Техника - молодёжи 1997-07, страница 23Итак, мы вплотную подошли к выводу: не технику выбирает банк, а программу. А уж она диктует свои условия к аппаратной части. Впрочем, у любого банковского софта требования очень похожи: микропроцессор — как можно мощнее, память — как можно больше, производительность — как можно выше. Есть два способа заполучить такое матобеспечение. Первый — нанять программистов: пусть за зарплату творят, не выходя из банка. Второй — купить готовый пакет, из числа имеющихся на рынке. У обоих подходов свои достоинства и недостатки. Создать подобного монстра даже гениальному программисту не под силу. Тут нужен коллектив от десяти и более человек, с распределением заданий по отдельным функциональным блокам (раз у каждой службы своя часть, то желательно, чтоб ее составлял специалист в данной области). Программист — профессия высокооплачиваемая (за тарелку супа тут работать никто не будет), так что легко просчитать, во что выльется содержание и обновление «самодельной» версии матобеспечения. Есть и второй негативный момент: стоит любому из авторов разругаться с коллективом или просто найти более денежное место — и любое очередное директивное письмо ЦБ, меняющее пустячный алгоритм ничтожной задачи, превратит программу в дорогостоящую безделицу. На заре становления отечественного финансового дела на рынок свои разработки представили многие программисты. Бездарные быстро отсеялись, а подающие надежды слились в творческие коллективы и обзавелись статусом юридических лиц. В отличие от материальных объектов, инте-лектуальный продукт тиражируется легко, его стоимость распределяется на нескольких покупателей и конкретному пользователю он обходится дешевле, чем «самоделка». Но и здесь имеются свои подводные камни: фирма может создать прекрасный программный продукт, но оставить без внимания сервис и сопровождение, а без обновления он устареет уже через месяц. Универсальное изделие, рассчитанное на многих, не учитывает сиюминутных потребностей конкретного банка — усредняет их запросы, обладает меньшей гибкостью. Конкуренция и здесь провела жесткий отбор: за год-два на плаву остались считанные единицы. Однако борьба продолжается. Казалось бы, ясно: если по какой-либо программе работает хотя бы один банк, значит, по кругу решаемых задач она соответствует общему эталону, и ее соперничество с другими программными пакетами сводится лишь к вопросам удобства пользования, сервиса, дизайна. Но жизнь не стоит на месте, появляются новые технологии, новые устройства и, как следствие,—дополнительные возможности. Пример — работа по схеме «УДАЛЕННЫЙ КЛИЕНТ». Как реализуется возможность получать и отправлять деньги, не выходя из офиса? Сначала давайте разберемся, что же такое электронное платежное поручение и чем оно отличается от бумажного. У обычной платежки бланк заполнен реквизитами плательщика и получателя, указаны сумма и назначение платежа и все это скреплено подписью и печатью распорядителя денег Внешний вид образцов согласован при заключении договора на банковское обслуживание. Появление такого документа обязывает банк перевести указанную сумму с одного расчетного счета на другой. Причем, совершенно неважно, когда и где платежное поручение заполнялось, кто его доставил. Электронный аналог содержит те же самые реквизиты, включая подпись и печать, и отличается лишь носителем информации. Разумеется — электронная печать выглядит иначе, чем привычный оттиск на бумаге, но ее «внешний вид» также оговаривается в дополнительном соглашении со всеми вытекающими правами. Как правило, в качестве электронных подписи и печати принимается некая комбинация букв и цифр, рассчитанная по согласованному алгоритму. Самый простой: из тысячи чисел, сгенерированных случайным образом, формируются 6 — 8 таблиц, в которых трехзначные коды соответствуют каждой возможной цифре документа: вот номер расчетного счета (из 1-й таблицы извлекаем девять кодов по количеству цифр счета), вот дата (число — код из 2-й таблицы, месяц — еще один из 3-й таблицы), вот сумма (4-я таблица) и т.д. Выпавшие коды суммируются, и полученным числом удостоверяется — «подписывается» поручение. А в банке по копии таблиц клиента проверяют, совпадает ли это число (каждый раз меняющееся) с рассчитанным. Понятно, что подобрать ключ, не имея оригинала таблиц, практически невозможно. Подготовленный документ перед отправкой шифруется. Модем, подключенный к компьютеру клиента, набирает знакомый телефонный номер. На другом конце линии банковский модем «снимает трубку». Первым делом оба устройства договариваются о скорости передачи данных и протоколе коррекции ошибок, затем звонящий представляется, предъявляя условное имя, се тевой адрес, пароль, прочую оговоренную информацию. Если все слова и пароли совпадают и почтовый сервер находит в своем списке такого клиента, он принимает документ и отдает выписку, в противном же случае — просто тихо «кладет трубку» и ждет следующего звонка. И при любом раскладе записывает в так называемом лог-файле, что такого-то числа, во столько-то часов, минут и секунд имел место звонок со следующими результатами... При успешной связи поручение расшифровывается, проверяется «подпись» и, если и здесь все в порядке, подгружается в основную программу «Опер-день банка» а у ответственной операционистки, чем бы она в тот момент не занималась, на экран выводится сообщение: «Поступил документ...» Все остальное решает не техника — люди: сразу принять к исполнению, задержать, перенести на следующий день, заблокировать, отменить и так далее. Модем — всего лишь быстроногий курьер, который по дороге не задержится у ларька с пивом, не заблудится, не заскочит домой. Иначе говоря,— повторяется ситуация с обычной платежкой: в банке появился документ с оформленными по оговоренной форме реквизитами, подписями и печатями. Если клиент не превысил имеющуюся у него на счете сумму денег, не опоздал, его счет не заблокирован налоговыми или другими органами — документ будет принят к исполнению, то есть указанную сумму перечислят на указанный счет. Каждый банк сам выбирает программу, формирующую и передающую поручение по телефонным линиям, и предоставляет ее своим корреспондентам, вплоть до присылки собственного специалиста, настраивающего сложный коммуникационный пакет под конкретную технику. Существуют разные, в том числе и более сложные, нежели упомянутая, системы «подписи»: например, с подключением шифровальных устройств, электронных «таблеток». Но для конкретного пользователя — суть не меняется. Возможно, у некоторых читателей вертится на языке ехидная реплика: в прес-седе не раз писали про компьютерные ограбления банков. Если электронная технология по надежности не уступает бумажной, то как удаются подобные преступления? И не могут ли таким же способом украсть мои деньги с расчетного счета? Да и просто любопытно знать, как действует «МЕДВЕЖАТНИК С МОДЕМОМ». Сначала определим, что значит «ограбление по модему». Ибо материалы подавляющего большинства статей на эту тему вызывают продолжительный здоровый смех в компьютерном мире. Особенно преуспел некий журналист К. (не буду называть фамилию) в серии нашумевших статей об электронном взломе банков — перлы из них с язвительными комментариями известных хакеров обошли по электронным сетям весь мир. Само словосочетание «ограбление банка по модему» — абсурд, ибо собственные средства банка, то есть уставной капитал и прибыль, лежат на определенных счетах, которые не только по модему недоступны, но даже и многим сотрудникам открыты лишь для просмотра. Что-то снять и перевести, не имея санкции руководства, просто невозможно. А все остальное — средства клиентов, и банк временно распоряжается ими лишь по поручениям владельцев. Посредством связи через модем управляются только клиентские счета, и, кроме того, окончательное решение о проводке той или иной суммы принимает человек. Деньги всегда привлекали преступников. Неважно, хранятся наличные за сейфовыми замками или в виде строчки цифр на расчетном счету фирмы — обязательно найдется некто, размышляющий о способах их изъятия. Но ни один «медвежатник» не полезет наобум снимать сигнализацию и резать сейфы, если не будет в достаточной степени уверен, что там есть чем поживиться. Точно так же ни один хакер даже не попытается «ломать» защиту, если не будет точно знать, что на конкретном счету есть некая (и не малая) сумма, которой можно распорядиться втихоря от хозяина. Ведь, как и медвежатнику, ему дается всего одна попытка (вспомним про лог-файл: если кто-то начал подбирать пароли, то это тотчас можно отследить и принять меры). Откуда взломщик получает эту информацию? Чаще всего — от самого клиента, хозяина денег. Взять, к примеру, случай с Владимиром Левиным, снявшим, не выходя из своей петербургской квартиры, с некоего расчетного счета Сити-бэнк 80 тыс. дол. и отправившего затем их в Израиль. Вы считаете, он Сити-бэнк ограбил? Нет, он обворовал одного иэ клиентов банка, также проживавшего в Петербурге. То есть — послал платежное поручение от лица реального человека, используя его имя, пароль, шифр. У банка не было оснований отказать в исполнении, а когда настоящий клиент получил очередную выписку со счета, тут-то все и вскрылось. И при повторной попытке Левина засекла служба безопасности. Спросите, как он узнал чужой расчетный счет, имеющуюся там сумму, имена, пароли и прочее? Для этого совсем не обязательно выезжать в Америку и выпытывать означенные сведения у тамошних специалистов. Скорее всего, либо проговорился сам потерпевший, либо (с меньшей вероятностью) В.Левин встроил «программный жучок» на петербургском сайте компьютерной сети и длительное время снимал копии со всех проходящих документов, чтобы затем, наработав статистику, проанализировать шифр. Другое дело, ТЕХНИКА-МОЛОДЕЖИ 21 7 '9 7 |