Иными словами, озвученный выше принцип «Если можно собирать все идентификационные признаки, то это и нужно делать» на самом деле имеет имеет существенные ограничения. Спасибо, именно это я и хотел отметить.
Что касается хранения в тайне перечня журналируемых параметров — не настаиваю, можно и не делать из этого тайны. Но предлагаемое мной решение всё равно обладает несомненными плюсами:
— Администраторы хоть и будут знать, какие параметры журналируются, но не смогут их вырезать и изменить. Варианты с «левыми отмазками» станут невозможны в принципе.
— Сотни банков вообще не будут заморачиваться, что и как должно журналироваться. Их задача — использовать сертифицированный софт (это требование уже сейчас выполняется), всё остальное — задача всего нескольких разработчиков. Получить максимум пользы при минимуме напрягов — один из строго желательных критериев оценки государственных хотелок.
Если можно собирать все идентификационные признаки, то это и нужно делать.
На мой взгляд, неправильный подход.
Теоретические ведь очень многое можно собирать. Но нужно ли? Например, собирать рост, вес, внешние признаки всех лиц, приносящих платежки в банк. А также марки и номера машин, на которых они приехали. И с какой стороны банку подъехали. Это поможет потом органам? Безусловно. Ну что, начнем? Обяжем все банки это делать? Или всё же есть какой-то ограничитель таким желаниям?
Что касается моего мнения, то я бы выбрал другое решение. Сейчас системы «Банк-клиент» не может разрабатывать кто угодно — нужны лицензии. Т.е. разработчики подчиняются требованиям государства. Кто мешает доработать систему лицензирования таких разработчиков так, чтобы обязать их скрытно, в зашифрованном виде журналировать целый ряд параметров, про которые даже администраторы банков знать не будут? И выдавать их органам в стандартном зашифрованном виде, подписанном ЭП — так чтобы ничего вырезать, добавить или изменить никто из сотрудников банка не мог? Такие параметры можно будет добавлять, удалять без внесения изменений в законодательство. Чем не вариант?
А вот посмотрите в документации к BS-Client Internet Client...
Охотно верю, что в некоторых системах «Банк-клиент» MAC-адреса журналируются.
Но я же говорил не о том, что они нигде не журналируются, а о том, что есть системы, где они не журналируются, и из этого следует, что у части банков действительно нет таких данных и это — не «левая отмазка». BS-Client ведь не единственная на российском рынке.
У некоторых банков иногда возникает резон скрывать любые сведения, связанные с работой клиентов в интернет-банке.
Я же писал, что допускаю существование таких банков. И даже предположил, что это за банки.
Если приближенный к государству банк, имея MAC-адреса, не боится показать оперативникам фигу, то он также, чтобы отмахнуться, не будет боятся поставить один и тот же MAC-адрес на все операции. Т.е. проблема с этими банками в другом и решать ее надо другими средствами.
… точно знаю про существование «левых отмазок».
Я разве отрицал их существование? Я просто сказал, что не везде «левые отмазки» — есть еще и объективные причины. И пусть хоть сто сотрудников внезапно придет в тот банк, где работает администратором мой знакомый — никаких MAC-адресов они не найдут. Ну нет их в журналах! И это не «левая отмазка».
Если мы всё еще беседуем в контексте идентификации клиента (напомню, обсуждение ведется вокруг Положения ЦБ РФ «Об идентификации кредитными организациями...»), то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности. Особенно если учесть криминальную особенность этого контекста: злоумышленники, против которых как раз и направлено указанное Положение, — лица максимально заинтересованные, чтобы их не вычислили. И по этой причине они сильно заинтересованы в легкости и быстроте смены идентифицирующих их признаков, а также в подстановке вместо реальных значений фиктивных.
Если уж выбирать идентифицирующий признак, то не MAC-адрес, а что-нибудь другое — то, что не меняется так легко даже школьниками и домохозяйками.
Сам факт регулярной фальсификации MAC-адреса уже дает полезные выводы.
Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
То у вас преступник при наличии суперствола зачем-то использует реальный ствол (причем один и тот же в разных преступлениях, связь между которыми в его интересах скрывать). Теперь же у вас преступник демонстративно, можно сказать даже нагло показывает другой стороне, что мухлюет и обманывает ее, тем самым привлекая к себе особое внимание.
Я только за, когда идет речь о технических и организационных мерах, помогающих ловить преступников. Но лучше их внедрять не с расчетом на ловлю одних лишь идиотов, а с расчетом преступников как минимум среднего уровня. Если вводимые меры позволят ловить преступников среднего ума, то идиоты тем более попадутся, и тем самым убьем двух зайцев. Согласны?
Вернемся к вашему контраргументу. Если отбросить из рассмотрения идиотов, то для преступников среднего ума логично предположить, что они всё же знают технические вопросы хотя бы в объеме среднего сисадмина, на рожон лезть совершенно не желают и стараются максимально долго оставаться вне поля подозрений и расследований различных органов (чтобы и дальше «без шума и пыли» обстряпывать свои темные делишки). И если уж они понимают, с какой целью MAC-адреса им приходится фальсифицировать, то они осознают и глупость демонстративного жонглирования этими адресами. Ведь в их интересах и дальше маскироваться под законопослушного клиента и как можно дольше скрывать свои манипуляции с MAC-адресами. Простейшее, доступное даже для школьника решение на этот случай: на каждый счет — свой фиктивный MAC-адрес. Поэтому ваш способ ловли на регулярной фальсификации MAC-адреса для преступника-неидиота отпадает.
Раньше банки могли отказать в предоставлении лога IP- и MAC-адресов, даже если соответствующий запрос поступает от суда (отмазка: «у нас таких данных не было и нет»). Причину такого поведения могу назвать в личном сообщении, не на публике. Обсуждаемые поправки более не позволят банкам использовать «левые отмазки».
Я специально проконсультировался с давним хорошим знакомым, работающим в одном из небольших банков ведущим администратором одной из широкораспространенных систем «Банк-клиент» (какая именно система — могу назвать в личном сообщении и вы сами сможете проверить правдивость его сведений). Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются. Запросы — да, были, он сам же и готовил на подпись руководству выписки из логов, но MAC-адресов в них не было.
Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона. Ибо используемая программа широко известна, узнать у разработчиков (или аналогичных администраторов других банков) так ли это на самом деле — не проблема, после чего у него могут возникнуть серьезные неприятности в связи с подозрением в сообщничестве с киберпреступниками. Оно ему надо?
Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Спорить не буду, возможно какие-то (подозреваю, что достаточно крупные и/или приближенные к государству) банки действительно могут вести себя достаточно нагло по отношению к правоохранителям и запросам от них. Но это потому, что не боятся их. Для рядового же банка на ровном месте нагло скрывать MAC-адреса при том, что разработчик этой системы на запрос правоохранительных органов официально ответит, что MAC-адреса все же журналируются — это надо быть очень уверенным в своей неуязвимости.
Я когда дошел до кол-ва оценок, после которого выдаются рекомендации, тоже обратил внимание, что мне рекомендуются фильмы явно не по моим интересам. Проанализировал ситуацию с учетом выданных мне друзей по интересам.
Оказалось следующее: я в первую очередь расставил оценки самым запоминающимся, самым любимым мною фильмам. Естественно — я же их помню, в отличие от нелюбимых фильмов. Надо ли говорить, что они были 10-ками (или в крайнем случае 9-ками). Что получилось в результате? Мои оценки в точности совпали с оценками людей, кто ставит высокие оценки чуть ли не на всё подряд. И система логично посчитала, что наши интересы совпадают на 100% — расхождений же интересов у нас не выявлено!
Что я сделал? Я прошелся по верхушке списка этих мнимых друзей по интересам и на часть фильмов, которые мне категорически не нравятся, но эти друзья их оценили на 10 баллов, поставил достаточно низкие оценки. После чего эти товарищи изчезли из моего топа друзей по интересам и рекомендации стали более приемлемыми для меня.
До обсуждаемых изменений 99% злоумышленников не знали про ведение логов MAC-адресов системами ДБО (точнее, знали про такую возможность, но не знали, что она была реально предусмотрена в ПО), и это помогало в расследовании преступлений.
Если незнание злоумышленниками про журналирование МАС-адресов помогало, как вы утверждаете, в расследовании преступлений, то после публичного оглашения и внедрения предлагаемых изменений каждая собака теперь будет знать про это журналирование и 99% станут хитрее и умнее. Тогда в чем польза таких изменений? Писали бы втихаря MAC-адреса — ловили бы эти 99% злоумышленников. Так нет — надо прокричать на весь белый свет «Мы MAC-адреса теперь пасём!!! Учтите это!!!». А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно — «Ты давай, вписывай в анкету свой MAC-адрес».
И сейчас, если попытаться составить схему «идеального» преступления, в ней впоследствии можно будет найти один-два-три серьезных изъяна. Ну а как их устранить, если заранее про них не знать?
Что-то я не пойму — вы сейчас за кого болеете? Это же хорошо, что схемы «идеальных» преступлений на самом деле не идеальны и имеют пару-тройку изъянов. Зачем их устранять? Что бы схема стала идеальной уже без кавычек?
В качестве примера приведу ваш контраргумент выше — кто-то раньше думал, что в «идеальной» схеме не надо заботиться о безопасности MAC-адресов, потому что они не журналируются. А на самом деле в этой схеме был серьезный изъян: кое-кто эти адреса втихаря журналировал. Теперь на один изъян будет меньше и 99% глупых злоумышленников сразу станут умнее. Кто от этого в выигрыше?
И вообще преступления расследовать не надо, ведь при грамотном подходе преступника их раскрыть все равно нельзя.
Из моих высказываний это никак не следует. Давайте вернемся к нормальному обсуждению — без приписывания мне всякой ерунды, ок? А то некрасиво получается.
За аналогии спасибо. Они помогут более наглядно аргументировать мою точку зрения.
Чем хороши в расследовании преступлений гильзы, номера автомобилей, отпечатки пальцев? Тем что их сложно менять и подделывать, не так ли? А как дела обстоят с MAC-адресами? С точностью до наоборот — их очень легко и быстро менять и подделывать (можно хоть каждую платежку посылать с новым MAC-адресом).
А теперь вернемся к вашей аналогии и посмотрим, как она будет выглядеть с учетом сказанного.
Представьте такую картину: преступник из своего оружия выпускает очередь (= посылает серию криминальных платежек), и каждая вылетающая пуля имеет не только свой рисунок царапин, но и свой калибр, вес, длину и т.д. 10 выстрелов — 10 разных пуль и гильз на любой вкус (начиная от артиллерийского снаряда и кончая дробью). Причем ни одна из них не соответствует реальному стволу, из которого стреляет преступник. Согласитесь, это уже и стволом-то назвать нельзя — это суперствол!
Дорогой ли он, трудно ли его достать? Увы, доставать суперствол вообще не нужно — он бесплатно(!) есть у каждого(!) человека. Максимум, что требуется — узнать, как им пользоваться. А пользоваться им за 5 минут может научиться хоть школьник, хоть домохозяйка (интернет завален инструкциями, как менять MAC-адреса — причем даже в картинках).
Итак, что мы имеем в результате? У всех людей (не только преступников) уже от рождения есть суперстволы, которые могут стрелять какими угодно калибрами и царапинами пуль и любой может этому научиться за 5 минут. Вот теперь ваша аналогия близка к реальной ситуации с MAC-адресами.
И вот в условиях поголовного обладания описанными выше суперстволами кто-то наверху вдруг издает указ об обязательном отстреле реальных стволов для формирования пуле- и гильзотеки. И это еще не всё: сама процедура отстрела, достоверность ее результатов и какой ствол был отстрелян — реальный или виртуальный суперствол — всё ложится на совесть самого заявителя. Занавес…
А теперь с учетом вышесказанного ответьте честно:
— Так ли я был неправ насчет низкой эффективности этого решения в целях поимки преступников? Особенно если учесть, что сам злоумышленник отстреливает свои стволы, а в банк несет только бумагу?
— Как вы оцените умственные способности преступника, который имея при себе суперствол, тем не менее во время преступления тупо стреляет своим реальным стволом, зная, что ни гильзы, ни пули с места преступления забрать гарантированно не сможет? И это еще не всё: он со своим реальным стволом идёт даже не на одно, а на несколько дел, связь между которыми в его интересах максимально скрывать (ваш пример-контраргумент «Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках»). Так ли далек я от истины, назвав такого преступника дураком? Вы-то сами как такого уникума назовете?
Специально отмечу во избежания повторения кривотолков: я нигде не утверждал и не утверждаю, что MAC-адреса никогда и ни при каких обстоятельствах не пригодятся — в случае поимки идиотов они действительно могут пригодиться. Я лишь утверждаю, что они малоэффективны.
Хотел бы обратить ваше внимание на первый абзац обсуждаемой новости:
… проект указания о внесении изменений в Положение Банка России от 19 августа 2004 года N262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
Т.е. в данном случае ЦБ РФ заботится не о вашей безопасности, как пользователя платежных систем, а о том, чтобы побольше собрать информации о вас, как потенциальном преступнике.
Надо ли говорить, что настоящие преступники — не полные идиоты. Поэтому собранные у них IP и MAC-адреса мало чем помогут. Для банка они нарисуют любой MAC-адрес, который не имеет ничего общего с реальным MAC-адресом их оборудования. IP укажут какого-нибудь прокси-сервера — в проекте нет ни слова про запрет использования прокси-серверов.
И да: поправьте, если я неправ, но в тексте предлагаемых изменений я нигде не увидел упоминания, что банк теперь по закону будет обязан отклонить платеж, если IP или MAC не совпадают.
Согласен, дело и политическое в том числе.
Но согласитесь и вы, что вопросы, какие материалы можно безбоязненно держать на интернет-ресурсах, а за какие можно заработать проблемы, вопросы интернет-этики содержимого таких ресурсов, ответственности за наполнение их третьими лицами и т.д. касаются всех, кто создает и поддерживает свои сайты. Т.е. тема достаточно многогранная.
Не буду спорить — слишком уж в политику и религию углубляемся.
Здесь лучше ограничимся оценкой поступка айтишной компании (Google) в рамках айтишной же сферы (какие материалы хранить на сайте).
Есть опасность, что уступка будет провоцировать и в будущем решать вопросы в таком же ключе: если что-то не нравится — надо поднять кипиш чем громче, тем лучше, и этим добиться своего. Есть подозрения, что на этом не остановятся. Начнется своего рода дрессировка окружающего мира под свои стандарты.
Я не сторонник оскорбления чьих-то религиозных авторитетов, то больно уж реакция несоизмерима (IMHO) содеянному.
Ну мы же сейчас обсуждаем не юридическую правомерность решения бразильского суда относительно бразильских же законов.
Мы даем оценку происходящему (естественно, со своей м-а-а-аленькой колокольни взглядов на здравый смысл). Пусть решение суда абсолютно законно по бразильским законам — нам это не мешает удивляться идиотизму если не бразильского суда, то бразильских законов.
А если бы не отказался, то позже арестовали бы за невыполнение, т.е. те же яйца, только в профиль. В общем, как в известном анекдоте «Почему без шапки?».
Даже в этом случае вывод denonlink остается в силе.
Если следовать «логике» бразильского суда, то каждый бразилец, работающий за рубежом, тоже должен своей свободой отвечать за выходки руководства своей страны — независимо от того, может он повлиять на него или нет. Чуть что не так — под арест. Ну разве не идиотизм?
Иными словами, озвученный выше принцип «Если можно собирать все идентификационные признаки, то это и нужно делать» на самом деле имеет имеет существенные ограничения. Спасибо, именно это я и хотел отметить.
Что касается хранения в тайне перечня журналируемых параметров — не настаиваю, можно и не делать из этого тайны. Но предлагаемое мной решение всё равно обладает несомненными плюсами:
— Администраторы хоть и будут знать, какие параметры журналируются, но не смогут их вырезать и изменить. Варианты с «левыми отмазками» станут невозможны в принципе.
— Сотни банков вообще не будут заморачиваться, что и как должно журналироваться. Их задача — использовать сертифицированный софт (это требование уже сейчас выполняется), всё остальное — задача всего нескольких разработчиков. Получить максимум пользы при минимуме напрягов — один из строго желательных критериев оценки государственных хотелок.
На мой взгляд, неправильный подход.
Теоретические ведь очень многое можно собирать. Но нужно ли? Например, собирать рост, вес, внешние признаки всех лиц, приносящих платежки в банк. А также марки и номера машин, на которых они приехали. И с какой стороны банку подъехали. Это поможет потом органам? Безусловно. Ну что, начнем? Обяжем все банки это делать? Или всё же есть какой-то ограничитель таким желаниям?
Что касается моего мнения, то я бы выбрал другое решение. Сейчас системы «Банк-клиент» не может разрабатывать кто угодно — нужны лицензии. Т.е. разработчики подчиняются требованиям государства. Кто мешает доработать систему лицензирования таких разработчиков так, чтобы обязать их скрытно, в зашифрованном виде журналировать целый ряд параметров, про которые даже администраторы банков знать не будут? И выдавать их органам в стандартном зашифрованном виде, подписанном ЭП — так чтобы ничего вырезать, добавить или изменить никто из сотрудников банка не мог? Такие параметры можно будет добавлять, удалять без внесения изменений в законодательство. Чем не вариант?
Охотно верю, что в некоторых системах «Банк-клиент» MAC-адреса журналируются.
Но я же говорил не о том, что они нигде не журналируются, а о том, что есть системы, где они не журналируются, и из этого следует, что у части банков действительно нет таких данных и это — не «левая отмазка». BS-Client ведь не единственная на российском рынке.
Я же писал, что допускаю существование таких банков. И даже предположил, что это за банки.
Если приближенный к государству банк, имея MAC-адреса, не боится показать оперативникам фигу, то он также, чтобы отмахнуться, не будет боятся поставить один и тот же MAC-адрес на все операции. Т.е. проблема с этими банками в другом и решать ее надо другими средствами.
Я разве отрицал их существование? Я просто сказал, что не везде «левые отмазки» — есть еще и объективные причины. И пусть хоть сто сотрудников внезапно придет в тот банк, где работает администратором мой знакомый — никаких MAC-адресов они не найдут. Ну нет их в журналах! И это не «левая отмазка».
Если мы всё еще беседуем в контексте идентификации клиента (напомню, обсуждение ведется вокруг Положения ЦБ РФ «Об идентификации кредитными организациями...»), то для идентифицирующих признаков я выбрал, на мой взгляд, самый главный критерий эффективности. Особенно если учесть криминальную особенность этого контекста: злоумышленники, против которых как раз и направлено указанное Положение, — лица максимально заинтересованные, чтобы их не вычислили. И по этой причине они сильно заинтересованы в легкости и быстроте смены идентифицирующих их признаков, а также в подстановке вместо реальных значений фиктивных.
Если уж выбирать идентифицирующий признак, то не MAC-адрес, а что-нибудь другое — то, что не меняется так легко даже школьниками и домохозяйками.
Зачем вы в качестве контраргументов рассматриваете лишь случаи явного идиотизма со стороны преступников?
То у вас преступник при наличии суперствола зачем-то использует реальный ствол (причем один и тот же в разных преступлениях, связь между которыми в его интересах скрывать). Теперь же у вас преступник демонстративно, можно сказать даже нагло показывает другой стороне, что мухлюет и обманывает ее, тем самым привлекая к себе особое внимание.
Я только за, когда идет речь о технических и организационных мерах, помогающих ловить преступников. Но лучше их внедрять не с расчетом на ловлю одних лишь идиотов, а с расчетом преступников как минимум среднего уровня. Если вводимые меры позволят ловить преступников среднего ума, то идиоты тем более попадутся, и тем самым убьем двух зайцев. Согласны?
Вернемся к вашему контраргументу. Если отбросить из рассмотрения идиотов, то для преступников среднего ума логично предположить, что они всё же знают технические вопросы хотя бы в объеме среднего сисадмина, на рожон лезть совершенно не желают и стараются максимально долго оставаться вне поля подозрений и расследований различных органов (чтобы и дальше «без шума и пыли» обстряпывать свои темные делишки). И если уж они понимают, с какой целью MAC-адреса им приходится фальсифицировать, то они осознают и глупость демонстративного жонглирования этими адресами. Ведь в их интересах и дальше маскироваться под законопослушного клиента и как можно дольше скрывать свои манипуляции с MAC-адресами. Простейшее, доступное даже для школьника решение на этот случай: на каждый счет — свой фиктивный MAC-адрес. Поэтому ваш способ ловли на регулярной фальсификации MAC-адреса для преступника-неидиота отпадает.
Я специально проконсультировался с давним хорошим знакомым, работающим в одном из небольших банков ведущим администратором одной из широкораспространенных систем «Банк-клиент» (какая именно система — могу назвать в личном сообщении и вы сами сможете проверить правдивость его сведений). Спросил, журналируются ли MAC-адреса и были ли запросы по ним от правоохранительных органов? Он ответил, что не журналируются. Запросы — да, были, он сам же и готовил на подпись руководству выписки из логов, но MAC-адресов в них не было.
Указывать время и IP, но при этом умышленно скрывать запрошенные MAC-адреса у него нет никакого резона. Ибо используемая программа широко известна, узнать у разработчиков (или аналогичных администраторов других банков) так ли это на самом деле — не проблема, после чего у него могут возникнуть серьезные неприятности в связи с подозрением в сообщничестве с киберпреступниками. Оно ему надо?
Т.е. в их случае никаких «левых отмазок» нет — у них действительно «таких данных не было и нет». И это не вина и не прихоть самого банка.
Спорить не буду, возможно какие-то (подозреваю, что достаточно крупные и/или приближенные к государству) банки действительно могут вести себя достаточно нагло по отношению к правоохранителям и запросам от них. Но это потому, что не боятся их. Для рядового же банка на ровном месте нагло скрывать MAC-адреса при том, что разработчик этой системы на запрос правоохранительных органов официально ответит, что MAC-адреса все же журналируются — это надо быть очень уверенным в своей неуязвимости.
Оказалось следующее: я в первую очередь расставил оценки самым запоминающимся, самым любимым мною фильмам. Естественно — я же их помню, в отличие от нелюбимых фильмов. Надо ли говорить, что они были 10-ками (или в крайнем случае 9-ками). Что получилось в результате? Мои оценки в точности совпали с оценками людей, кто ставит высокие оценки чуть ли не на всё подряд. И система логично посчитала, что наши интересы совпадают на 100% — расхождений же интересов у нас не выявлено!
Что я сделал? Я прошелся по верхушке списка этих мнимых друзей по интересам и на часть фильмов, которые мне категорически не нравятся, но эти друзья их оценили на 10 баллов, поставил достаточно низкие оценки. После чего эти товарищи изчезли из моего топа друзей по интересам и рекомендации стали более приемлемыми для меня.
Если незнание злоумышленниками про журналирование МАС-адресов помогало, как вы утверждаете, в расследовании преступлений, то после публичного оглашения и внедрения предлагаемых изменений каждая собака теперь будет знать про это журналирование и 99% станут хитрее и умнее. Тогда в чем польза таких изменений? Писали бы втихаря MAC-адреса — ловили бы эти 99% злоумышленников. Так нет — надо прокричать на весь белый свет «Мы MAC-адреса теперь пасём!!! Учтите это!!!». А тех злоумышленников, которые совсем «глухие», предупредить еще и письменно — «Ты давай, вписывай в анкету свой MAC-адрес».
Что-то я не пойму — вы сейчас за кого болеете? Это же хорошо, что схемы «идеальных» преступлений на самом деле не идеальны и имеют пару-тройку изъянов. Зачем их устранять? Что бы схема стала идеальной уже без кавычек?
В качестве примера приведу ваш контраргумент выше — кто-то раньше думал, что в «идеальной» схеме не надо заботиться о безопасности MAC-адресов, потому что они не журналируются. А на самом деле в этой схеме был серьезный изъян: кое-кто эти адреса втихаря журналировал. Теперь на один изъян будет меньше и 99% глупых злоумышленников сразу станут умнее. Кто от этого в выигрыше?
Из моих высказываний это никак не следует. Давайте вернемся к нормальному обсуждению — без приписывания мне всякой ерунды, ок? А то некрасиво получается.
За аналогии спасибо. Они помогут более наглядно аргументировать мою точку зрения.
Чем хороши в расследовании преступлений гильзы, номера автомобилей, отпечатки пальцев? Тем что их сложно менять и подделывать, не так ли? А как дела обстоят с MAC-адресами? С точностью до наоборот — их очень легко и быстро менять и подделывать (можно хоть каждую платежку посылать с новым MAC-адресом).
А теперь вернемся к вашей аналогии и посмотрим, как она будет выглядеть с учетом сказанного.
Представьте такую картину: преступник из своего оружия выпускает очередь (= посылает серию криминальных платежек), и каждая вылетающая пуля имеет не только свой рисунок царапин, но и свой калибр, вес, длину и т.д. 10 выстрелов — 10 разных пуль и гильз на любой вкус (начиная от артиллерийского снаряда и кончая дробью). Причем ни одна из них не соответствует реальному стволу, из которого стреляет преступник. Согласитесь, это уже и стволом-то назвать нельзя — это суперствол!
Дорогой ли он, трудно ли его достать? Увы, доставать суперствол вообще не нужно — он бесплатно(!) есть у каждого(!) человека. Максимум, что требуется — узнать, как им пользоваться. А пользоваться им за 5 минут может научиться хоть школьник, хоть домохозяйка (интернет завален инструкциями, как менять MAC-адреса — причем даже в картинках).
Итак, что мы имеем в результате? У всех людей (не только преступников) уже от рождения есть суперстволы, которые могут стрелять какими угодно калибрами и царапинами пуль и любой может этому научиться за 5 минут. Вот теперь ваша аналогия близка к реальной ситуации с MAC-адресами.
И вот в условиях поголовного обладания описанными выше суперстволами кто-то наверху вдруг издает указ об обязательном отстреле реальных стволов для формирования пуле- и гильзотеки. И это еще не всё: сама процедура отстрела, достоверность ее результатов и какой ствол был отстрелян — реальный или виртуальный суперствол — всё ложится на совесть самого заявителя. Занавес…
А теперь с учетом вышесказанного ответьте честно:
— Так ли я был неправ насчет низкой эффективности этого решения в целях поимки преступников? Особенно если учесть, что сам злоумышленник отстреливает свои стволы, а в банк несет только бумагу?
— Как вы оцените умственные способности преступника, который имея при себе суперствол, тем не менее во время преступления тупо стреляет своим реальным стволом, зная, что ни гильзы, ни пули с места преступления забрать гарантированно не сможет? И это еще не всё: он со своим реальным стволом идёт даже не на одно, а на несколько дел, связь между которыми в его интересах максимально скрывать (ваш пример-контраргумент «Злоумышленник может с одного адреса проводить операции по счетам нескольких клиентов в разных банках»). Так ли далек я от истины, назвав такого преступника дураком? Вы-то сами как такого уникума назовете?
Специально отмечу во избежания повторения кривотолков: я нигде не утверждал и не утверждаю, что MAC-адреса никогда и ни при каких обстоятельствах не пригодятся — в случае поимки идиотов они действительно могут пригодиться. Я лишь утверждаю, что они малоэффективны.
Если он дурак, то да — может. Особенно суицидно это будет выглядеть после принятия обсуждаемых изменений.
Т.е. в данном случае ЦБ РФ заботится не о вашей безопасности, как пользователя платежных систем, а о том, чтобы побольше собрать информации о вас, как потенциальном преступнике.
Надо ли говорить, что настоящие преступники — не полные идиоты. Поэтому собранные у них IP и MAC-адреса мало чем помогут. Для банка они нарисуют любой MAC-адрес, который не имеет ничего общего с реальным MAC-адресом их оборудования. IP укажут какого-нибудь прокси-сервера — в проекте нет ни слова про запрет использования прокси-серверов.
И да: поправьте, если я неправ, но в тексте предлагаемых изменений я нигде не увидел упоминания, что банк теперь по закону будет обязан отклонить платеж, если IP или MAC не совпадают.
Но согласитесь и вы, что вопросы, какие материалы можно безбоязненно держать на интернет-ресурсах, а за какие можно заработать проблемы, вопросы интернет-этики содержимого таких ресурсов, ответственности за наполнение их третьими лицами и т.д. касаются всех, кто создает и поддерживает свои сайты. Т.е. тема достаточно многогранная.
Здесь лучше ограничимся оценкой поступка айтишной компании (Google) в рамках айтишной же сферы (какие материалы хранить на сайте).
www.guardian.co.uk
www.huffingtonpost.com
Я не сторонник оскорбления чьих-то религиозных авторитетов, то больно уж реакция несоизмерима (IMHO) содеянному.
Мы даем оценку происходящему (естественно, со своей м-а-а-аленькой колокольни взглядов на здравый смысл). Пусть решение суда абсолютно законно по бразильским законам — нам это не мешает удивляться идиотизму если не бразильского суда, то бразильских законов.
Если следовать «логике» бразильского суда, то каждый бразилец, работающий за рубежом, тоже должен своей свободой отвечать за выходки руководства своей страны — независимо от того, может он повлиять на него или нет. Чуть что не так — под арест. Ну разве не идиотизм?