Комментарии 210
При чем мы сейчас не говорим о «получили денег и выдали кому попало», а именно о «ой, вы забилы паспорт? а скан есть? скиньте на почту и забирайте подпись»
С недвижимостью подстраховку сделали от этого (нужно отдельное заявление или получение подписи в определённых УЦ), а вот с остальным полный швах.
Можно ли про это поподробнее?
Можно подать заявление в Росреестр, что все сделки с вашей недвижимостью могут осуществляться только с вашим личным участием.
ЕМНИП ст.36 Федерального закона от 13.07.2015 N 218-ФЗ.
Поэтому где-то с августа 19 года по умолчанию ЭЦП не годится для регистрации сделок с недвижимостью. www.cnews.ru/news/top/2019-08-12_vlasti_zapretili_elektronnye_podpisi_dlya_vseh
Что бы использовать ее для таких сделок — надо или
а) отдельно подать заявление в росреестр что бы она принималась для таких сделок (можно через мфц или напрямую или еще как-то)
б) сразу получать подпись в особых УЦ (нам известен только росреестр но вроде еще есть)
Подробности пока не известны — суд только предстоит. Но зато я лично присутствовал при последующем выпуске уже подлинной подписи: — вот ваш USB-ключ, держите обратно ваш паспорт… — А вы не хотите, чтобы я хотя бы маску снял? — Нет
Аккредитация скоро истечет, а собрать много бабла для уставного капитала (по новым правилам) "говно-УЦ" уже вряд ли смогут.
Аккредитация УЦ, полученная ими до дня вступления в силу рассматриваемого закона, будет действовать до истечения срока, на который они были аккредитованы, но не более чем до 1 января 2022 года.
Еще 9 месяцев будет «весело».
www.garant.ru/news/1313085
— Блокировка цифровой подписи
Обратите внимание, что в результате блокировки будет ограничено использование электронной подписи только на портале Госуслуг. Станет невозможно:
— Изменять настройки учетной записи
— Регистрировать учетные записи юридических лиц
В любой момент вы сможете разблокировать подпись.
Для полной блокировки вам необходимо отозвать сертификат электронной подписи, написав заявление в удостоверяющий центр, который ее выдал.
---
Надо обязательно подавать в суд. Это можно сделать удаленно.
Нужно подать заявление в полицию по факту мошенничества.
Нужно запросить УЦ подробности кому они выдали вашу эцп.
написал в прокуратору через госуслуги
больше ничего не нашел, если дадите какую-то ссылку буду благодарен.
Насчет УЦ — это сделали даже не они, а какие-то их партнеры. Вообщем полный треш, скоро паспорта будут раздавать.
yandex как подать исковое в суд,
как написать исковое.
pravoved оформить исковое.
Можно погуглить примеры исковых на подобные темы.
Вам нужно подать иск против регистраторов с треванием вернуть домен, так как эцп не ваша.
И иск против УЦ. Что выдали эцп левому лицу.
У вас алиби. Вы за границей. Вас физически в России не было. Дальше уже их проблема доказать кому они эцп выдали.
Я писал пару постов про мошенничество с ЭЦП в сфебе налоговой и бухгалтерской отчетности, когда пострадавшим приходит НДС, а мошенники получают эту сумму к вычету. Суммы — сотни тысяч и выше.
Если отчетность уже сдана и пришел штраф то милиция сама к вам придет, и вам придется доказывать что вы не верблюд, в известном мне случае процесс длился более года, были заблокированы счета у организации и владельца.
Если успели сдать уточненку, то повезло больше. В известном мне случае были собраны документы, включая копии фальшивого паспорта из УЦ, и поданы заявления в милицию, прокуратуру и минцифры.
Выхлоп — ноль. Милиция отписалась — обращайтесь в минцифры, прокуратура — в милицию и минцифры, минцифры — прислало письмо на нескольких страницах с текстом закона о цифровой подписи с припиской, что ваше заявление может служить основанием для проведения проверки в указанном УЦ. Всё.
В налоговой официально заявляют что это первый такой случай в истории и они сделать ничего не могут, даже подпись заблокировать, а неофициально, что случаев таких полно, что известны «хорошие» и «плохие» УЦ.
В общем — это источник получения денег и денег немалых, курица несущая золотые яйца. Кто-ж ее удавит.
Обвинения сняли, разблокировали счет компании, сняли арест с личного. Вы честный человек, уплатите штрафы+пени за несданную отчетность и неуплаченные налоги за прошедший год и желаем успехов в развитии бизнеса, мы работаем для вас.
Насчет УЦ — это сделали даже не они, а какие-то их партнеры.
Согласно законодательству — это сделали УЦ. Нет такого понятия "партнеры". Удостоверяющий центр отвечает за все действия своих "партнеров". Если сможете доказать, что ЭЦП была выдана неправомочно (а, судя по описанию, в вашем случае доказать это — без проблем), то можно хорошо "придавить УЦ. Начиная со штрафа, и заканчивая отзывом аккредитации.
432072, Ульяновская обл., г. Ульяновск, проспект Туполева, д. 31, офис 210
Уважаемые клиенты! Мы приняли решение временно приостановить работу офиса начиная с субботы, 21 марта 2020 года. Мы по-прежнему будем принимать и обрабатывать ваши заявления на смену администратора в зонах .RU,.РФ, .SU и заявления для безбумажных операций с доменами по почте (нотариально заверенные оригиналы).
Не из-за этого ли случая?
они что накрылась?
На днях домены продлевал…
Перепугали, там дата 2020 в связи с пандемией...
Да, это так, хотя по сути 2domains сделал то что положено… А вот тех кто выдал ЭЦП надо наказывать, один только вопрос как...
Как показывает мировая практика, помогает но не на 100%
Некоторых даже перспектива пожизненного заключения и смертной казни не останавливает. Но дело не в этом, проблема в принципиальной невозможности адекватной компенсации (и адекватного наказания) в текущем правовом поле, я писал именно об этом...
Т.е. если кто-то выпускает левую подпись то про неё можно быстро узнать и предпринять действия для блокировки подписи.
А можно и не успеть, особенно если на твои активы ведется целенаправленная охота и тебя подловили в период вынужденного оффлайна. Кроме того, если вдруг новая ЭЦП была создана "внутри", такое письмо может и не быть вообще отправлено, а кто ради такого будет постоянно сидеть на сайте, мониторя список подписей (даже если у них есть АПИ для такого)?
Если идёт атака на активы то действительно, могут уводить почту, телефон ЭЦП и т.д. Но получение нотификации что симка перевыпущенна или кто-то получил ЭЦП красный флажок что открыта охота. а запоздала не получение информации о продажи квартиры из того что коммунальные услуги стали приходить на другое лицо.
В общем печально. Это конечно лучше чем ничего, но это очередная борьба со следствием, а не с причиной (очень в духе наших законотворцев в последнее время).
Что-то я не понял, а при чем здесь reg.ru, если дело в поддельной ЭЦП?
1) не все регистраторы умеют делать это через ЭЦП, reg.ru умеет, только вот не всегда это полезно.
2) reg.ru никак вас не уведомляет об этом по почте или еще как-то. Защититься вы от этого не можете. На каких-то сайтах требуют двухфакторную авторизацию на аккаунте для этого
Их хренова куча (400+) и много из них коррумпированы в той или иной степени, как и всё у нас...
Вот цитата одного из судебных решений:
обратившись в МФЦ он узнал, что ответчик является собственником его квартиры на основании договора дарения от 28.09.2018 года, заключенного посредством электронной подписи истца. Однако никаких сделок по отчуждению квартиры истец не совершал, договор дарения не подписывал, электронную цифровую подпись не получал
вы поймите такую вещь, в этой стране особенно (и во многих других) вся сертификация, мед освидетельствования, выдача любых прав, лицензий, и весь этот бред существует как государственный рэкет для зарабатывания денег (косвенный налог) а не средство кому-то сделать что-то "удобно" или "безопасно". вся сертификация это на 90% просто узаконенный способ переложить деньги из кармана который из заработал в тот, который ничего не умеет, но у которого связи и крыша. сейчас это просто выросло до уровня государства. про мошенничества с ЭЦП только ленивый не слышал, в самом деле — полный идиотизм. любая шарашкина контора может начать оперировать ЭЦП и ты даже не узнаешь что у тебя увели бизнес/квартиру/налоговые вычеты. те кто в России придумывает законы понятия не имеют о том как эти законы будут работать, а тем более как их исполнять. о подводных камнях законодатели вобще не слышали, они никогда не сталкиваются с последствиями своих законов потому что живут в другом мире. отвечают только простые граждане, а тем кто знает как в России работает закон всегда просто — закрыл компанию, открытую на подставное лицо и не при делах.
не надо объяснять коррумпированностью то, что легко объясняется обычной глупостью. печатаете паспорт на принтере и клеите фотку похожего бомжа, и убираем всю коррупцию и даже национальный идиотизм — какие инструменты у клерка, выдающего вам ЭЦП удостовериться что вы это именно вы? паспорт есть, похож? похож
печатаете паспорт на принтере и клеите фотку похожего бомжа, и убираем всю коррупцию и даже национальный идиотизм — какие инструменты у клерка, выдающего вам ЭЦП удостовериться что вы это именно вы?
Паспорта с чипами не вчера придумали. Загранники с nfc (Россия), эстонские, казахстанские удостоверения личности (ID Card) с чипами (требуют кард-ридера, но тем не менее). Причем эстонскому хау-ноу уже лет 15, не меньше, а казахстанскому (который они честно лицензировали у эстонцев) уже тоже не меньше 12 лет.
Ну а насчет ЭЦП, это как пинкод написанный на карте, банкомат выдаст деньги тому кто его ввел и не спросит вас, ну только что СМС пришел по факту))
А по сути вопроса
Как можно избежать того, что ваш домен был украденне регистрируйте .ru доменов у российских регистраторов будет коротким ответом))
ЭЦП для того и придумана, чтобы можно было удалённо выполнять различные действия, в том числе операции купли-продажи, передачи прав и т.д. и т.п. В том что вашу подпись подделали какие-то жулики вины регистратора нет.
Это всё равно, что требовать от банка, чтобы он ввёл двуфакторную авторизацию в банкомате. Сначала вводишь пин, а потом пароль из смски, а то вдруг я потеряю карту с написанным на ней пинкодом.
Или нужно уведомление в стиле «ваш домейн угнали и теперь ничего по этому поводу сделать нельзя»?
Затем что может угнали эцп, а не почту. Угнать и то и другое гораздо сложнее. А вот уведомление лишние вреда не сделает.
Если бы было уведомление типа «Кто-то угоняет. Кликните тут для отмены», то это полезно. Но если уведомление типа «Угнали. Поздняк», то от этого пользы мало. Я об этом.
Конечно, любое уведомление нужно, что бы можно было начать предпринимать какие-то действия как можно раньше. Я больше про то, что это не защита от угона в данном случае.
подделать ЭЦП
Не подделать, а просто выдать рандомному человеку.
Это очень простая процедура (еще недавно была) у многих УЦ.
Всегда считал, что угнать почту — самое простое.
Расскажите как. Девичья фамилия матери? :)
А вот ЭЦП да, как уже указали, любой подмасленный сотрудник УЦ выпустит на любое имя в два клика.
И если в мировых УЦ которые выпускают сертификаты для TLS есть репутация и тех, кто забивает на безопасность, из доверия браузеров быстро выбрасывают. Плюс всякие Certificate Transparency.
А в наших "гос-УЦ" полный бардак.
Фишинг — один из самых популярных методов угона. Есть и другие способы.
и тех, кто забивает на безопасность, из доверия браузеров быстро выбрасывают.
История StartSSL, которого 4 года банили с вами не очень-то согласна. Наказание Symantec / Thawte / GeoTrust / RapidSSL растянулось на полтора года.
Видел мнение одного из экспертов в этой области, что «доброй трети УЦ из списка доверия браузеров ни один здравомыслящий человек доверять не будет».
Соглашусь, что на российском рынке дела обстоят так же хреново, как в вёбе лет 10 — 15 назад.
Certificate Transparency
Приходит и в наше болото, судя по истории автора, ну так и в вёбе тоже не все и сразу стали публиковать списки сертификатов. Это хотя бы движение в нужную сторону, может лет через 10 УЦ реально будут доверенными, без кавычек.
История StartSSL, которого 4 года банили с вами не очень-то согласна. Наказание Symantec / Thawte / GeoTrust / RapidSSL растянулось на полтора года.
Я не утверждаю что там всё идеально. Но, по крайней мере, эта схема вырабатывается на более или менее конкурентом международном рынке и довольно быстро развивается.
Видел мнение одного из экспертов в этой области, что «доброй трети УЦ из списка доверия браузеров ни один здравомыслящий человек доверять не будет».
Согласен. Вообще вся эта тема с центрами доверия, хоть и относительно распределёнными, довольно плохо пахнет. Штуки вроде DANE частично решают эту проблему, но скорее перекладывают создание цепочки доверия на регистраторов доменов и без того ужасно распухшую систему DNS.
Приходит и в наше болото, судя по истории автора, ну так и в вёбе тоже не все и сразу стали публиковать списки сертификатов.
Есть, конечно, некий шанс что они будут просто копировать лучшие мировые практики с запаздыванием на N лет, но скорее всего это просто стагнирует в какой-то момент в состоянии "и так сойдёт". Ибо конкуренции никакой нет, а новые стандарты вводить — это ж думать надо.
Ну это не атаки, а просто энумерация субдоменов. Если безопасность строится на их секретности — это уже плохо. Ну и вайлдкард никто не отменял.
Поэтому за отдельные деньги можно убрать CT с сертификата.
Мда? Это как? Тот же Хром требует чтобы все глобально-доверенные сертификаты имели CT начиная с 2018 года.
Use-case, когда нужно срочно одновременно и почту сменить (да ещё и без доступа к старой) и обязательно тут же перевести домен к другому регистратору я особо придумать не могу (кроме собственно угона домена). Скорее всего будет либо одно, либо другое, либо подождать некоторое время не проблема.
С угоном усложняется всё, конечно, так как угонщик обычно знает эти особенности и поджигает нужные мосты.
1. Кто-то по поддельной ЭЦП получает доступ к домену. Однако ближайшие 30 дней увести его к другому регистратору или передать кому-либо не может, потому что процедура восстановления доступа вводит временную блокировку операций смены владельца. Хочешь продать домен — не сбрасывай успешно пароль в день перед продажей (а если совсем не повезло, то ничто не мешает просто перенастроить IP, а обязанность передать домен зафиксировать в договоре купли-продажи, неудобно, но случай редкий и продавец войдёт в положение, к тому же деньги тоже можно как-то хитро передать, чтобы они не сразу пришли покупателю).
2. Настоящий владелец получает уведомление, потому что регистратор опять же по регламенту о любых восстановлениях доступа шлёт уведомления на все-все-все доступные средства связи владельца (даже те, к которым якобы был утерян доступ у владельца, раз он запросил восстановление). Это именно уведомление, без возможности отменить что-то по какой-то секретной ссылке, так что вред от рассылки кому попало невелик. Тут больше лучше, чем меньше.
3. Настоящий владелец хоть той же ЭЦП, хоть личным визитом возвращает себе доступ. В итоге мошенник уже не может инициировать передачу домена спустя 30 дней и ему надо снова повторять первый шаг. При этом владелец домена также инициирует отзыв ЭЦП, так что злоумышленник теряет ещё и её. Многократное получение поддельной ЭЦП на одно и то же имя в одном и том же УЦ (да ещё и с активным заявлением в полицию) значительно повысит риски поимки с поличным, так что мне видится сомнительным, что кто-то пойдёт на новую попытку.
Если владельцу домена очень хочется, то он уже сам обращается в правоохранительные органы, чтобы наказать УЦ.
Я к тому, что если идея ЭЦП сломана, то зачем ей так слепо доверять?
Проблемы будут только если владельцу наоборот домен надо срочно продать, а ему пытаются помешать, но надо понимать, что рано или поздно у него всё получится, а если прямо горит, то всегда можно подпереть продажу костылём — предоставлением доступа к админ-панели и фиксацией в договоре обязанности не восстанавливать доступ и инициировать нормальную передачу владения при первой возможности. Если домен настолько ценен, что за ним так охотятся, то покупатель войдёт в положение и как-то совместно с продавцом выработает решение.
Стоимость выпуска новой поддельной ЭЦП явно не нулевая (+ риски быть пойманным).
Риски там, думаю, близки к нулю. Искать их скорее всего никто не будет: или по принципу — вот когда убьют — тогда и приходите, или просто потому что это сложно (айти это ваше, чёрт ногу сломит).
Да и стоимость скорее всего тоже. Вон у автора домен 30к приносил в месяц — баннеров еще больше повесили и быстро окупили. А с недвижимостью то вообще...
В любом случае это значительно снижает риски.
И как же передать деньги продавцу, с гарантией того, что предыдущий владелец не отзовёт переоформление в течении 30 дней? Рассчитываться по истечении месяца? Так если домен уже твой, то зачем что-то переводить?
Короче, тут палка о двух концах.
1. Происходит предварительная договоренность о цене, условиях и тому подобном.
2. Заключается договор, открывается аккредитив
3. На счет аккредитива покупатель перечисляет средства
4. Продавец иницирует смену владельца домена
5.…
6. Как только владелец домена сменился в записях DNS, средства переходят на счёт продавца (PROFIT).
А то такими темпами вернёмся в средневековье, когда все договора скрепляли лично, да ещё и кровью, вдруг и ЭЦП подделали, и емэйл украли.
То что ЭЦП скомпрометировано и ничего не гарантирует, это не проблемы регистратора.
Отправить уведомление ничего не стоит ему.
Use-case, когда вам надо сменить e-mail владельца домена (при этом у вас нет доступа к старому) и тут же передать его другому регистратору, и при этом никак нельзя подождать дней 30 гораздо более редкие, чем угоны доменов.
Неприличная сумма это какая? Миллион вполне себе снимается в банкомате, главное чтобы деньги в нем были, да желательно не только лишь сотки. 10млн. снимаются в отделении за сутки.
Развод да, долго. Но только если есть дети иначе тоже достаточно быстро.
Данная ситуация конечно неприятная, но хаять регистратора, это всё равно, что катить бочку на администрацию города за то, что хулиганы подделали ваши ключи от квартиры и обнесли её, без предварительного уведомления вас по голубиной почте.
кто их партнеры не знаю
Жаль что у вас так с доменом получилось.
Отдел продаж: 8 495 765-82-32
Техподдержка: 8 (800) 301-57-25
Время работы: Пн — Пт с 9:00 до 18:00 (Мск)
E-mail: info@uc-stolica.ru
г. Москва, ул.Марксистская, д.3, стр.1, комната 55 (офис 528)
регламент УЦ — uc-stolica.ru/Reglament2.pdf
ему сертификат выдал Минкомсвязь России. Можно попросить отозвать сертификат Столицы если они не качественно проверяют людей при выдаче ЭЦП
Мы получили заявление на смену администратора подписанное квалифицированной усиленной ЭЦП. Её подлинность при проверке не вызывала сомнений, т. к. была выдана аккредитованным удостоверяющим центром. Наши специалисты всегда проверяют достоверность файла и подписи через специализированный софт («Контур.Крипто», «Госуслуги»).
В соответствии с ч. 1 ст. 6 ФЗ «Об электронной подписи» ЭЦП признана аналогом собственноручной подписи и у нас нет оснований не доверять документам, подписанным с её помощью, поэтому смена админа домена была совершена.
Мы провели дополнительную проверку администратора и он предоставил скан паспорта с валидными данными. Затем мы получили обращение от бывшего администратора об угоне доменов и ещё немного позже отзыв ЭЦП с даты обращения. Также он подал заявление в МВД о подделке документов.
Решить вопрос о том, реально ли были подделаны ЭЦП и удостоверяющие документы может только МВД. По всем имеющимся у нас данным ЭЦП проходит необходимые проверки по признаку достоверности. На основании решения МВД, принятого по результатам расследования, у пользователя будет возможность вернуть домены (когда расследование будет завершено либо установлено, что ЭЦП была подделана на момент подачи заявления на смену администратора).
Спасибо за фидбек по поводу уведомлений. Совсем скоро мы реализуем отправку пушей и на почту предыдущего владельца домена.
Что касается 2FA для операций с ЭЦП — это не всегда выход. Например, пользователь вовсе может потерять доступ к домену. Но, обратившись в поддержку он предоставит заявление, ЭЦП и другие данные. Примерно такой же кейс описал 3epg в комментариях ранее.
Какие люди и без охраны!
Вам не надоело отстаивать вашу помойку?
При чём безо всяких «ля-ля», а строго по делу и даже с вариантом исправления.
Угон домейна — это очень неприятная штука и нужны варианты действия даже когда уже всё случилось вне зависимости от причины.
Тогда все равно нужно уведомление об этом, на всякий случай. Плюс восстановить не тоже самое что передать домен.
Восстановление например автоматом включает блокировку от переноса доменов на 30 суток (ну или на 5 рабочих дней) и отправляет уведомление на почту и телефон.
Вы не написали чьей подписью было подписано письмо, старого владельца или нового. Было ли согласие нового владельца подписанное его ЭЦП, что он принимает на себя владение? Новый администратор вам высылал фото паспорта с подписью ЭЦП? Когда скан паспорта, а не сам паспорт вживую был удостоверением личности которое можно принять?
Для смены администратора заявление подаёт старый администратор. Он его подал, с приложением паспорта, заверил с помощью ЭЦП по процедуре изложенной здесь (там же описаны необходимые действия нового администратора) — www.reg.ru/support/domains/administrator-domena/pereoformlenie-domena-s-fizicheskogo-lica-na-fizicheskoe.
Скан паспорта мы запрашиваем дополнительно для идентификации администратора, но непосредственное основание для смены — заявление, подписанное в предусмотренном законом порядке.
Для поднятия статуса Вашей компании, можете рассказать что предприняла компания по этому инциденту чтобы помочь Вашему клиенту и результаты расследования? Я думаю мою просьбу поддержат все читатели этого сайта.
Как-то странно это всё выглядит. Есть же личный кабинет, куда человек может зайти и выполнить смену администратора. А вместо этого ответственная операция, фактически отчуждение собственности — проводится просто на основании заявления, т.е. без привязки к аккаунту. Да ещё и без уведомления. Несерьезно.
И настолько же небезопасно, потому что по закону, ЭЦП является аналогом вот той самой личной явки с паспортом и собственноручной подписи. А в даркнете «за полчаса
В итоге эта галка запрета точно добавит неудобств, потому что, по закону подлости, всплывет в тот момент, когда решишь продать домен, который ты регал еще будучи школьником в РФ, а продать ты его решил на 5ом году работы в долине. В обмен на достаточно сомнительное увеличение безопасности.
ИМХО в данной ситуации косяк регистратора в том что на такую значимую операцию с доменом он не выслал оповещение на старую почту. Но главный виновник здесь УЦ, выдающий ЭЦП в обмен на селфи с паспортом.
Так же, банки стали выдавать кредиты без личного посещения офиса, чем с удовольствием пользуются мошенники из «службы безопасности», которые теперь мало того, что крадут все сбережения, так ещё и кредиты вынуждают открывать.
Так что опция «где карту открывали, туда и приходите» нормальный вариант, если это опция, а не обязаловка. Чтоб каждый мог сам за себя выбрать, что для него важнее.
Правда странно. Особенно в части про отсутствие уведомлений на почту — ведь всегда кучу писем слали, а как нужные и важные, так не шлют.
Вы говорите про неквалифицированную подпись, а злоумышленник выпустил квалифицированную. Это аналог собственноручной подписи и договор не нужен.
Усиленную неквалифицированную подпись можно получить в личном кабинете nalog.ru
Это неквалифицированная подпись. Юридической силы она не имеет (кроме организаций, обязавшихся у вас ее принимать, по отдельному договору). Т.е. квартиру или домен с ее помощью перерегистрировать нельзя.
Вообще, на мой взгляд, ЭЦП должна быть только одного типа — та, что сейчас «усиленная квалифицированная», и выдается она удостоверяющим центром только при личном присутствии. Хорошо бы еще функции УЦ забрать у частников и передать МВД, пусть все проверяют.
Все остальные виды «электронных подписей» — бред законодателей.
По вашему людям надо запретить пользоваться криптографией вне государства?
По нынешней терминологии, комбинация логина и пароля тоже является простой электронной подписью, хотя в ней вообще нет криптографии. Никому от этого не лучше, даже на техническом ресурсе, здесь в комментах, их путают.
Расскажите мне пожалуйста доступный способ сгенерировать чужой приватный ключ? Вам премию Абеля за это присвоят.
Владелец домена теперь не ТС. ТСу придется получить подпись нового владельца.
напомню, так и квартиры угоняют. Но что уже и домена угоняют — это новость!!! Видимо, подделать ЭЦП стало дешёво...
Обычно смотрят на фотку (вроде похож) и всё.
Конечно, паспорт нарисовать сложнее, чем нарисовать JPEG, но вполне реально при современных технологиях. Всё зависит от получаемого «приза».
Для этого существуют те самые удостоверяющие центры, УЦ. Но оказывается, что там кто-то более может захотеть подзаработать, и цепочка ненадёжна.
Вроде пришёл поругать reg.ru за то, что тебя не уведомили, а в итоге накидал целую статью содержание которой: всего лишь причина увода доменного имени (которая никак не клеится с виной reg.ru) и несколько ссылок на свои сайты.
Мне кажется, что все разъяснится в течение трех (максимум в рабочую неделю) дней и домен вернется законному владельцу.
Немного размышлений.
1. REG.RU — достаточно известный и не самый мелкий регистратор. Ни шум вокруг, ни скандалы его не тревожат. Имущественные вопросы с переходом прав на интеллектуальную собственность в виде доменных имен, например, и прочего вполне формализованы и для обратных/обратимых действий придется собирать значительный пакет доказательств. Следовательно, это небыстрое действие.
2. Подделка подписи. В самом общем случае, Подделка подписи в принципе не запрещена законом под угрозой наказания. Подделка становится преступлением при учете нескольких обстоятельств:
-где данная подпись подделывалась (в каком документе),
-с какой целью данный документ был изготовлен;
-кем была выполнена фальшивая подпись;
-какие последствия наступили после фальсификации.
Уже после изучения указанных моментов, содеянное может быть квалифицировано по нескольким статьям и виновный понесет уголовную ответственность за подделку подписи на документах. До двух лет лишения свободы.
3. сайтов «про шарики» десятки. Автор не упомянул Lines98.ru Его дизайн точно соответствует стилю украденного домена. Анализ потенциальной стоимости таких сайтов дает значение примерно 1000 долларов за доменное имя плюс минус 500. Если данное доменное имя украдено с целью перепродажи, то скорее всего, будет 3-5 смен владельца в ближайшее время.
Можно составить совместную бумагу с Reg.Ru на имя нового регистратора с временной блокировкой сделок по данному доменному имени. Если автору все пойдут навстречу, то этот вариант может сработать (временная блокировка перепродажи, назовем это так). Но, вот только для возврата сайта придется обращаться в полицию со всеми вытекающими…
Нет никакой базы "отказников от электронной подписи", нет и нормативных актов описывающих это, куда и какое заявление вы писали — не ясно. ГосУслуги отдельно, удостоверяющие центры отдельно. "Не принимать", "заблокировать" и пр. кнопки работают только в рамках Гос.Услуг. нет никакой коммуникации обратной. Ничего эти кнопки не делают значимого, кроме того, что "не отправляют вам уведомления в ЕСИА" и "не позволяют входить с помощью ЭП в ваш личный кабинет ЕСИА" соответственно. Но ЭП все ещё можно выпустить и продать квартиру.
Процесс устроен таким образом:
Нормальный УЦ, производит идентификацию заявителя способами указанными в 63-ФЗ и выпускает сертификат проверки ЭП. Далее "нормальный" УЦ должен зарегистрироват сертификат в ЕСИА через систему межведомственного взаимодействия. На этом всё. Реальность в том, что есть много говно-УЦ которые это не делают и процесс идентификации построен абы как (бизнес рулит). Да что уж тут говорить, есть крупные игроки которые клепают эти подписи по сканам.
Обратного процесса (ЕСИА->УЦ) коммуникаций (повторюсь) не существует. Не умеют порталы гос.услуг сообщать о жалобах в УЦ о том, что подпись выпущена не правомочно. Виной тому опять же закон. Чтобы пользователь мог отозвать подпись его нужно идентифицировать теми же способами, что и при выпуске, а ещё принять заявление на отзыв нужно. Кажется, что это бред и не удобно. Но тут тоже есть прецеденты почему именно так. Масса случаев когда ЮР.лицо участвовало в закупках, а конкуренты отзывали его ЭП, срыв контрактов, многомиллионые ущербы, суды и пр.
Радует, что с 1 июля в законе все поменяется и требования к аккредитации ужесточили и все эти сотни нишевых УЦ просто вымрут к концу года. Так как миллиард собственный активов подтвердить это не тривиальная задача, можно конечно меньше, но тогда нужно обязательно иметь собственные офисы/подразделения в 60+ (субъектах РФ), кто более точно знает меня поправит. А там ещё и "страховка" должна быть от нанесенного ущерба на 300млн. вроде. В общем, выживут только крупные игроки.
Запрет на совершение сделок — это невозможность регистрации права на недвижимость в государственных органах без личного присутствия собственника. Росреестр возвратит поступившие на регистрацию документы, если в ЕГРН будет запись о проведении регистрации лично владельцем, а при этом собственник жилья будет отсутствовать.
Видимо, надо вводить то же самое для доменов.
Не в ту сторону это работает.
Надо вводить разрешение на такие-то действия, а не запрет.
Мало ли что потом ещё выдумают.
Не совсем понял роль гос. услуг в данной истории...
Т.е. к делу о похищении домена они никакого отношения не имеют, и мелькают в тексте лишь потому, что благодаря этому сайту было обнаружено, что где-то сделали ЭЦП?
Всегда считал, что стойкий длинный уникальный пароль, не засвеченный ни в каких базах — самое лучшее средство против угона почты, домена, сайта и проч. аккаунтов. Но теперь оказывается, если ты гражданин России, тебя могут обворовать даже с таким паролем через гос. ЭЦП.
Интересно, с какой задержкой информация о новой ЭЦП появляется там?
Эмм, наши же надзорные органы полгода назад клялись и божились, что всё исправили.
И всё вернулась на круги своя.
Радуйтесь, что у вас вообще всё не увели. У людей так квартиры уводят, банковские счета чистят, кредиты на 10 миллионов берут. И хрен потом что докажешь.
mos-gorsud.ru/rs/babushkinskij/services/cases/civil/details/7ae9082f-aeec-49b9-9822-2bd1eae932e0?participants=салтовский
А есть обратные примеры?
Сейчас модно открывать ООО или даже ИП по липовой ЭЦП, после чего моют деньги и/или берут кучу займов. А владелец потом ничего не может добиться, так как ЭЦП это священная корова и ни один суд не поставит под сомнение её надёжность, как и не допустят отзыва лицензии у УЦ, сколько бы липовых ЭЦП через него не сделали. За 2018/2019 официально только налоговой было зарегистрировано более 40 тысяч случаев мошенничества С ЭЦП. Это налоговая, которая туда отношения вообще не имеет и видит лишь часть последствий.
Я тут недавно ставил рекомендованный софт от УЦ. 35 одних только корневых сертификатов поставилось. Среди которых неправильно сформированные, невалидные, самоподписные (!!!), выданные на ООО (!!!), и прочий трэш. И ещё туева хуча персональных.
И сверху этого ключ, выданный мне на флэшке (!!!), которая у кого только в руках до меня не побывала. Вариант же формирования ЭЦП по сгенерированному пользователем запросу не работал, не работает и не будет работать по причине общей кривости и косости всей системы.
Тут даже подделывать ЭЦП не нужно, тут достаточно уборщице в МФЦ/УЦ в доле быть, и тогда вообще ничего не докажешь!
За 2018/2019 официально только налоговой было зарегистрировано более 40 тысяч случае мошенничества С ЭЦП.
Ну как бы налоговая не занимается квалификацией. Суды квалифицировали какие-то операции как мошенничество, а налоговая включила в свою статистику проблемные случаи где понадобилось их участие. Хуже было бы, если бы официально не было признано никаких проблем. А так — 40к атак отбито, какая-то защита есть.
Любой новый механизм привлекает злоумышленников, это ожидаемо. Меня больше интересуют именно «успешные» случаи мошенничества. Где истец дошел до суда и суд его развернул на таком-то и таком-то основании. Пока все что я находил заканчивалось примерно так-же как по ссылке выше.
Вариант же формирования ЭЦП по сгенерированному пользователем запросу не работал, не работает и не будет работать по причине общей кривости и косости всей системы.
Тут был пост с историей успеха про УЦ Росреестра.
Жду пока рутокен мне привезут, будут повторять квест.
Плюс, несовместимость между подписями разный форматов и разных УЦ (что особенно прекрасно).
А на практике даже хуже, так как при попытке «обывательского» использования (подписать что-то на чужом сайте) трэш и угар переходит на следующий уровень — в систему ставится непонятно что, какие-то плагины для браузеров, какие-то сервисы, какие-то кривые криптопровайдеры, всё кривое, несовместимое, очевидно небезопасное. И всё требует администратора, само что-то там качает, ставит в систему, меняет настройки и внедряет левые сертификаты. От чего ставится ещё более страшно.
Это пока никто не просёк фишки написать трояна под воровство ЭЦП и тягать миллионы со счётов богатых буратин и прочих юрлиц.
С этим полностью согласен. Мне айтишнику было сложно в этом разобраться. Мне жалко других людей.
Жаль, что вместо добавления ГОСТа в openpgp и его последующей сертификации, у России как всегда свой путь.
Это пока никто не просёк фишки написать трояна под воровство ЭЦП и тягать миллионы со счётов богатых буратин и прочих юрлицПрозвучит некрасиво, но надеюсь, что в скором времени так и будет. Возможно тогда уже єти «богатые буратины и прочие юрлица» принадавят на систему и выдача сертификатов без запроса сгенерированного У КЛИЕНТА приватного ключа прекратится.
Установка неизвестного ПО в систему с государственных полурабочих сайтов, «облачное» хранение сертификата — это вообще треш, который может придти в голову только больному или некомпетентному. Без виртуальной машины безопасно пользоваться всем этим — невозможно.
Ну и что, что она выдана на флешке? Прочесть elementery file с приватным ключом все равно нельзя.
Ну и что, что она выдана на флешке? Прочесть elementery file с приватным ключом все равно нельзя.Можно подробней о «elementery file» (не удалось нагуглить) и о том, почему с банальной флешки нельзя его прочесть с целью вытащить приватный ключ?
Тем более, что действительно неоднократно описывались ситуации с хранением и передачей сертификата на «банальной флешке». В одном из случаев флешка еще содержала вирус. Если я не ошибаюсь, это обсуждалось в статье о воровстве квартиры через «поддельную» ЭЦП.
И это они ещё одни из самых нормальных.
Выдача по запрос пользователя нормально работает в том же Контуре
(там после проверки по сути разрешается получить сертификат, идешь домой и генерируешь потом)
При ПЕРЕвыпуске (без физической явки, заявка подписывается существующим сертификатом) — в Контуре и Тензоре нормально работает — тоже все на своем компьютере генерируется.
Я что-то не могу найти в комментах порядок действий, которые обезопасят как то от этого
Обсуждать здорово, что хорошо бы сделать. Но от пары советов не отказался бы
Сейчас бы я перевёл свой домен на регистратора который не умеет переводить домен по ЭЦП, пока ЭЦП не перестанут выдавать кому попало, и который будет отображать это в личном кабинете, а не писать что домен ваш до тех пор пока вы не спросите, почему ваш домен недоступен. Также лишним не будет всю почту которая приходит от регистратора помечать флажком и внимательно читать, если он вас захочет о чем-то уведомить.
Только регистратор доменов здесь совсем не причем, как хотелось бы выдать в заголовке поста, а дело на самом деле в регистраторе электронных подписей. Это кликбейт называется.
Никто не угадал.
Хотя это и не написано прямым текстом, претензия автора к регистратору ощущается между строк.
То что у нас такая страна где налево и направо раздают ЭЦП это конечно беда, но то что регистратор полностью этому доверяет — уже его вина. Сейчас если вы зайдете на сайт регистратора, то увидите что у них уже правила переоформления через ЭЦП изменились. Видимо не только я лишился домена.
Ну вот, значит я написал все правильно. Цифровая электронная подпись является действующей и регистратор может ее принимать в качестве вашей личной подписи. Или вашим деньгам тоже нужно не доверять? :)) Другое дело, это подделка цифровых подписей, но это не относится к регистратору, который действовал на законных основаниях.
Как у меня увели домен