Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Устройство электронных платежных систем.

Читайте также:
  1. IC1.16 Устройство сверки показаний датчиков тормозной системы для двигателей ДВС с электронной системой управлений дроссельной заслонкой
  2. IV. Термодатчики, их устройство и назначение.
  3. V. ОБЩИЕ ТРЕБОВАНИЯ К ГОРЮЧИМ ГАЗАМ, РАЗМЕЩЕНИЯ И УСТРОЙСТВО ГАЗОПРОВОДОВ И ГАЗОВЫХ УСТАНОВОК
  4. А.7 Устройство и принципы действия адсорбционных аппаратов
  5. Архитектура компьютерных систем.
  6. Архитектура персонального компьютера, структура вычислительных систем. Программное обеспечение вычислительной техники.
  7. БЛАГОУСТРОЙСТВО УЧАСТКА

При всем многообразии электронных платежных систем, присутствующих на рынке, им присуще некоторые общие черты. В каждой системе присутствует как минимум плательщик (payer) и получатель (payee). Перемещение денег от плательщика к получателю обеспечивается определенной последовательностью действий - протоколом электронного платежа. Теоретически обе стороны могут связываться и напрямую (современный криптографический аппарат позволяет это), но практически такая схема оказывается ненадежной и приходится вводить так называемые "финансовые институты", которые соотносят электронный перевод с реальным перемещением денежных средств. В роли "финансового института" могут выступить и банк, и любая другая уважаемая контора, которой доверяют участники обмена. Кстати, банки очень настороженно относятся к рискованным экспериментам с виртуальной наличностью. В основном финансовыми институтами становятся сами разработчики платежных систем, которые в принципе не способны обеспечить все электронные единицы живыми деньгами. Налицо превышение эмиссионного права. Чтобы хоть как-то сгладить углы и удержать систему от падения, привлекаются дополнительные игроки...

Финансовый институт, принимающий денежные средства от плательщика, называется эмитентом (issuer). Институт, передающий их получателю, - эквайр (acquirer). Эмитент и acquirer могут осуществлять перевод любым платежным протоколом, и даже быть единым, обслуживающим и плательщиков, и получателей.

Если все собрано в одно, платежная система называется централизованной, что, во-первых, означает постоянный "перегруз" центрального сервера, во-вторых - подрыв доверия к системе (возможность оппортунистического поведения). Вот почему центральный финансовый институт обычно делегирует часть своих прав сторонним конторам, контролируя их деятельность или не контролируя. В контроле есть как положительные так и отрицательные стороны. "Полоожтельные "в том что центр в ответе за все: если эмитент скрылся с чужими деньгами, их оплачивает "материнская" организация. С другой стороны, в такой системе задавлена инициатива и отсутствует конкуренция, значит, спектр предоставляемых услуг невелик...

Если контроль отсутствует, работать с электронными деньгами может любой желающий. Добиваться одобрения "центра" необязательно, и потому можно вводить любые услуги, лишь бы существовал спрос. Ценой за это становится отсутствие каких бы то ни было гарантий. Если вас кто либо обманул, можно обращаться только в прокуратуру, но добиваться возврата наличности от других участников рынка бессмысленно (хотя в условиях свободного рынка обязательно появятся лица, которые предложат услуги подобного рода, так что ситуация не совсем безнадежна).

В банковском мире действует первая схема. Центробанк следит за всеми коммерческими банками и в случае малейших подозрений немедленно устраивает разбирательства. А если банк, в который положены деньги, вдруг пропал, все долги перебрасываются на Центробанк. Но и спектр предоставляемых услуг остается на недоразвитом уровне, так как он контролируется Центробанком. Электронные платежные системы могут использовать либо первую, либо вторую схему, либо их комбинацию. Тогда на рынке будут присутствовать и "доверенные" конторы, и "серые" участники, которым люди доверяют только на свой страх и риск.

В любой платежной системе обязательно должен присутствовать арбитр (Arbiter) - независимое лицо, решающее спорные вопросы и зарабатывающее за счет комиссионных сборов. Если в платежной системе арбитра нет или его "независимость" декларирована лишь условно, то такая системы слишком небезопасна.

Платежи могут быть прямыми или непрямыми. Прямой платеж подразумевает непосредственную связь плательщика с эмитентом и получателем, а получателя - с плательщиком и acquirer'ом. Плательщик передает получателю денежные средства, эмитент списывает эту сумму с его счета, acquirer начисляет ее на счет получателя. Классический пример прямого платежа - чек.

Существуют и непрямые системы, в которых плательщик связывается только с эмитентом, а получатель - только с acquirer'ом. Именно по этой схеме работает телеграфный перевод, для которого не требуется, чтобы обе стороны в момент оплаты находились в онлайне. К тому же непрямые системы защищены намного надежнее, чем прямые.

Большинство электронных платежных систем используют гибридную модель, чтобы унаследовать сильные стороны обоих схем и практически полностью ликвидировать их недостатки. Самый больной вопрос - безопасность. Электронная наличность может храниться как на центральном сервере владелицы платежной системы, предоставляя пользователям уникальный пароль (что-то вроде комбинации цифр от сейфа или связки ключей), так и непосредственно у самих участников платежа, например на smart-картах или в хитроумно зашифрованных файлах. С точки зрения безопасности, первый способ намного предпочтительнее: т.к. максимально затрудняет генерацию фальшивых денег и в случае обнаружения кражи пароль на "сейфе" может быть быстро изменен, однако вернуть назад smart-карту уже невозможно.

Тем не менее, электронные деньги чрезвычайно уязвимы. Начнем с клиентского компьютера. Если хакер сумеет внедрить на него собственную программу, он запросто выгребет весь электронный кошелек подчистую. Также возможно попытаться перехватить канал связи плательщика и получателя/эмитента, взяв под контроль один из промежуточных серверов. Впрочем, скорее всего это ничего не даст, так как протокол обмена изначально разрабатывается устойчивым к перехвату (во всяком случае, теоретически). А вот внедрение подложного эмитента может дать положительный результат. Его можно осуществить, например, путем "подмятия" DNS-сервера с последующим перенаправлением клиента на хакерский узел. Во многих платежных системах предусмотрена авторизация клиента сервером, но отсутствует авторизация сервера клиентом.. Чтобы подключиться к серверу, клиент должен знать некоторую уникальную информацию (пароль), а сервер ничего не должен ему. И отличить "левый" сервер от "правого" в этом случае невозможно.

Наконец, можно взломать самого эмитента/ acquirer'а, особенно если в системе присутствует множество независимых игроков, чьи серверы разрабатываются самостоятельно, без лицензирования. Это одно и тоже, что произойдет, если банкоматы будут ставить не только банки, а все желающие. Появятся не просто банкоматы, а агрегаты, собранные и спроектированные по усмотрению его создателя. Даже если создатель "банкомета" честный инженер и никаких закладок там нет, вполне вероятно всплытие дыр.Наконец, не стоит списывать со счета уже упомянутое мошенничество и простое попрошайничество.

Выявим наиболее слабые места в безопасности электронной платежной системы WebMoney.


Дата добавления: 2015-10-30; просмотров: 111 | Нарушение авторских прав


Читайте в этой же книге: Электронные платежные системы России. | Техническое обеспечение безопасности транзакций | Организационно-правовое обеспечение безопасности транзакций. |
<== предыдущая страница | следующая страница ==>
Риски использования электронных платежных систем.| Структура WebMoney.

mybiblioteka.su - 2015-2024 год. (0.007 сек.)