны­ми вер­си­я­ми. Неска­зан­ный про­гресс и боль­шое удоб­ство. Но как все более выяс­ня­ет­ся, и огром­ная опас­ность. Не толь­ко мы узна­ем все из интер­не­та, но и интер­нет узна­ет о нас все.

Жули­ки за годы суще­ство­ва­ния сети непре­рыв­но совер­шен­ство­ва­ли свои схе­мы, исполь­зуя все мето­ды: игру на довер­чи­во­сти, кра­жу паро­лей, пере­пис­ки, взло­мы ком­пью­те­ров и пр. Одна­ко недав­но ста­ло про­ис­хо­дить нечто прин­ци­пи­аль­но новое. Без ведо­ма соб­ствен­ни­ков при помо­щи элек­трон­ных доку­мен­тов и элек­трон­ной под­пи­си ста­ли похи­щать квар­ти­ры. На днях в Москве про­изо­шла элек­трон­ная кра­жа недви­жи­мо­сти по ули­це Твер­ской. Как такое мог­ло про­изой­ти, и поче­му элек­трон­ная под­пись, при­зван­ная мак­си­маль­но защи­тить доку­мент, ока­за­лась бес­силь­ной?

Электронная кража квартир: новинки криминального бизнеса

Предыс­то­рия

Вла­де­лец жилья (назо­вем его Р.) слу­чай­но обна­ру­жил не свою фами­лию в пла­теж­ной кви­тан­ции и бро­сил­ся в Росре­естр. Там ему объ­яс­ни­ли, что он…подарил свою квар­ти­ру уфим­цу И. (маши­ни­сту по спе­ци­аль­но­сти). Послед­ний, есте­ствен­но, даже и не дога­ды­вал­ся, что стал обла­да­те­лем очень доро­гой сто­лич­ной недви­жи­мо­сти.

Все доку­мен­ты были пра­виль­но оформ­ле­ны через интер­нет на сай­те ЕГРН и под­пи­са­ны элек­трон­ной под­пи­сью. Так как пре­ступ­ни­ки обыч­но исполь­зу­ют мно­го­сту­пен­ча­тые про­да­жи, через какое-то вре­мя квар­ти­ру навер­ня­ка про­да­ли бы дру­го­му чело­ве­ку, и вер­нуть ее ста­ло бы про­бле­ма­тич­но. К тому же в таких “сдел­ках” от быв­ших хозя­ев мно­го­мил­ли­он­но­го жилья ста­ра­ют­ся поско­рее изба­вить­ся. Так что Р.  еще “повез­ло”, что его не убра­ли рань­ше, чем он обна­ру­жил эту афе­ру.

Вернут ли украденную квартиру

Это зави­сит от реше­ния ново­го соб­ствен­ни­ка: если он отка­жет­ся от “даре­ния”, жилье будет воз­вра­ще­но закон­но­му соб­ствен­ни­ку. А если нет? Пра­ва соб­ствен­ни­ков, у кото­рых отби­ра­ют жилье, у нас ведь не защи­ще­ны. Р. дол­жен дока­зать:

  • что он не дарил квар­ти­ру;
  • не оформ­лял дого­вор даре­ния на сай­те Росре­ест­ра;
  • нико­гда не полу­чал сер­ти­фи­кат циф­ро­вой под­пи­си (!).

Но как дока­зать, что элек­трон­ные доку­мен­ты и под­пи­си под­де­ла­ны, если все с точ­ки зре­ния Росре­ест­ра оформ­ле­но иде­аль­но? И како­вы вооб­ще кри­те­рии под­лин­но­сти ЭД и ЭП суще­ству­ют? Ведь явно, что исте­ри­ки и обмо­ро­ки ограб­лен­ных вла­дель­цев к ним не отно­сят­ся.

Но как полу­чи­лось, что элек­трон­ная под­пись в руках афе­ри­стов ста­ла опас­ным ору­жи­ем? В чем же ее уяз­ви­мость?

Что такое электронная подпись

Элек­трон­ная под­пись (ЭП) — сред­ство, под­твер­жда­ю­щее связь непо­сред­ствен­но с элек­трон­ным доку­мен­том (ЭД) и его авто­ром. Это не под­пись в при­выч­ном виде, кото­рая суще­ству­ет физи­че­ски и кото­рую мож­но под­де­лать или ско­пи­ро­вать. Элек­трон­ная циф­ро­вая под­пись (ЭЦП) явля­ет­ся рек­ви­зи­том ЭД, его шиф­ро­ван­ным хешем, полу­чен­ным мето­дом крип­то­гра­фии.

Виды ЭП

Элек­трон­ная под­пись быва­ет:

  • про­стой: под­твер­жда­ет­ся кода­ми и паро­ля­ми;
  • уси­лен­ной неква­ли­фи­ци­ро­ван­ной:
    • созда­ет­ся при помо­щи крип­то­гра­фии;
    • иден­ти­фи­ци­ру­ет под­пи­сан­та;
    • обна­ру­жи­ва­ет изме­не­ние ЭД после под­пи­си;
    • созда­ет­ся с исполь­зо­ва­ни­ем ср‑в, вхо­дя­щих в состав ЭП.
  • уси­лен­ной ква­ли­фи­ци­ро­ван­ной ЭП: обла­да­ет все­ми свой­ства­ми ква­ли­фи­ци­ро­ван­ной ЭП плюс ко все­му:
    • выда­ет­ся ква­ли­фи­ци­ро­ван­ный сер­ти­фи­кат с ука­за­ни­ем откры­то­го клю­ча;
    • ср-ва для полу­че­ния и про­вер­ки долж­ны соот­вет­ство­вать тре­бо­ва­ни­ям ФЗ № 63.

Алгоритм шифрования ЭЦП

Шиф­ро­ва­ние про­ис­хо­дит по асим­мет­рич­ной схе­ме, в кото­рой гене­ри­ру­ют­ся два клю­ча — откры­тый и закры­тый: откры­тый слу­жит для шиф­ро­ва­ния, закры­тый — для рас­шиф­ров­ки. Одна­ко алго­ритм созда­ния ЭЦП обрат­ный:

  • закры­тый слу­жит для созда­ния под­пи­си и под­пи­са­ния доку­мен­та;
  • откры­тый — для про­вер­ки под­лин­но­сти под­пи­си.

Составляющие электронной подписи

ЭЦП состо­ит из трех эле­мен­тов:

  • сред­ство созда­ния ЭЦП:
    • крип­то­про­вай­дер (КП), уста­нав­ли­ва­ет­ся пря­мо на ПК;
    • токен со встро­ен­ным КП, защи­щен­ный паро­лем;
    • облач­ное хра­ни­ли­ще;
  • пара клю­чей (закры­тый и при­вя­зан­ный к нему откры­тый);
  • сер­ти­фи­кат, при­вя­зы­ва­ю­щий ЭЦП к ее вла­дель­цу.

Хранение ключей

Закры­тый ключ (ЗК) изве­стен толь­ко вла­дель­цу и дол­жен тща­тель­но им охра­нять­ся, так вла­де­ние им даст воз­мож­ность зло­умыш­лен­ни­ку под­пи­сать любой доку­мент. Хра­нить ключ на ПК, гад­же­те или флеш-кар­те — не луч­шее реше­ние. Луч­ше исполь­зо­вать для это­го съем­ные носи­те­ли смарт-кар­ты, флеш-бре­ло­ки, “таб­лет­ки” с памя­тью. Все это при­об­ре­та­ют­ся в цен­трах сер­ти­фи­ка­ции. Так­же мож­но исполь­зо­вать для хра­не­ния реестр ПК.

При поте­ре закры­то­го клю­ча он не вос­ста­нав­ли­ва­ет­ся — о поте­ре надо сооб­щить в удо­сто­ве­ря­ю­щий центр.

В Рос­сии ско­ро кар­ты и бре­ло­ки для хра­не­ния элек­трон­ной под­пи­си заме­нят облач­ным хра­ни­ли­щем, что даст воз­мож­ность под­пи­сы­вать элек­трон­ные доку­мен­ты не толь­ко на ПК, но и на любом гад­же­те. Одна­ко минус в том, защи­та облач­ной под­пи­си более уяз­ви­ма, чем на смарт-кар­те.

Способы подделки электронной подписи

Зло­умыш­лен­ник может полу­чить взло­мать закры­тый ключ:

  • исполь­зуя откры­тый;
  • ана­ли­зи­руя полу­чен­ные или выбран­ные им элек­трон­ные доку­мен­ты;
  • взло­мав под­пись и полу­чив закры­тый ключ;
  • най­дя алго­ритм, похо­жий на алго­ритм ЭП, даю­щий воз­мож­ность под­пи­сы­вать любые или выбо­роч­ные доку­мен­ты;
  • исполь­зуя суще­ству­ю­щий (не избран­ный) ЭД.

Наи­боль­шую опас­ность пред­став­ля­ет под­дел­ка элек­трон­ной под­пи­си на осно­ве кон­крет­ных выбран­ных доку­мен­тов, кото­рая назы­ва­ет­ся адап­тив­ной ата­кой.

Под­дел­ка элек­трон­ной под­пи­си — очень слож­ная зада­ча для крип­то­ана­ли­ти­ка, поэто­му чаще все­го под­де­лы­ва­ют не ЭП, а сами элек­трон­ные доку­мен­ты.

Способы подделки электронных документов

Спо­соб 1. Под­бор доку­мен­та к гото­вой под­пи­си:

Тех­ни­че­ски слож­ная зада­ча, так как нуж­но сохра­нить фор­му, фор­мат и смысл тек­ста. Афе­ри­стов спа­са­ет оби­лие доку­мен­тов с гото­вой слу­жеб­ной фор­мой, где нуж­но про­сто запол­нять поля.

Спо­соб 2. Изго­тов­ле­ние двух доку­мен­тов с оди­на­ко­вой ЭП и заме­на в нуж­ный час одно­го ЭД дру­гим:

Тако­го рода ата­ка исполь­зу­ет­ся чаще. Тре­бу­ет слож­ных вычис­ле­ний, исполь­зу­ет бре­ши в хеши­ро­ва­нии, сла­бом алго­рит­ме самой элек­трон­ной под­пи­си.

Спо­соб 3 (соци­аль­ный). Не взлом, а полу­че­ние гото­вых клю­чей:

  • кра­жа клю­ча с ПК, устрой­ства хра­не­ния ЭП;
  • полу­че­ние клю­ча при помо­щи про­то­ко­ла сле­пой под­пи­си (поль­зо­ва­тель под­пи­сы­ва­ет доку­мент, не зная его содер­жа­ние);
  • под­ме­на чужо­го откры­то­го клю­ча на свой с при­сво­е­ни­ем себе чужо­го име­ни.

Чем подделка подписи отличается от махинации

Что­бы под­де­лать под­пись, то есть взло­мать закры­тый включ, нуж­но все же знать крип­то­гра­фию и обла­дать ана­ли­ти­че­ским умом. Рабо­та крип­то­ана­ли­ти­ка-хаке­ра навер­ня­ка сто­ит неде­ше­во. Куда про­ще пре­ступ­ни­ку идти по про­то­рен­ной дорож­ке, имея “свои” кад­ры:

  • в стра­хо­вых пен­си­он­ных фон­дах;
  • орга­нах, реги­стри­ру­ю­щих недви­жи­мость;
  • цен­трах, выда­ю­щих сер­ти­фи­ка­ты ЭП и т. д.

Для махи­на­то­ров боль­шо­го ума не надо, а доста­точ­но:

  • повтор­но исполь­зо­вать чью-то ЭП, если уже суще­ству­ет доку­мент с ней:
    • таким обра­зом кра­дет­ся недви­жи­мость;
    • путем под­дел­ки заяв­ле­ний с исполь­зо­ва­ни­ем ЭП мас­со­во были фак­ти­че­ски укра­де­ны день­ги со сче­та ПФР под видом пере­во­да денег в НПФ (неком­мер­че­ские пен­си­он­ные фон­ды);
  • украсть чью-то под­пись: осо­бен­но при уда­лен­ном спо­со­бе полу­че­ния и хра­не­ния;
  • про­сто изго­то­вить ЭП без ведо­ма само­го граж­да­ни­на и осу­ществ­лять все сдел­ки вме­сто него, как это слу­чи­лось с жите­лем сто­ли­цы Р.

Как защититься в интернете?

Ило­ны мас­ки кри­ми­наль­но­го раз­ли­ва не сидят на месте, а выхо­дят на свою новую, высо­кую, но толь­ко чер­ную орби­ту. Это те убо­гие, кото­рые веч­но будут исполь­зо­вать любой про­гресс и дости­же­ния, что­бы еще боль­ше воро­вать, жиреть и бога­теть. И самое ужас­ное, что от этих тва­рей, уже про­ник­ших в учре­жде­ния Росре­ест­ра, ЕСИА, а теперь по всей види­мо­сти взяв­ших еще один басти­он — цен­тры сер­ти­фи­ка­ции, нет защи­ты. К чер­ту анти­ви­ру­сы, смарт-кар­ты, токе­ны, слож­ный алго­ритм шиф­ро­ва­ния ЭП! Ниче­го это не помо­жет:

  • если чест­ность само­го удо­сто­ве­ря­ю­ще­го цен­тра может быть под сомне­ни­ем;
  • если инфор­ма­ция о каж­дом граж­да­нине, кото­рый хоть раз поль­зо­вал­ся сай­том госус­лу­ги и дру­ги­ми инфор­ма­ци­он­ны­ми систе­ма­ми, сво­бод­но есть в интер­не­те;
  • если мож­но вос­поль­зо­вать­ся чьи­ми-то пер­со­наль­ны­ми дан­ны­ми и све­де­ни­я­ми об иму­ще­стве, кото­рым обла­да­ет дан­ное лицо;
  • если мож­но создать элек­трон­ную под­пись без ведо­ма само­го чело­ве­ка;
  • если не создать дей­стви­тель­но надеж­ную систе­му иден­ти­фи­ка­ции обла­да­те­ля ЭП;
  • если не иско­ре­нить саму воз­мож­ность подоб­ных пре­ступ­ле­ний.

Пока все эти “если” не будут раз­ре­ше­ны, мож­но дать сове­ты, кото­рые могут предот­вра­тить элек­трон­ную кра­жу:

  • Бере­ги­те ваши лич­ные пер­со­наль­ные дан­ные.
  • Созда­вай­те элек­трон­ную под­пись на токене с паро­лем.
  • Ключ хра­ни­те не на ком­пью­те­ре, не на флеш­ке, а на смарт-кар­те.
  • Не под­пи­сы­вай­те доку­мен­ты в интер­не­те всле­пую.
  • Избе­гай­те облач­ных хра­ни­лищ для созда­ния и хра­не­ния ЭП.

Но самый вер­ный спо­соб вот:

Нуж­но заявить в ЕГРН (Росре­естр) об отка­зе от сде­лок с недви­жи­мо­стью с исполь­зо­ва­ни­ем элек­трон­ной под­пи­си. В этом слу­чае без лич­но­го при­сут­ствия заяви­те­ля сдел­ка будет при­зна­на неза­кон­ной, и элек­трон­ная кра­жа ста­нет невоз­мож­ной.

Оценка статьи:
1 звезда2 звезды3 звезды4 звезды5 звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Сайт о жилищном и гражданском законодательстве
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: