Паспортизация Рунета: сканы паспортов

29. September 2009, 0:22 Безопасность, Интернет

Credit: nutmeg, FlickrИзменения в правилах регистрации доменов .RU вылились всё же в вариант с отправкой электронных “сканов паспортов” регистраторам. То есть, предлагается проводить как бы “аутентификацию” администратора домена, используя просто другое представление данных. Раньше вводили вымышленные паспортные данные в веб-форму. Теперь – нужно рисовать скан.

Интересно, что настоящие злоумышленники и так не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т.п. – такой подход очень давно известен, и много лет назад был принят на вооружение кардерами. Действительно, ведь вполне понятно, что очевидные “Васи Пупкины” вызывают подозрение.

Понятно также, что злоумышленники могут использовать “сканы” настоящих паспортов – они доступны в готовом виде, и на заказ. А ещё есть ПО, генерирующее произвольные паспортные “сканы”. Для беглого изучения реальной ситуации попробуйте поискать в Google “сканы паспортов”. При этом сотрудник регистратора, проверяющий “идентификационные данные”, мягко говоря, совсем необязательно является экспертом в определении цифровых фальшивок. (Кстати, если договор заключается с иностранным подданным, то “детектировать реальность” паспорта какого-нибудь африканского государства – та ещё задачка.)

Когда паспорт предъявляют лично, то можно сверить фото с “личностью” предъявителя (понятно, что паспорт может быть поддельным, но в случае с “физическим документом” – это уже совсем иная история). Собственно, паспорт, как документ, именно для такого “физического” подтверждения личности по фото (по биометрическим данным) и придуман. Использование “сканов” для “якобы аутентификации”, когда физически “аутентифицируемый” пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.

Конечно, злоумышленник, планирующий нарушать закон с использованием домена – имеет и технические навыки, и готовность прислать какой-нибудь “скан”. При этом, удачно “приславший скан” администратор домена получает в системе новый статус: “идентифицированный администратор”. А такой статус, конечно, добавляет некоторой “надёжности” персональным данным, полученным с подтверждением “сканом”. На самом же деле “надёжность” эта чисто мнимая: процедура аутентификации никак не изменилась – как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился и администраторы в интерфейсах управления клиентской информацией вдруг “раскрасились в разный цвет”. Для системы безопасности это очень плохо. Потому что добавляет ложной уверенности тем, кто с данными работает.

При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что такие пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, теперь должны направо и налево рассылать “сканы” своих паспортов, часто по открытым сетям – ведь, например, предлагается отправлять “скан” по электронной почте! Где потом всплывут копии “скана” – кто знает. Остроты добавляет то, что данный “скан”, сохранённый на почтовом сервере (или на локальном диске компьютера, давно заражённого трояном), уже был использован именно для регистрации домена – вдвойне доверенный “скан” получается, ага.

Кто же обрёл дополнительные риски и потенциальные проблемы? Вопрос, впрочем, риторический. И так понятно, что пострадал обычный пользователь Сети.

Я, кстати, не так давно писал про “дыры” в аутентификации по “сканам”.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 13

  • 1. 29th September 2009, 22:14 // Читатель kaschey написал:

    Идея эта, конечно, сомнительная.

    Но логика у воплотителей, все равно, должна была быть. Иначе как :) Совсем без причины даже мой кот метить угол поленится :)

    На мой взгляд причина такова, что совсем нерадивого администратора домена можно либо легко вычислить (зная его данные), либо усердно поискав прижать за фальсификацию документов и дачу заведомо ложной информации. Тут уже не скажешь, что это кот на клавиатуру прыгнул и форма сама заполнилась и отправилась.

    Может у кого еще есть идеи.
    Должны же быть еще причины, кроме как “моча в голову ударила”.

  • 2. 29th September 2009, 23:30 // Александр Венедюхин ответил:

    Ну а как вычислить “администратора”, если скан прислал кто-то ещё? При этом именно “противозаконные” домены и будут регистрировать на “левые” сканы. Логики нет.

  • 3. 1st October 2009, 11:31 // Читатель Kirill написал:

    Очень не нравиться это нововведение. Реально оно приведет только к неудобствам для обычных пользователей, не злоумышленников. А злоумышленники найдут способ найти любое ограничение, что они уже не раз доказывали.

  • 4. 1st October 2009, 17:13 // Читатель sarin написал:

    чтобы знать кому какой домен принадлежит. это же очевидно!

  • 5. 1st October 2009, 17:52 // Александр Венедюхин ответил:

    То есть, очевидно, что домен принадлежит владельцу просканированного паспорта?

    Вот как раз такая трактовка и представляет главное ухудшение в уровне безопасности.

  • 6. 6th October 2009, 09:34 // Читатель sarin написал:

    разумеется нет, но можно провести аналогию с обычным миром: есть личности которые пользуются поддельными документами, но у большинства граждан паспорта настоящие.

    так же и тут. если я, например, захочу купить доменное имя для легальных целей то зачем мне заморачиваться с липовым сканом? отправлю реальный. а по факту у государства будет возможность связать мой домен со мной.

    ясно что это нужно не для борьбы с коварными фишерами и прочими преступными элементами.

  • 7. 6th October 2009, 15:36 // Читатель зашел в гости написал:

    “ясно что это нужно не для борьбы с коварными фишерами”

    Тогда зачем? Почему не достаточно просто имени и фамилии?

  • 8. 7th October 2009, 09:31 // Читатель sarin написал:

    имя и фамилия не уникальны в отличии от паспортных данных. к тому-же барьер для сообщения поддельного имени на порядок ниже чем для подделки скана паспорта. чтобы наврать как тебя зовут достаточно ввести другие буквы в поле ввода, а чтобы подделать скан нужно фотошоп поставить.

  • 9. 7th October 2009, 10:23 // Александр Венедюхин ответил:

    Удивительно.

    Sarin, написано же, что добропорядочные пользователи и так вводят свои настоящие паспортные данные при заключении договора (это требуется). Они их вводят в веб-форму. И сообщают такие пользователи верные данные, потому что им домен реально нужен.

    Скан паспорта вообще ничего не меняет в смысле аутентификации и идентификации, а только создаёт проблемы и риски для добросовестных пользователей.

  • 10. 8th October 2009, 16:41 // Читатель kaschey написал:

    >>> Скан паспорта вообще ничего не меняет в смысле аутентификации и идентификации, а только создаёт проблемы и риски для добросовестных пользователей.

    Так и в обычной жизни от паспортов можно отказаться. Порядочные граждане все равно никого не станут обманывать …

    Использование фотошопа это уже доказуемый “злой умысел”, тогда как неверные данные в форме еще нет.
    Можно, например, на ошибку в браузере сослаться, или в базе данных (я, мол, что надо вводил, это регистратор накосячил).

    Другой момент, что польза вряд ли перевешивает вред.

  • 11. 8th October 2009, 16:44 // Читатель kaschey написал:

    Всплывут потом наши паспорта на московских рынках.

  • 12. 8th October 2009, 17:16 // Читатель зашел в гости написал:

    “Так и в обычной жизни от паспортов можно отказаться”

    Подделка физического документа, и подделка скана в фотошопе – задачи разных степеней сложности. ПК, откуда был загружен отредактированный скан еще отследить надо (а если ПК находится за пределами РФ, то мошеннику вообще нечего бояться), а вот за поддельный физический паспорт вас могут физически взять за шиворот и надеть наручники. На это не каждый пойдет.

    “Порядочные граждане все равно никого не станут обманывать”

    Александр это и пытается доказать. Честный пользователь сам предоставит все необходимые данные, и скан паспорта с него требовать просто не нужно. Злоумышленника необходимость предоставления скана паспорта НЕ ОСТАНОВИТ. Отсюда следует, что вся затея с паспортами смысла просто не имеет. Мошенничества она не предотвратит, а вот головной боли большинству пользователей добавит.

  • 13. 10th October 2009, 01:03 // Читатель Сергей Коперн… написал:

    Можно практически стопроцентно утверждать, что главным источником сканов паспортов как раз сами регистраторы и станут.

    Есть и еще проблема – эти паспорта нельзя будет даже забанить – а ну как именно сейчас зарегистрировать домен пытается его реальный владелец.

    Странно, что в этом вопросе не пошли самым простым путем – разрешить принимать оплату за домены только по кредитным карточкам.