Паспортизация Рунета: сканы паспортов
Изменения в правилах регистрации доменов .RU вылились всё же в вариант с отправкой электронных “сканов паспортов” регистраторам. То есть, предлагается проводить как бы “аутентификацию” администратора домена, используя просто другое представление данных. Раньше вводили вымышленные паспортные данные в веб-форму. Теперь – нужно рисовать скан.
Интересно, что настоящие злоумышленники и так не используют совсем банальных, явно вымышленных персональных данных, даже если заполняют веб-форму. Напротив, берут или какие-то реальные данные, или данные, очень похожие на реальные, но сгенерированные по специальной базе. При генерации используются реальные фамилии, названия улиц, городов, номера домов и т.п. – такой подход очень давно известен, и много лет назад был принят на вооружение кардерами. Действительно, ведь вполне понятно, что очевидные “Васи Пупкины” вызывают подозрение.
Понятно также, что злоумышленники могут использовать “сканы” настоящих паспортов – они доступны в готовом виде, и на заказ. А ещё есть ПО, генерирующее произвольные паспортные “сканы”. Для беглого изучения реальной ситуации попробуйте поискать в Google “сканы паспортов”. При этом сотрудник регистратора, проверяющий “идентификационные данные”, мягко говоря, совсем необязательно является экспертом в определении цифровых фальшивок. (Кстати, если договор заключается с иностранным подданным, то “детектировать реальность” паспорта какого-нибудь африканского государства – та ещё задачка.)
Когда паспорт предъявляют лично, то можно сверить фото с “личностью” предъявителя (понятно, что паспорт может быть поддельным, но в случае с “физическим документом” – это уже совсем иная история). Собственно, паспорт, как документ, именно для такого “физического” подтверждения личности по фото (по биометрическим данным) и придуман. Использование “сканов” для “якобы аутентификации”, когда физически “аутентифицируемый” пользователь не присутствует рядом – старая, хорошо известная дыра в системах безопасности.
Конечно, злоумышленник, планирующий нарушать закон с использованием домена – имеет и технические навыки, и готовность прислать какой-нибудь “скан”. При этом, удачно “приславший скан” администратор домена получает в системе новый статус: “идентифицированный администратор”. А такой статус, конечно, добавляет некоторой “надёжности” персональным данным, полученным с подтверждением “сканом”. На самом же деле “надёжность” эта чисто мнимая: процедура аутентификации никак не изменилась – как присылал кто-то неизвестно откуда какие-то данные по Интернету, так и присылает кто-то что-то, но в новом формате файлов. А вот статус изменился и администраторы в интерфейсах управления клиентской информацией вдруг “раскрасились в разный цвет”. Для системы безопасности это очень плохо. Потому что добавляет ложной уверенности тем, кто с данными работает.
При этом многие и многие добросовестные пользователи и так указывали верные данные, потому что такие пользователи опасаются проблем с потерей домена в случае возникновения спорной ситуации. В отличие от злоумышленника, добросовестному пользователю домен реально нужен, раз он этот домен регистрирует. И вот эти добросовестные пользователи, администраторы доменов, теперь должны направо и налево рассылать “сканы” своих паспортов, часто по открытым сетям – ведь, например, предлагается отправлять “скан” по электронной почте! Где потом всплывут копии “скана” – кто знает. Остроты добавляет то, что данный “скан”, сохранённый на почтовом сервере (или на локальном диске компьютера, давно заражённого трояном), уже был использован именно для регистрации домена – вдвойне доверенный “скан” получается, ага.
Кто же обрёл дополнительные риски и потенциальные проблемы? Вопрос, впрочем, риторический. И так понятно, что пострадал обычный пользователь Сети.
Я, кстати, не так давно писал про “дыры” в аутентификации по “сканам”.
Адрес записки: https://dxdt.ru/2009/09/29/2654/
Похожие записки:
- Реплика: программные "демультиплексоры" протоколов уровня приложений
- ИИ-корпорация SSI и исправление кода веб-страниц
- Скорость из OBD и программы-навигаторы
- Хеш-функции для анонимизации
- Десятилетие DNSSEC в российских доменах
- Взлом Twitter и влияние на офлайн
- Chrome и УЦ Entrust
- Постквантовые криптосистемы на экспериментальном сервере TLS
- Encrypted Client Hello и браузеры Google
- Наложенные сети Google и браузеры в будущем
- Постквантовые криптосистемы и квантовые компьютеры
Комментарии читателей блога: 13
1 <t> // 29th September 2009, 22:14 // Читатель kaschey написал:
Идея эта, конечно, сомнительная.
Но логика у воплотителей, все равно, должна была быть. Иначе как :) Совсем без причины даже мой кот метить угол поленится :)
На мой взгляд причина такова, что совсем нерадивого администратора домена можно либо легко вычислить (зная его данные), либо усердно поискав прижать за фальсификацию документов и дачу заведомо ложной информации. Тут уже не скажешь, что это кот на клавиатуру прыгнул и форма сама заполнилась и отправилась.
Может у кого еще есть идеи.
Должны же быть еще причины, кроме как “моча в голову ударила”.
2 <t> // 29th September 2009, 23:30 // Александр Венедюхин:
Ну а как вычислить “администратора”, если скан прислал кто-то ещё? При этом именно “противозаконные” домены и будут регистрировать на “левые” сканы. Логики нет.
3 <t> // 1st October 2009, 11:31 // Читатель Kirill написал:
Очень не нравиться это нововведение. Реально оно приведет только к неудобствам для обычных пользователей, не злоумышленников. А злоумышленники найдут способ найти любое ограничение, что они уже не раз доказывали.
4 <t> // 1st October 2009, 17:13 // Читатель sarin написал:
чтобы знать кому какой домен принадлежит. это же очевидно!
5 <t> // 1st October 2009, 17:52 // Александр Венедюхин:
То есть, очевидно, что домен принадлежит владельцу просканированного паспорта?
Вот как раз такая трактовка и представляет главное ухудшение в уровне безопасности.
6 <t> // 6th October 2009, 09:34 // Читатель sarin написал:
разумеется нет, но можно провести аналогию с обычным миром: есть личности которые пользуются поддельными документами, но у большинства граждан паспорта настоящие.
так же и тут. если я, например, захочу купить доменное имя для легальных целей то зачем мне заморачиваться с липовым сканом? отправлю реальный. а по факту у государства будет возможность связать мой домен со мной.
ясно что это нужно не для борьбы с коварными фишерами и прочими преступными элементами.
7 <t> // 6th October 2009, 15:36 // Читатель зашел в гости написал:
“ясно что это нужно не для борьбы с коварными фишерами”
Тогда зачем? Почему не достаточно просто имени и фамилии?
8 <t> // 7th October 2009, 09:31 // Читатель sarin написал:
имя и фамилия не уникальны в отличии от паспортных данных. к тому-же барьер для сообщения поддельного имени на порядок ниже чем для подделки скана паспорта. чтобы наврать как тебя зовут достаточно ввести другие буквы в поле ввода, а чтобы подделать скан нужно фотошоп поставить.
9 <t> // 7th October 2009, 10:23 // Александр Венедюхин:
Удивительно.
Sarin, написано же, что добропорядочные пользователи и так вводят свои настоящие паспортные данные при заключении договора (это требуется). Они их вводят в веб-форму. И сообщают такие пользователи верные данные, потому что им домен реально нужен.
Скан паспорта вообще ничего не меняет в смысле аутентификации и идентификации, а только создаёт проблемы и риски для добросовестных пользователей.
10 <t> // 8th October 2009, 16:41 // Читатель kaschey написал:
>>> Скан паспорта вообще ничего не меняет в смысле аутентификации и идентификации, а только создаёт проблемы и риски для добросовестных пользователей.
Так и в обычной жизни от паспортов можно отказаться. Порядочные граждане все равно никого не станут обманывать …
Использование фотошопа это уже доказуемый “злой умысел”, тогда как неверные данные в форме еще нет.
Можно, например, на ошибку в браузере сослаться, или в базе данных (я, мол, что надо вводил, это регистратор накосячил).
Другой момент, что польза вряд ли перевешивает вред.
11 <t> // 8th October 2009, 16:44 // Читатель kaschey написал:
Всплывут потом наши паспорта на московских рынках.
12 <t> // 8th October 2009, 17:16 // Читатель зашел в гости написал:
“Так и в обычной жизни от паспортов можно отказаться”
Подделка физического документа, и подделка скана в фотошопе – задачи разных степеней сложности. ПК, откуда был загружен отредактированный скан еще отследить надо (а если ПК находится за пределами РФ, то мошеннику вообще нечего бояться), а вот за поддельный физический паспорт вас могут физически взять за шиворот и надеть наручники. На это не каждый пойдет.
“Порядочные граждане все равно никого не станут обманывать”
Александр это и пытается доказать. Честный пользователь сам предоставит все необходимые данные, и скан паспорта с него требовать просто не нужно. Злоумышленника необходимость предоставления скана паспорта НЕ ОСТАНОВИТ. Отсюда следует, что вся затея с паспортами смысла просто не имеет. Мошенничества она не предотвратит, а вот головной боли большинству пользователей добавит.
13 <t> // 10th October 2009, 01:03 // Читатель Сергей Коперник написал:
Можно практически стопроцентно утверждать, что главным источником сканов паспортов как раз сами регистраторы и станут.
Есть и еще проблема – эти паспорта нельзя будет даже забанить – а ну как именно сейчас зарегистрировать домен пытается его реальный владелец.
Странно, что в этом вопросе не пошли самым простым путем – разрешить принимать оплату за домены только по кредитным карточкам.