Недавно получил сообщение от одного своего провайдера:

"С 1 октября 2009 года вступает в силу новая редакция документа "Правила регистрации доменных имен в домене RU".

Основные изменения:

1. При заключении договора Администраторам доменных имен в домене RU будет необходимо предоставлять Регистратору документы, подтверждающие их идентификационные данные. Следующие заявки Администратора не выполняются Регистратором до предоставления ему этих документов:

• на изменение сведений, необходимых для идентификации Администратора;
• на передачу поддержки домена иному регистратору;
• на передачу прав администрирования домена иному администратору;
• на отказ от прав администрирования (аннулирование регистрации);
• на регистрацию домена.

К сведениям, необходимым для идентификации Администратора, относятся:
для физического лица - имя, место жительства и сведения о документе, удостоверяющем личность, подтвержденные копией такого документа;
для юридического лица - полное наименование, место нахождения и сведения о его государственной регистрации, подтвержденные копией свидетельства о государственной регистрации и копией свидетельства о внесении юридического лица в Единый государственный реестр юридических лиц (для юридического лица, зарегистрированного на территории Российской Федерации) или копией иного документа, подтверждающего государственную регистрацию (для юридического лица, зарегистрированного на территории иного государства)."

Что это меняет для простых владельцев сайтов (то есть для тех, кого в этом документе назвали "физическими лицами")? На практике ничего, потому что большинство хостеров уже давно и активно интересуется паспортными данными своих клиентов, и делают это они видимо не потому, что им нечем заняться, но скорее всего под давлением государства. Правда, пока все это проходило под видом хоть и настойчивых, но все же рекомендаций о предоставлении достоверной информации о себе. К примеру, администрация "Агавы", где хостятся несколько моих сайтов, уже больше года назад порекомендовала своим клиентам загрузить сканы паспортов в личный кабинет. О карательных санкциях по отношению к тем, кто игнорировал эту просьбу, я пока ничего не слышал, однако, вполне возможно, что с первого октября что-то изменится.

Конечно, при большом желании остаться в тени, всегда можно нарисовать нужный скан в "фотошопе", или, в крайнем случае, воспользоваться подставным лицом: например, уговорить какого-нибудь бомжа за "пол-литру" стать официальным владельцем веб-портала, о котором он забудет на второй же день, утром... Классическая схема с использованием "зиц-председателя" остается абсолютно неуязвимой в данной ситуации.

Имеются и другие - чисто технические - возможности сохранять свое "инконито". Например, можно использовать такие сервисы, как Privacyprotect.org. Трудно сказать, насколько они надежны и эффективны. Скорее всего у мошенников, аферистов и прочих "темных элементов", обильно населяющих наше кибер-пространство, такие сервисы не будут пользоваться широкой популярностью, потому что едва ли они могут гарантировать сохранение личной информации в тайне при обоснованных "наездах" со стороны властей (например, в случае подозрений на мошенничество или другие противоправные действия, не говоря уже о терроризме и проблемах такого уровня... Хотя, прецеденты имеются: совсем недавно, отвечая на письма подписчиков своей "Энциклопедии мошенничества", разбирал пример одной очевидной пирамиды (речь идет о проекте Divident-Center), и с немалым удивлением заметил, что владелец этого явно сомнительного ресурса закрывает все свои данные именно с помощью упомянутого сервиса...

В любом случае, несомненно, что подобные барьеры могут стать серьезным препятствием для мошенников мелкого уровня, типа школьников, промышляющих сшибанием мелочи на "супер-пупер методиках заработка миллиона" с оплатой посредством sms-биллинговых систем. Что тоже неплохо. Возможно, что эта мера уменьшит также количество так называемых "говносайтов", которые становятся все большей проблемой, причем не только потому, что захламляют само киберпространство, но еще и потому, что в последнее время они поголовно снабжаются назойливыми ботами: автоспаммерами по формам и форумам, грабберами и т.п., что порой существенно усложняет жизнь владельцам честных ресурсов.

Конечно, лично у меня нет никаких сомнений, что процитированные выше изменения отражают далеко не только стремление государства навести порядок в зоне RU или "прижучить" сомнительных обитателей киберпространства, но напрямую связаны также и с фискальными интересами наших чиновников. И все эти изменения - еще "цветочки". Насколько принятые меры окажутся эффективными с точки зрения наведения порядка и защиты от мошенничества - трудно сказать... Жизнь показывает, что методы в стиле "хватать и не пущать", как правило, оказываются малоэффективными и лишь прибавляют головной боли законопослушным гражданам и добропорядочным организациям... Но поживем - увидим...

На прошлой неделе наконец-то был взломан мой аккаунт в электронной платежной системе "Яндекс.Деньги"... Почему "наконец-то"? Потому что этот "жестокий эксперимент" я проводил сознательно, и целью его было выяснить - за какое время будет взломан аккаунт в Яндексе при нарушении всех правил и принципов безопасности, какие только можно нарушить.

Для тех, кому не понятно, поясню: занимаясь проблемами мошенничества и безопасности бизнеса в Интернете, и регулярно сталкиваясь с информацией на форумах и в рассылках о низкой надежности платежной системы Яндекс, я давно хотел проверить это лично. Да, всем известно, что Яндекс - одна из немногих платежных систем, в которой не предусмотрена блокировка доступа к аккаунту по IP, что является весьма не лишним средством защиты аккаунта от хакеров низшего ("малолетки и школьники") и среднего ("студенты-недоучки") уровня. Возможность блокировки по IP в настоящее время используют практически все платежные системы: WebMoney, RBK, Z-Payment... даже всеми поругаемый и ныне умирающий e-gold позволял пользователю включить этот весьма не лишний способ защиты. Известно также, что Яндекс - одна из немногих платежных систем, в которых пароль к публичной почте совпадает с паролем к денежному счету, что наверное не слишком хорошо с точки зрения безопасности. В Интернете с печальной регулярностью появляется информация о новых и новых уязвимостях в этой платежной системе. Например, на портале Security Lab в 2008 году (это подтверждено и на других порталах, например на "Открытых системах") обсуждалась новость о том, что в сервисе "Яндекс.Деньги" обнаружена CSRF-уязвимость, позволяющая злоумышленику с помощью специальной страницы определять логин от Яндекс-аккаунта и количество денег на Яндекс-кошельке, что позволяет не только собирать спам-базы адресов пользователей системы (например для того чтобы отправлять им фишинговые послания), но и взламывать платежный пароль. На форумах и блогах нередко рассказывают также шокирующие истории о фатальных проколах в системе восстановления паролей Яндекса, когда, например, незаполненная при регистрации графа "мобильный телефон" позволяет злоумышленнику, знающему ответ на секретный вопрос, якобы отправить пароль на любой, указанный им же, то есть злоумышленником, номер... Кстати, я проверил эту байку лично - оказалось полное вранье, во всяком случае в данный момент в системе восстановления пароля просто дается возможность сменить пароль при знании ответа на секретный вопрос. Однако, не будем углубляться. Подобных историй о Яндексе в Интернете рассказывается много. Возможно, что некоторые из этих страшилок действительно имеют под собой какую-то почву, другие - чистый вымысел блоггеров (ну нужно чем чем-то привлекать народ, а чем еще - еще не страшилками. Но как бы там ни было, в Рунете бытует мнение о низкой защищенности системы Яндекс и система эта часто становится объектом критики. Однако, личного опыта в этой области мне явно не хватало: чего у меня только не пытались "ломать" за долгие годы жизни в сети, но вот моим аккаунтом в системем "Яндекс.Деньги" упорно никто не интересовался. Может быть, конечно, просто потому, что там никогда не крутились серьезные суммы, а может и просто совпадение... Как бы там ни было, как-то в 2007-ом году, после ознакомления с очередным "плачем" о взломе Яндекса на одном из форумов, я решил провести личный эксперимент и посмотреть - когда же будет взломан мой аккаунт при абсолютно наплевательском отношении к безопасности.

Какие принципы безопасности были мною нарушены в рамках этого эксперимента:

1. Смена паролей: По общепринятым правилам принято производить смену пароля в любой системе не реже одного раза в месяц. И это при отсутствии каких-либо признаков "поползновений". В случае же малейших подозрений пароли нужно менять еще чаще. Однако, ни пароль входа, ни платежный пароль в Яндексе я не менял больше двух лет! При этом сам пароль был "верхом безумства", так как состоял из фрагментов даты моего рождения и персонального кода, который открытым текстом светился на одном из старых форумов.

2. Хранение паролей: Для хранения паролей к сотням интернет-ресурсов (форумы, регистрации на сайтах, системы активной рекламы, серверы публичной почты и тому подобные не критичные для меня ресурсы) я использую Roboform, который не только удобен, но и гарантированно защищает пользователя от такого распространенного вида мошенничества, как фишинг. Конечно, Roboform - удобный и надежный менеджер паролей... Но все же я никогда не рисковал и не хранил в нем свои банковские пароли, как и пароли ни к одной из используемых мною платежных систем... кроме Яндекса. Почти уверен, что взломать Roboform чрезвычайно сложно: разработчик следит за ситуацией и обновляет программу (разумеется, речь идет о платной версии) с регулярностью, достойной уважения. Но все же, как говорится, береженого Бог бережет, и Робоформ никогда не "знал" тех паролей, потерять которые я не могу. Пароль же от Яндекса я ему все же доверил...

3. Контрольный e-mail и секретный вопрос: Только очень наивному человеку может придти в голову идея использовать публичный e-mail на Яндексе в качестве основного канала для отправки служебной информации, особенно если учесть, что пароль входа у почтовой и денежной системы Яндекса совпадает... Но я настроил систему именно так. При этом сам контрольный вопрос был предельно наивен: любимый телефон... Догадайтесь с трех раз, где можно найти ответ на этот вопрос и сколько времени это может занять у человека, даже не особо знакомого с хакерским промыслом... В большинстве случаев достаточно собрать в сети официально доступную информацию (авторские порталы, любимые форумы, социальные сети и подобные ресурсы, где мы проявляем активность - вот бездонный источник подобной информации о любом из нас.

Разумеется, в процессе эксперимента я старался не собирать на счету крупных сумм, хотя иногда они там все же мелькали и если бы злоумышленники были попроворнее, то они могли бы поживиться более основательно... Ну а поскольку хакеры оказались неповоротливыми, то результат эксперимента таков: Аккаунт все же был взломан. Злоумышленник с IP-адресом, принадлежащим какому-то провайдеру (вероятно прокси) из доблестного города Саранска (хорошо еще что не Мухосранска!), оплатил номер телефона в системе Билайн на сумму 112 рублей, оставив зачем-то на счету 37 копеек... наверное на развод... Номер оплаченного телефона (на который я, разумеется, пытался позвонить со Скайпа (из чистого любопытства, а вдруг удастся услышать или даже записать и выставить на всеобщее обозрение писклявый голос юного хакера), отказался выключен на протяжении нескольких дней. Служба безопасности Яндекса, как и следовало ожидать (с этим я был хорошо знаком по отзывам на форумах), ответила стандартной отпиской: Были использованы правильные пароли, а потому, дескать, сами во всем виноваты... И в этом с ними, разумеется, нужно согласиться, однако, удивительно, что имея на руках IP и номер телефона, а также мое заявление о том, что платеж был мошенническим, они не стали сами передавать эти данные в милицию, но порекомендовали это сделать мне, пообещав, что предоставят все данные по требованию правоохранительных органов... В общем-то, это, конечно, их право, но такое отношение к собственной репутации все же несколько удручает... Ведь ущерб (в 112 рублей), нанесенный мне, несоизмеримо меньше ущерба, нанесенного репутации Яндекса, и кто как не они должны были бы быть заинтересованы в том, чтобы поймать и публично наказать злоумышленника (тем более, что он так наследил, что изловить его особого труда не составило бы)...

Однако, какие выводы я сделал из этого?

Вывод первый. Может быть платежная система "Яндекс.Деньги" не столь уж и плоха, если при таких вопиющих нарушениях безопасности, которые я допустил в процессе эксперимента, мой аккаунт благополучно просуществовал больше года без каких-либо видимых проблем? Хотя, возможно, конечно, что это просто счастливое совпадение... А может времена были другие и сейчас такие оплошности уже даром не проходят... Еще вариант ответа: злоумышленники не интересовались той "приманкой" в виде дежурной сотни на моем счету Яндекса, считая ее издевательством над собой...

Вывод второй. Кража средств с моего аккаунта на Яндексе совпала по времени с намного более маштабной волной "поползновений" на мои ресурсы: Неоднократные попытки взлома аккаунтов в RBK и PayPal, заражение трех сайтов вирусами, - и все это за несколько последних дней. Сюда можно добавить, что чуть больше месяца назад была зафиксирована попытка взлома и моего WM-кипера, о чем я даже сподобился отметить в блоге. При этом пароли к некоторым из этих ресурсов никогда и ни в каком виде не хранились на моем компьютере. Между прочим, платежный пароль от Яндекса также в компьютере отсутствовал. С учетом этого, можно с большой вероятностью предположить, что целью злоумышленников в данном случае был не мой Яндекс-аккаунт, как таковой, а скорее мой компьютер, и вся секретная информация в нем, и причиной всех этих неприятностей, включая и кражу денег с Яндекс-аккаунта, стала какая-то брешь в системе защиты компьютера. Я склонен считать, что мой KIS проворонил какой-то keylogger или "сниффер", потому что другим способом получить пароль, физически отсутствующий в компьютере, невозможно: с фишингом я знаком слишком хорошо, менеджер паролей этой информации не содержал, - остается либо keylogger, либо реальный, а не виртуальный злоумышленник, воспользовавшийся моим бумажным блокнотом из ящика стола, что маловероятно... И значит скорее всего ломали все же не аккаунт на Яндексе а компьютер, ну а Яндекс здесь просто оказался самым слабым звеном, - ни одной другой платежной системы сломать не удалось...

Ну а что касается эксперимента, то он продолжается. Общий вывод, сделанный на первом этапе, весьма неутешителен: Стандартный аккаунт в системе "Яндекс.Деньги" действительно не предоставляет пользователю достаточной защиты, хотя бы потому, что там отсутствует блокировка по IP. У блокировки есть, конечно, и оборотная сторона - неудобство, возникающее из-за того, что пользоваться платежной системой можно только с одного компьютера, точнее - только посредством одного интернет-канала. Но в некоторых ситуациях, когда требуется особо строгий контроль, эта мера является совсем не лишней. И в Яндексе такая возможность, насколько я понял, просто отсутствует. Хотя недавно они ввели (и видимо не от того, что им нечем заняться) систему усиленной защиты аккаунтов, на которую я и перешел. Разумеется, меня развеселил тот факт, что переход на усиленную защиту в Яндексе является платным, и, хотя речь идет о символической сумме в 30 рублей, но все же прецедент удивительный: репутация Яндекса сейчас такова, что этой платежной системе было бы лучше самой приплачивать клиентам, стимулируя их к переходу на усиленную защиту... и чтобы в такой ситуации ухитряться еще и драть деньги с клиентов... удивительно! Сама усиленная система защиты предполагает использование динамического платежного пароля, формируемого из кодовой таблицы (которая также время от времени обновляется, то есть скачивается с сайта Яндекса). Разумеется, если хранить эту таблицу на своем компьютере (пусть даже в виде картинки), то эффективность такого метода защиты близка к нулю. Поэтому кодовая таблица сразу после получения была распечатана на принтере и удалена с харда.

Насколько эффективна усиленная защита... как говорится, поживем - увидим. Эксперимент не закончен, и возможно, что продолжение этой истории следует...

Заканчиваю тестировать программу SPAMfighter, и через несколько дней должен принять окончательное решение - оплатить ее и использовать дальше на коммерческой основе, или же перейти на бесплатную версию. Сама программа вполне устраивает - как по принципу действия (фильтрация предполагаемого спама в почтовом клиенте и складирование его в отдельной папке), так и по эффективности. Результаты трехнедельного тестирования показали, что этот спам-фильтр убивает не менее 97-99% спамового потока, сбрасывая его в отдельную папку на случай ошибки. Ошибочные срабатывания по моим наблюдениям - менее 1%. При этом программа неприхотлива к ресурсам, во всяком случае, на моем, далеко не самом "навороченном" компьютере (Intel Core2 Quard2.4GHz 4 ГБ) она работает практически незаметно. По сравнению с другими специализированными спам-фильтрами, с которыми доводилось сталкиваться ранее, программа очень проста в настройках, в процессе установки все конфигурирует самостоятельно и практически готова к работе сразу, что не может не радовать, ибо кому охота изучать длинные мануалы.

Высокая эффективность вероятно достигается благодаря использованию группового метода борьбы: база спаммеров программы, судя по всему, централизованная и каждый из пользователей может пополнять базу по результатам очередной проверки почтового ящика, что называется, "одним кликом", а точнее - путем нажатия кнопки "блокировать". Все секреты алгоритма разработчик, разумеется, не раскрывает, и по какому именно критерию добавляются спамеры в базу, где она хранится и как происходит апдейт базы на компьютере конечноого пользователя, я не знаю, но работает это достаточно эффективно. Во всяком случае, это один из самых эффективных спам-фильтров, с которым доводилось сталкиваться до сих пор.

Конечно, нельзя сказать, что программа абсолютно устойчива: в процессе тестирования (около трех недель) несколько раз выключалась надстройка в Outlook, и ее приходилось включать вручную. Несколько участились, как мне показалось случаи некорректного закрытия почтового клиента, хотя последнее весьма субъективно, это могло происходить и по другим причинам, а точной статистики нет. Выключение же надстройки наблюдалось и при использовании других фильтров, - к примеру, антиспамовая надстройка того же KIS (Kasperky Internet Security) у меня выключается регулярно (Кстати, ее пришлось на всякий случай отключить на время испытания SPAMfighter, чтобы не конфликтовали).

Что касается моего решения относительно этой программы, то оно пока окончательно не сформировалось. С одной стороны, программа нравится, особенно по непревзойденному результату. С другой стороны, не могу выразить большого восторга по поводу ежегодной лицензии к платной версии (на сегодняшний день это 25 евро). Не сумасшедшие деньги, однако, на фоне того же KIS, который обеспечивает почти за эти же деньги комплексную защиту (антивирусник, сетевой экран, антиспам)... При этом вопрос о том - продлять годовую лицензию на антивирусник или не продлять, просто не стоит, и хотя антиспамовый фильтр у "Касперского" возможно и не настолько эффективный как у SPAMfighter, но он все же также работает, и свои функции выполняет достаточно хорошо. Поэтому вопрос ставится так: стОят ли тех денег преимущества, которые я получил бы при использовании SPAMfighter, дополнительно к KIS, который все равно придется покупать.

Бесплатная версия SAMfighter может устроить многих, но, к сожалению, не меня. И не потому, что она плохо работает (думаю, что по эффективности бесплатная версия не уступает платной), но, в основном из за рекламных вставок в каждое отправляемое письмо. Для деловой переписки это не годится... не солидно как-то... хотя я не против рекламы этой компании, которая занимается действительно полезным делом. И все же не могу себе позволить такую назойливость по отношению ко всем своим коллегам. Поэтому скорее всего решение мое будет таким: SPAMfighter будет через несколько дней (когда закончится месячный испытательный срок) удален с моего компьютера, и я вернусь к привычному фильтру KIS-2009, который использовал до того, ну а если почувствую огромную разницу и дискомфорт, то ничто не мешает мне снова установить SPAMfighter и оплатить его лицензию.

Ну а всем остальным, кто может себе позволить рекламные вставки в почтовые отправления, или же оплачивать лицензию, настойчиво рекомендую присмотреться. Сайт разработчика: http://www.spamfighter.com/Lang_RU/. Имеется русская версия как сайта, так и программы.