Электронный аналог содержит те же самые реквизиты, включая подпись и печать, и отличается лишь носителем информации. Разумеется - электронная печать выглядит иначе, чем привычный оттиск на бумаге, но ее "внешний вид" также оговаривается в дополнительном соглашении со всеми вытекающими правами. Как правило, в качестве электронных подписи и печати принимается некая комбинация букв и цифр, рассчитанная по согласованному алгоритму. Самый простой: из тысячи чисел, сгенерированных случайным образом, формируются 6 - 8 таблиц, в которых трехзначные коды соответствуют каждой возможной цифре документа: вот номер расчетного счета (из 1-й таблицы извлекаем девять кодов по количеству цифр счета), вот дата (число - код из 2-й таблицы, месяц - еще один из 3-й таблицы), вот сумма (4- я таблица) и т.д. Выпавшие коды суммируются, и полученным числом удостоверяется - "подписывается" поручение. А в банке по копии таблиц клиента проверяют, совпадает ли это число (каждый раз меняющееся) с рассчитанным. Понятно, что подобрать ключ, не имея оригинала таблиц, практически невозможно.
Подготовленный документ перед отправкой шифруется. Модем, подключенный к компьютеру клиента, набирает знакомый телефонный номер. На другом конце линии банковский модем "снимает трубку". Первым делом оба устройства договариваются о скорости передачи данных и протоколе коррекции ошибок, затем звонящий представляется, предъявляя условное имя, сетевой адрес, пароль, прочую оговоренную информацию. Если все слова и пароли совпадают и почтовый сервер находит в своем списке такого клиента, он принимает документ и отдает выписку, в противном же случае - просто тихо "кладет трубку" и ждет следующего звонка. И при любом раскладе записывает в так называемом лог-файле, что такого-то числа, во столько-то часов, минут и секунд имел место звонок со следующими результатами…
При успешной связи поручение расшифровывается, проверяется "подпись" и, если и здесь все в порядке, подгружается в основную программу "Опер-день банка", а у ответственной операционистки, чем бы она в тот момент не занималась, на экран выводится сообщение: "Поступил документ…"
Все остальное решает не техника - люди: сразу принять к исполнению, задержать, перенести на следующий день, заблокировать, отменить и так далее. Модем - всего лишь быстроногий курьер, который по дороге не задержится у ларька с пивом, не заблудится, не заскочит домой. Иначе говоря - повторяется ситуация с обычной платежкой: в банке появился документ с оформленными по оговоренной форме реквизитами, подписями и печатями. Если клиент не превысил имеющуюся у него на счете сумму денег, не опоздал, его счет не заблокирован налоговыми или другими органами - документ будет принят к исполнению, то есть указанную сумму перечислят на указанный счет.
Каждый банк сам выбирает программу, формирующую и передающую поручение по телефонным линиям, и предоставляет ее своим корреспондентам, вплоть до присылки собственного специалиста, настраивающего сложный коммуникационный пакет под конкретную технику. Существуют разные, в том числе и более сложные, нежели упомянутая, системы "подписи": например, с подключением шифровальных устройств, электронных "таблеток". Но для конкретного пользователя - суть не меняется.
Возможно, у некоторых читателей вертится на языке ехидная реплика: в прессе-де не раз писали про компьютерные ограбления банков. Если электронная технология по надежности не уступает бумажной, то как удаются подобные преступления? И не могут ли таким же способом украсть мои деньги с расчетного счета? Да и просто любопытно знать, как действует современный "МЕДВЕЖАТНИК С МОДЕМОМ".
Сначала определим, что значит "ограбление по модему". Ибо материалы подавляющего большинства статей на эту тему вызывают продолжительный здоровый смех в компьютерном мире. Особенно преуспел некий журналист К. (не буду называть фамилию) в серии нашумевших статей об электронном взломе банков - перлы из них с язвительными комментариями известных хакеров обошли по электроннным сетям весь мир. Само словосочетание "ограбление банка по модему" - абсурд, ибо собственные средства банка, то есть уставной капитал и прибыль, лежат на определенных счетах, которые не только по модему недоступны, но даже и многим сотрудникам открыты лишь для просмотра. Что-то снять и перевести, не имея санкции руководства, просто невозможно. А все остальное - лишь средства клиентов, и банк временно распоряжается ими только по поручениям владельцев. Посредством связи через модем управляются только клиентские счета, и кроме того окончательное решение о проводке той или иной суммы принимает человек.
Деньги всегда привлекали преступников. Неважно, хранятся наличные под сейфовыми замками или в виде строчки цифр на расчетном счету фирмы - обязательно найдется некто, размышляющий о способах их изъятия. Но ни один "медвежатник" не полезет наобум снимать сигнализацию и резать сейфы, если не будет в достаточной степени уверен, что там есть чем поживиться. Точно так же ни один хакер даже не попытается "ломать" защиту, если не будет точно знать, что на конкретном счету есть некая (и не малая) сумма, которой можно распорядиться втихоря от хозяина. Ведь, как и медвежатнику, ему дается всего одна попытка (вспомним про лог-файл: если кто-то начал подбирать пароли, то это тотчас можно отследить и принять меры). Откуда он получает эту информацию?
Чаще всего - от самого клиента, хозяина денег. Взять, к примеру, случай с Владимиром Левиным, снявшим, не выходя из своей петербургской квартиры, с некоего расчетного счета Сити-бэнк 80 тыс. долл. и отправившего затем их в Израиль. Вы считаете, он Сити-бэнк ограбил? Нет, он обворовал одного из клиентов банка, также проживавшего в Петербурге. То есть - послал платежное поручение от лица реального человека, используя его имя, пароль, шифр. У банка не было оснований отказать в исполнении, а когда настоящий клиент получил очередную выписку со счета, тут-то все и вскрылось. И при повторной попытке Левина засекла служба безопасности. Спросите, как он узнал чужой расчетный счет, имеющуюся там сумму, имена, пароли и прочее?
Для этого совсем не обязательно выезжать в Америку и выпытывать означенные сведения у тамошних специалистов. Скорее всего, либо проговорился сам потерпевший, либо (с меньшей вероятностью) В.Левин встроил "программный жучок" на петербургском сайте компьютерной сети и длительное время снимал копии со всех проходящих документов, чтобы затем, наработав статистику, проанализировать шифр. Другое дело, что банк взял на себя весь ущерб, причиненный клиенту, но реально - мог и отказать ему, ведь вины банка тут не было. Конфедициальная информация "ушла" не от него.
В связи с этим вспоминается обсуждение в сетевых телеконференциях летом 1996 года проделки Левина. Некто (имя не запомнилось, назовем его условно А.) поведал такую историю. Года за два до известных событий, когда о модемах знали лишь немногие, вызывает его начальство и просит помочь с настройкой модемной связи для другой фирмы - партнера по бизнесу. "Прихожу, - говорит, - стоит компьютер, модем. Выдали мне две дискеты с программным обеспечением для связи аккурат с тем самым Сити-бэнк. Есть и документация на английском, но терминологии никто не понимает. Подключил модем, запустил инсталляционную дискету. Коммуникационная программа установилась успешно, но - не работает. Начал разбираться - налицо конфликт с какими-то другими программами, установленными ранее. Долго менял настройки, конфигурировал систему, и наконец запустил программу - модем стал набирать номер. Но смотрю - номер-то американский, без междугородных префиксов. А если их вставить - получается слишком длинное число, не влезающее в отведенное для него место. Заказчик, узнав суть проблемы, стал звонить в Штаты. Там ему сообщили, что в Москве тоже есть некий телефонный номер, через который можно связаться напрямую с американским банком (номер-то сказали, а пароли для входа в сеть - нет, сами их не знали)…" Короче, до первого тестового звонка в банк прошло дня три. За это время А. узнал и пароли, и телефоны, и подержал в руках сами кодировочные таблицы (собственно говоря, сам все узнавал, проверял, тестировал, чтобы потом объяснить и показать заказчику, как что делать). Месяц спустя - земля слухом полнится - другой бизнес-партнер попросил оказать аналогичную услугу. Еще через несколько месяцев - третий. За год А. настроил эту программу в восьми фирмах. Прошло еще некоторое время, и вот, удаляя лишние программы на своем компьютере, он случайно наткнулся на копию одной из тех самых банковских программ. Ради интереса решил проверить, сменил ли хозяин пакета тестовые пароли. Запустил программу, модем набрал номер, спокойно подключился к московскому хосту, тот благополучно переключил его на Сити-бэнк, и на экран монитора поползла выписка… Дальше А. заверял, что тут же выключил модем, ибо если он получит выписку, то владелец счета ее уже не получит и начнет разбираться, в чем тут дело, да и не собирался А. "ломать" банк. Но сам факт, что абсолютно конфиденциальная информация свободно гуляет по разным компьютерам, говорит о многом. И не нужны в подобной ситуации какие-то особые хакерские таланты…
Попробуем подвести итог. Если фирма не держит большие суммы длительное время на своем расчетном счете, пуская их в оборот, если система "Банк-Клиент" не пользуется услугами посредников - электронных сетей типа Интернет, Спринта и прочих, а ведет все дела напрямую, если доступ посторонних лиц к коммуникационному компьютеру ограничен, а кодировочные таблицы хранятся в сейфе, если приходы и расходы денег проверяются ежедневно (в течение суток любой ошибочный платеж можно отозвать), то оснований для беспокойства нет. Грех обижаться на подложную бумажную платежку, если печать предприятия валяется где попало.
(с) Техника молодежи N 07 за 1997 г.