Брюс Шнайер: «Почему мы принимаем подписи по факсу?»

    Гуру криптографии, разработчик шифров Blowfish и Twofish, Брюс Шнайер в своём блоге рассуждает на интересную тему: почему, при всём недоверии к документам, передаваемым по электронной почте, многие организации доверяют подписям на факсах? Ведь это самое странное, что можно только придумать. В самом деле, подделать их не составляет никакого труда: достаточно вырезать кусочек одной бумажки, наклеить на другую — и отправить по факсу. Для этого не нужно ничего, кроме ножниц и клея. Справиться может даже ребёнок. Факсы настолько слабо защищены от подделок, что если подумать — странно, что в наше время кто-то вообще принимает их.

    Брюс Шнайер говорит, что сам он неоднократно отправлял по факсу различные документы, в том числе контракты на книгу, банковские документы на авторизацию кредитной карты, соглашения о неразглашении и т.д. «Просто удивительно, как организации иногда стремятся воспринимать в качестве верифицированных эти низкокачественные, неверифицированные сканы, которые передаются по общедоступным линиям связи, если они наотрез отказываются принимать ту же информацию в виде сканов высокого разрешения по (относительно безопасной) электронной почте», — удивляется Брюс Шнайер.

    Размышляя над этим феноменом, Брюс Шнайер приходит к выводу, что относительная защищённость факсов воспринимается на уровне человеческой психологии только в широком коммуникационном контексте. Почти всегда факсовые копии являются лишь частью большой транзакционной схемы, в которой работают гораздо более надёжные системы верификации. Впрочем, непонятное доверие людей к факсам иногда проявляет себя в полной мере. Например, 30 октября 2004 года из тюрьмы в Мемфисе был досрочно освобождён заключённый Тристан Вилсон после того, как тюремное начальство получило факс якобы из местного полицейского участка (на самом деле факс отправили сообщники Вилсона из близлежащего «Макдональдса»).

    Как всегда говорил Брюс Шнайер, самое слабое место практически в любой системе — это человеческая психология. Кстати, недавно гуру криптографии даже написал книгу о человеческом мозге.
    Поддержать автора
    Поделиться публикацией

    Похожие публикации

    Комментарии 85

      0
      доверяй, но проверяй - второе обычно игнорируется :(
      хотя сканы документов в максимальном качестве которые летают почтой для усорения процессов до предъявления оригниалов тоже очень легко поделываются, притом подделываются всё, какая бы не была бумага, любые росписи и печати
        0
        для этого существует электронная цифровая подпись!
          0
          и vpnключи, но если сразу слать подделку ;)
            0
            при использовании ЭЦП, vpn автоматически является лишним. Так как ЭЦП гарантирует, подлинность документа и подтверждение авторства
              0
              эцп дополнительно гарантирует подленность подделки, как и передаче факсом - оба варианта позволят в принимающую организацию просунуть вымышленный/подддельный/несуществующий документ, хорошо если потом сделают и подвезут оригинал/настоящий, но не факт
                0
                если использовать эцп совместно с заведомо поддельным документом, то можно привлечь к ответственности за такое дело, если установить факт поддерлки. а вообще верить копиям это глупо. это и есть основная и единственная мораль данной статьи
                  0
                  наверное только при эл.документах можно привлечь, а когда заверяется копия/представление то там по ситуации уже и продолжению ... ещё на факсах можно чековую ленту легко поделывать ;)
                    0
                    эцп только для эл. документов и нужна ;) подпись то электронная
                      0
                      это как дополнительная же подпись
                        0
                        нет. ЭЦП является равнозначна собственноручной подписи при соблюдении следующих пунктов:
                        1) Сертификат подписи, относящийся к ЭЦП, не утратил силы на момент подписания документа;
                        2) Подтверждена подлинность ЭЦП в электронном документе;
                        3) ЭЦП используется в соответствии со сведениями, указанными в сертификате ключа подписи.
                          0
                          но в вариантах когда шлётся подделка факсом или скан е-мылом, эцп будет как доп. заверяющая - если делать полонценный э.документ подделку, то возится со типа сканами и факсами вообще бесмыслено
      • НЛО прилетело и опубликовало эту надпись здесь
          +8
          Вообще-то факсам доверяют не поэтому. Тут играет роль три фактора:
          1. На странице указывается служебная информация, в том числе и номер откуда был отправлен факс, причём номер передаётся с АТС. Это не так просто подделать, хотя я думаю что возможно.
          2. У нас в стране факсы обычно принимают после краткой беседы и волшебного слова «стартуем».
          Т.е. отправитель представится и может быть узнан по голосу.
          3. Тупость сотрудников организаций. В первую очередь «промежуточного» начальства (здесь главный , но есть и поглавнее). Вот эта категория боится ответственности до энуреза буквально. А компьютер для них — «шайтан-шарманка». Я когда в госструктуре работал, всё удивлялся — помимо админа там нормально пользоваться электронной почтой могли от силы человек 5. В другой конторе — ещё хлеще. Максимум — по жёстко заданному алгоритму отправить/забрать почту через клиент/вэб-интерфейс. Малейшие трудности вызывают либо ступор, либо истерику.
          Из трёх факторов во внимание принимается почему-то только последний.
            0
            Это у нас не знают, что такое автоприем.
            А вместо номера телефона, с которого пришел факс, можно написать текст.
            Это настройка факса отправителя.
            Последний факт действительно более актуаленю
              0
              Автоприём — это постоянно пустой факс и куча рекламного барахла. Сейчас стало куда как меньше — за спам могут и прижать по закону, но память людская хранит это обстоятельство.
              А номер кстати атсовский выводится. Но может выводится и тот, что с другого факса — так что надо внимательно смотреть где какой, можно перепутать. Может это не у всех моделей — не в курсе.
                +1
                в большинстве современных моделей есть функция callid - запрос на атс о номере звонящего абонента, однако, например в Украине абсолютное большинство атс эту услугу не поддерживают.
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Она запршивает АТС, а ту обмануть - раз плюнуть. С этого в 60е годы, собственно, начались хакеры.
                      0
                      Ну, скажем, не хакеры, а фрикеры - так более корректно. И не с 60х годов а позже. И АТС были в то время другие, согласитесь. В настоящее время все центральные АТС переведены на цифровое оборудование, а не релейные станции как было ранее.
                        0
                        А толку-то? Релейных АТС вполне достаточно ещё. И тех, которые позылают звуковой сигнал (на который можно брелком ответить) чтобы узнать номер абонента - тоже. Я не знаю людей, которые отказались бы принимать факс оттого, что его с релейной АТС прислали. А там... ищи ветра в поле...
                      0
                      Говорят в каких-то штатах Америки законодательно предписывается настраивать правильный номер и правильное название организации. Этим бумажка из факса приравнивается к официальному документу.
                      Вспомнил, это в инструкции к моему рабочему МФУ было написано.
                        +2
                        Осталось только понять почему человек решивший нарушить один закон и послать подделку вдруг откажется от нарушения другого...
                  +4
                  «стартуем» — ружнимагу, как-то отправлял факс в Россию, так они достали своим алёканьем в ответ моему факсу :)
                  я нажимал кнопку "отправить", а связь почему-то обрывалась и обрывалась.
                  и ведь указано два номера, телефонный и факс, звонишь на телефон, уточняешь номер факса, отправляшь факс — облом. звонишь снова..
                  оказалось, у них там авторизация голосом :)
                    +4
                    У меня хуже было когда несколько лет назад нужно было факт отправить - я засунул в факс бумажки и ушёл. Он же сам отравлять всё должен. Не знаю с какой попытки они догадались что заткнуть этого зверя можно только если дать ему факс, а иначе он так и будет звонить часами - но разговоры про мою "тупость" долго ещё ходили. Причём до сих пор помню ощущение полное взамное непонимаения: я не мог понять как можно принимать факсы с голосовой авторизацией (и до сих пор я твёрдо уверен что это просто-напросто желание почувствовать свою значимость), они - как я могу исключить из процесса человека.
                      0
                      я думал, у них просто факсы старинные или недостаток свободных номеров, вот и висят на одном номере и факс и телефон
                      в комментах написали, что это типа капча такая — спамера можно лично послать на йух :)
                    0
                    > причём номер передаётся с АТС.

                    Номер забивается в настройках факса, АТСом тут и не пахнет. Есть функция callerID, но в большинстве случаев она либо отрублена, либо глючит.
                      0
                      Не знаю как в США, но в России документы, переданные при помощи факсимильной связи,имеют юридическую силу только при условии, что почтой будут отправлены оригиналы. В Белоруссии документы, переданные при помощи телефонной связи (именно так закон величает факс), вообще не имеют юридической силы.
                        0
                        На Украины документы, отправленные по факсу, равно как и по электронной почте, имеют юридическую силу, равную передаче бумажных документов.
                          0
                          Но, при условии, если стороны про это договорились в предварительном бумажном договоре?
                            0
                            Не обязательно.
                      0
                      самая большая дыра в безопасности при любом ландшафте - это человек. и это не новость.
                        0
                        Вообще в T.30 есть поддержка шифрования передачи и соответствующее оборудование его поддерживающее. Так что все претензии к самой процедуре передачи факсимильных сообщений, в которую включен и человеческий фактор.
                          0
                          Я работая сисадмином. Принципиально не пользуюсь факсом. И любой конторе с которой мы сотрудничаем я сразу говорю:
                          "Неумею пользоваться факсом + донего надо идти + произносить мегозаклинание и вообще недоверяю этому устройству-бильдапарт ;) давайте я вам по мылу зашлю)"
                          Из википедии:
                          Факсими
                            +2
                            никогда не пользовался факсом и не сталкивался с ним...возможно это к лучшему
                              +4
                              Факс - самый быстрый и распространенный способ доставки документов.
                              Сравним с ближайшим конкурентом - email. Нужно сделать скан, наверняка возникнет много проблем (то скан большой, то еще чего), затем нужно отправить его в надежде, что почта не подведет. А некоторые люди, вобще, до сих пор на модеме.

                              Прогресс = скорость + удобство. Факс в разы выигрывает у email. Все недочеты - человеческий фактор (про тупость уже писали выше)
                                –2
                                Хороший камерофон в разы выигрывает у факса:)
                                  +2
                                  Будете отсылать заказчику/партнеру криво сфотканный документ с бликами?
                                    0
                                    Это уже дело техники. Ну если уже зашла речь о качестве, то можно и сканером воспользоваться. По-любому быстрее, чем 14400, а в случае передачи факса за бугор - то и дешевле.
                                      +2
                                      Я кучу раз отсылал. Кстати - автоуровни + автоконтраст работают отkично ;) Результат гораздо лучше обосратых факсов с чёрными пятнами.
                                      –1
                                      Фотографии даже с самого хорошего телефона дальше друзей лучше не распространять.
                                      0
                                      Чтобы сделать скан и отослать его нужно засунуть скан в машинку, нажать кнопку и вписать адрес отправителя (или выбрать из адресной книги если туда что-то регулярно отсылается). Всё. Ни дурацкой голосовой авторизации, ни дозвона. Если у вас нет подобного оборудования, то это не значит что его не существует. Если же у вам нет факс аппарата (а продвинутые решения мы явно отказались рассматривать, да?), то вам точно также нужно будет всё отсканировать, разобраться в программе отылки факсов (а её по умолчанию почти нигде не ставят) и ждать пока эта сволочь дозвонится и всё передаст.

                                      Электронная почта явно удобнее, как ни крути.
                                        0
                                        umputun в своем подкасте упоминал как-то, что в штатах факсы отмирают. найти факс стало сравнимо по сложности с проблемой найти на почте телеграф...
                                          0
                                          Если бы. Контор, которые принимают факсы со сканами паспорта и не принимают e-mail с тем же самым - ещё полно. Причём наблюдается полный сюр: я посылаю со сканера e-mail к себе на компьютер, потом печатаю это дело на принтере и засовываю в факс. И нафига, спрашивается, вся это пертурбация?
                                            +1
                                            Используй mail2fax сервисы, зачем так извращаться?
                                          +1
                                          Электронная почта явно удобнее, как ни крути.

                                          Именно поэтому сейчас существует множество гейтов email-to-fax.
                                          0
                                          Сейчас документы все равно в большинстве своем создают на компьютере. Правда, после этого печатают и отправляют факсом :)
                                            0
                                            Вот то то и оно )) Не кажется вам что это бред ?
                                              0
                                              Это был ответ на комментарий, в котором, наоборот, утверждается, что e-mail для отправки документов менее удобен, ибо документ нужно сначала отсканировать, и затем большой скан с проблемами отправить по почте «в надежде, что почта не подведет». Хотя соглашусь, что формально спецификации большинства распространенных почтовых протоколов не гарантируют доставку сообщений.
                                                0
                                                Факс тоже ничего не гарантирует. Или вам не приходилось перепосылать факсы "потому что у нас номер не читается"?
                                                0
                                                Это - ещё не вершина идиотизма. Вот когда тебе присылают .PDF в котором лежит скан факса документа, который был распечатан на компьютере... возникает просто непередаваемое ощущение...
                                                  0
                                                  OMG,бывает же такое) НУ это вершина развития ХомоСапиенс. Труд сделал из обезьяны, человека)
                                                    0
                                                    буквально на днях такое было(( и офисный планктон не мог понять почему нельзя сделать буквы более разборчивыми нажимая на +zoom - а у факса разрешение очень плохое а если потом еще и сканировать ЭТО криво ...
                                                  0
                                                  А разве нет возможности отправить факс непосредственно с компьютера?
                                                +1
                                                Для меня существование факса с детства было парадоксом. Возможно потому что мать десяток лет проработала за вычислительными машинами и рассказывала о всех новейших технологиях, компьютерах, устройствах, я считала факс однобоким и неумным.

                                                Но это было в то время, больше десяти лет назад и тогда, возможно, действительно не было доступной альтернативы. Но сейчас, в наши дни пользовать факс... Для меня непонятно. Хотя где-то для кого-то может быть и незаменимо.
                                                  0
                                                  Речь об использовании факса не для передачи информации (в некоторых случаях это все еще удобно), а для ее верификации устаревшим способом, что уже неуместно и попросту опасно.
                                                  +1
                                                  мне кажется здесь несколько проблем:
                                                  1. не у всех сканеры. Если есть сканеры, то нужно либо спец. человек, который ужмет скан, либо самому ковырять программу. Огромное подспорье - это скан с возможностью отправки почты, то есть он сам все ужимает, тебе просто надо адрес почты набрать.
                                                  2. факс есть практически у всех. его не нужно цеплять к компу, для него не нужно ставить софтину, вставил в него бумажку и отправил. Это проще для "старшего" поколения сотрудников.
                                                  3. ну и третье - это то что отправляя что то по факсу, ты подтверждаешь, что на том конце его ждут и что потом тебе вылезет бумажка о том, что факс передан.
                                                  4. я не видел ни одного полностью компьютеризованного гос. учереждения, а интернет там вообще редкость. Там только факс и помогает общаться с внешним миром.
                                                  p.s.
                                                  я сам факсов сторонюсь и побаиваюсь :)
                                                    0
                                                    сканеры тоже умирают. сейчас проще щёлкнуть лист на цифромыльницу (-:
                                                      0
                                                      Факсими
                                                        0
                                                        Вообще-то МФУ со сканерами сейчас стоят практически везде.
                                                          0
                                                          Полностью присоединяюсь. Основной недостаток e-mail - это то, что ее надо регулярно просматривать и оперативно реагировать. С факсом все проще - все реал-тайм: звонок, голос "примете факс, стартуем" на том конце, тут же принят документ, который по-умному обязательно зарегистрировать надо, как входящий (+ в факсе журнал ведется) - и все, документ уже в обработке. Опять же на стол руководителю можно сразу отдавать (в зависимости от ситуации).
                                                          Путь электронного письма не так очевиден. Пришло письмо на сервер. Надо еще клиентом периодически проверять, нет ли новых писем. Это надо у компьютера торчать, реагировать на все письма (спам опять же глазами пробегать).
                                                          Реально в деловой жизни, какая бы ответственная контора не была - после того, как отправил мыло, надо позвонить и сказать "смотрите, мы вам мыло отправили", если хочешь оперативной реакции. Если не звонить - то срок реакции может исчисляться в лучшем случае несколькими часами, в худшем - днями.
                                                          Короче, мыло - маскируемое прерывание, факс - немаскируемое. Поэтому факс, очевидно, воспринимается как более серьезный способ связи. И дело тут наверное не в достоверности/безопасности, а в сложившемся (десятилетиями, кстати) документообороте и распорядке деловой жизни. О вопросах верификации в данном контексте задумываются в последнюю очередь.
                                                            0
                                                            >все реал-тайм: звонок, голос "примете факс, стартуем" на том конце, тут же принят документ
                                                            Всегда недоумевал зачем отвечают голосом по телефону _явно_ и _отдельно_ от голосового указаного как факс.
                                                            >тут же принят документ, который по-умному обязательно зарегистрировать надо, как входящий
                                                            ну да. И специальный человек к этому факсу приставленый. Чтобы разбирать и регистрировать бумаги. - Какая у вас профессия? - Менеджер факса! Я отвечаю на звонки факса, отрываю бумажки и отношу их на регистрацию! :)
                                                            Круто, но большая, вероятно, должна быть контора, которая может позволить себе такое. По-моему, факс - это такая шайтан машина, которая стоит в уголке, иногда гудит-жужжит и что-то печатает. Сугубо в оффлайне.
                                                          0
                                                          Тут кто-то упомянул старшее поколение, скорее всего его психология и является причиной сохранения доверия к такому архаизму, как факс. Это из той же серии, что доверие к печатному слову, к телевизору (что умело эксплуатируют некоторые личности). Чтобы самим не превратиться в таких вот ретроградов, желательно почаще пересматривать свои привычки и жизненные стереотипы с предельно рациональной позиции: очень может быть, что среди них затаились еще более дремучие архаизмы.
                                                            +1
                                                            А я думаю, что всё дело в том, что под "документооборотом" до сих пор понимают оборот бумажных документов: вставил бумажку в шайтан-коробку, на том конце провода из шайтан-коробки вылезла такая же бумажка...
                                                              +1
                                                              угу, а если отправленная вылезла с другой стороны - значит факс не передан:)
                                                                0
                                                                было бы здорово увидеть факс и шредер одновременно. запускаешь бумагу с одной стороны, он отправляет, а с другой уже лапша вылезает. правда нехорошо может получиться - если факс не улетит, а бумажка уже измельчилась :)
                                                                  0
                                                                  А вот это уже будет игра для поднятия корпоративного духа и просто сплочения коллектива: собери важный документ из мозаики :-D
                                                                    +2
                                                                    У меня шреддер новомодный, с эзернетом. Определяется как принтер. Особо важные документы можно печатать напрямую: Print to shredder.
                                                                      0
                                                                      чувствую что работа секретарш теперь будет оцениваться по другому... :)
                                                                        0
                                                                        Как мило.
                                                                    0
                                                                    Иногда наличие физической печатной копии документов регулируется юридическим, финансовым или каким-либо еще законодательством. Так что даже если внедрена система электронного документооборота, для «так положено» печатается бумажка, и ее украшают печатями и подписями.
                                                                      0
                                                                      Физическая бумажка с реальной печатью и подписью - это понятно. Но факс-то это просто филькина грамота!
                                                                        0
                                                                        Нет гарантии, что это физическая печатная копия, в этом соль-то.

                                                                        Если бы факсы-машины выпускала какая-то уполномоченая организация, все факсы имели встроенные цифровые подписи (сертификаты безопасности), которые нельзя менять и которые привязывались бы к компании, в протокол соединения был включен обмен ими - это была бы _физическая_печатная_копия_.

                                                                        А пока это засранство на плохой бумаге.
                                                                          0
                                                                          это правда. насколько мне известно бухгалтерия в компании должна храниться в печатном виде чуть ли не 5 лет.
                                                                        0
                                                                        А что тут думать, для многих (да оно фактически так и есть) факс намного проще нежели компьютер. Про компьютерные угрозы/взломы/атаки мы слышим отовсюду, а кто слышал, что поломали факс? Да он такой простой, что и ломать не надо :). Вот и не пишут. Раз человек не слышал об "акатак на факсовые докумены" значит ему [факсу] можно доверять. Получаем вопрос обективной сложности.

                                                                        А вообще такие вопросы должны решаться СБ предприятия, и если таковых нету, то и говорить о защите нечего. Мне в банке количество денег на счету по телефону говорить не хотят, не то что бы по факсу у меня заявления принимать.
                                                                          0
                                                                          банки - отдельная история. там и СБ есть, и люди не глупые сидят, ввиду цены ошибки.
                                                                            0
                                                                            Ага. Догадайтесь с трёх раз откуда я получил PDF со сканом факса? И куда мне нужно было потом этот заполненный бланк факсом отправлять? Вот именно туда - к неглупым людям... В не такой вроде отсталой стране как США...
                                                                            0
                                                                            В СССР факс некоторое время называли бильдаппарат.
                                                                              0
                                                                              А вот про копиры нарыл:

                                                                              «Оттерить» - сделать ксерокопию. Поправочка от любителя русского языка (и для истории): по-моему, правильнее писать отЭРИть. Как мне объясняли старшие товарищи, раньше в совдепии был копировальный аппарат одной марки «Эра» - от его названия это слово и образовалось.

                                                                              Итого: раньше - оттерить, потом - отксерить, теперь - откопировать :)
                                                                                0
                                                                                у меня до сихпор "ксерят"
                                                                            +1
                                                                            а я завтра покупаю факс =)
                                                                            менеджер сказал надо, я ему доверяю, поэтому дал добро.
                                                                            без факса тяжело работать с юр.лицами

                                                                            факсы не отправляю принципиально, зато обожаю волшебное слово "Стартую!"

                                                                            хотя наврал, один раз я все таки послал факс сам себе - т.е. на одну телефонную линию воткнули случайно два факсовых аппарата, стало интересно что будет если одновременно нажать волшебную кнопку старта - и получилось таки, на удивление всем!
                                                                            факсы друг другу чтото долго наскрипывали, но в итоге договорились!
                                                                            один бумажку проглотил, другой выплюнул копию!

                                                                            по итогу бухгалтершам было объявлено что так надо делать ксерокопии =)
                                                                              0
                                                                              =) Насколько я знаю современный факсы умеют делать копии без пересылок.
                                                                              Вспомнил на предыдущей работу у нас была офигенна МФУшка так она была лазерным принтером, копиром, сканером и отправляла факс и была подключена к сети и компу. Вот это вещь! Когда ты хочешь отправить документ не надо чтотоделать и думать просто нажымаешь на утсройстве отправить на мыло: он сканирует документ как текс в минимальном разрешении ну чтобы много не весил документ.. а на компе у тебя открывается почтовик с уже вложенным отсаненым доком) Здорово блин. ТАк же и на факс)
                                                                                0
                                                                                да в курсе что можно, но уж очень смешно было на них смотреть. они же верят...
                                                                              0
                                                                              Если я ничего не путаю, то в США факсимильный документ имеет такую же юридическую силу как и подписанный документ и отправленный по обычной почте. В России же только подписанный документ имеет юридическую силу, плюс электронная подпись. Потому у них отослал факт, принял потверждение - договор подписан. У нас пока не встретишься лично и не подпишешь - процесс не пойдет.
                                                                                0
                                                                                часто в договорах в конце есть пункт, что факсимильная подпись имеет силу. это удобно когда хочется побыстрее денег на счет получить от клиента, а не ждать 2 недели пока дойдет договор почтой, будет подписан, и отослан обратно клиенту.
                                                                                  0
                                                                                  Вообще часто пункт звучит примерно так: "Документы, переданные средством факсимильной связи имеют юридическую силу наравне с оригиналами при обязательном последующем обмене оригиналами". Хотя если речь про договора, и вообще взаимодействие между юрлицами - то проблемы безопасности тут не так очевидны. Обычно помимо факса есть куча других контактов - от сотовых телефонов директоров до личных знакомств с сотрудниками. И в этом случае факс как бы подтвержден по другим каналам... Типа позвонил директору и говоришь "я там твоим ребятам факс отправил, смотри, все в нем". Вобщем, лично я считаю что транспортно факс имеет лишь один недостаток перед мылом - низкое разрешение, чернобелость. А по безопасности - примерно одинаково.

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                              Самое читаемое