Перейти к основному содержанию
ИТарктика
УДК 004.056.5
Носов Леонид Сергеевич, Тарабукина Анастасия Анатольевна
заведующий кафедрой информационной безопасности института точных наук и информационных технологий, Федеральное государственное бюджетное образовательное учреждение высшего образования «Сыктывкарский государственный университет Имени Питирима Сорокина»

документовед института точных наук и информационных технологий, Федеральное государственное бюджетное образовательное учреждение высшего образования «Сыктывкарский государственный университет Имени Питирима Сорокина»
Обеспечение безопасности краудфандинговой платформы
Аннотация:

В работе рассмотрен подход в обеспечении комплексной безопасности краудфандинговых платформ. Рассмотрены основные угрозы информационной безопасности таких платформ и организационные, правовые и технические методы обеспечения безопасности краудфандинговых платформ.

Ключевые слова: краудфандинг, веб-безопасность..

Краудфандинг (Crowdfunding) рассматривается как частный случай Краудсорсинга. Он заключается в привлечении финансовых ресурсов от большого количества людей (от англ. Crowd - толпа и Funding - финансирование) с целью реализации продукта или услуги, помощи нуждающимся, проведения мероприятий, поддержки как физических, так и юридических лиц и т.д. [1].

Сложно сказать о времени появления краудфандинга как явления: для этого надо определить когда люди начали добровольно жертвовать собственные средства на определенную цель. Наиболее широкое распространение данные системы софинансирования благодаря сети интернет в первую очередь в США. Так, наиболее успешным проектом является американский сайт Kickstarter, созданный в 2009 году (только один из проектов собрал более 10млн долларов США). В России подобные системы появились сравнительно недавно. В 2007 году первой платформой стал проект «Kroogi», но большую известность приобрели такие проекты, как «Boom Starter» и «Planeta.ru» (оба ресурса появились летом 2012 года). В связи с подобным отрывом во времени можно сказать о непроработанности российского законодательства в данной сфере. В частности, в Российской Федерации не существует термина краудфандинг, как и термина способного его полностью заменить, в то время, как сама суть этого понятия говорит нам о постоянном взаимодействии с различными пользователями и данными этих пользователей.

Кроме сказанного выше нельзя забывать о все нарастающих темпах развития технологии в том числе и web-технологий, а подобные процессы всегда происходят не только с потерей актуальности некоторых угроз, но и появлением новых.

При всей своей древней истории краудфандинг является достаточно новым методом финансирования проектов с использованием сети Интернет: одни из самых старых площадок датируются двухтысячными годами создания. Да и само понятие «краудфандинг» появилось всего в 2006 году, по аналогии с краудсосрингом, впервые упомянутом в июньском номере журнала «Wired», в статье «The Rise of Crowdsourcing» за авторством Джеффа Хауи [2].

Если рассматривать краудфандинг в США, несложно заметить одно из самых значимых в этой области событий: а именно, принятие президентом Б.Обамой в 2012 году Jumpstart Our Business Startups Act (JOBS Act). Данное законодательное решение было принято в связи с расширяющимся рынком «народного финансирования» проектов – один из разделов документа полностью посвящен краудфандингу. Закон предусматривает создание упрощенной системы привлечения инвестиций для небольших компаний, так называемых бизнес-стартапов, без проведения обязательного сейчас IPO. По сути, Закон предоставляет правовую базу для самой передовой формы краудфандинга, где в качестве встречного предоставления инвестор получает часть собственности, акции предприятия, дивиденды или право голосования на общих собраниях акционеров [3].

С точки зрения российского законодательства подобные проекты подпадают под регулирование ст. 572 Гражданского кодекса, а именно рассматриваются как процесс дарения. По договору дарения одна сторона (даритель) безвозмездно передает или обязуется передать другой стороне (одаряемому) вещь в собственность либо имущественное право (требование) к себе или к третьему лицу либо освобождает или обязуется освободить ее от имущественной обязанности перед собой или перед третьим лицом [4].

Кроме этого, возникает вопрос о том, кто будет выступать в качестве владельца платформы. Этот вопрос возникает в связи с тем, что российское законодательство не предусматривает предоставление каких-либо услуг физическими лицами и нарушение требования о регистрации предпринимателей регулируется ст.171 Уголовного кодекса Российской Федерации [5]. Здесь возникает два варианта:

1. Юридическое лицо, оказывающее услуги по сбору средств, на коммерческой основе;

2. Некоммерческая организация (фонд) [6].

Одной из главных особенностей создаваемой системы является отказ от стандартной схемы перевода платежей. Данная платформа реализует систему электронных кошельков пользователей и проектов, основанных на едином банковском счете Фонда (Рисунок 1), в то время как схожие по принципу системы интернет-магазинов работают с переводами непосредственно с электронных счетов пользователей.

ывс

Подобное решение было принято ввиду выбранной системы финансирования «все или ничего» - при подобном построении схемы переводов значительно облегчается возврат средств с неудавшихся проектов, как и снятие поддержки с задолжавших доноров в перспективе.

Кроме этого, в некотором смысле можно считать особенностью разработки платформы на языке python, используя как основу фреймворк Django. Данная платформа позволяет быстро интегрировать готовые модули – как новые, созданные разработчиком проекта, так и сторонних разработчиков. Иначе говоря, фреймворк Django одним из своих основных ставит принцип «Don't repeat yourself» (не повторяй себя). В связи с этим, для разработки портала используется следующее программное обеспечение:

1. Язык программирования python v2.7.10. Данная версия выбрана ввиду недостаточной поддержки сообществом программистов последней версии языка. В дальнейшем, в случае отказа от сторонних модулей, возможен переход на язык python v3;

2. Система управления базами данных MySQL;

3. Модуль MySQL-Python: данный модуль требуется для корректной работы с базой данных;

4. Фреймворк Django v1.6 ввиду лучшей совместимости с выбранной версией языка программирования;

5. Сервер Apache;

6. Модуль mod_wsgi.so для работы Django на Apache.

Помимо этого, для продвижения проектов, а соответственно и площадки, вне сети Интернет при создании счета проекта создается уникальный для проекта QR-код, в котором закодирована ссылка на проект. Подобное решение позволит получить более широкую огласку как проекту, в особенности при вывешивании информационных плакатов непосредственно по местоположению проекта (для тех проектов, для которых это актуально), в социальных сетях, на личных сайтах организаторов, так и созданной платформе. Для реализации данного решения используется готовый модуль Django QRCode [7].

Основной угрозой, характерной, впрочем, и для многих иных web­-ресурсов является возможность перевода платежа под чужим именем. Для систем, работающих с финансовыми вложениями граждан, этот вопрос стоит особо остро, т.к. подобные инциденты приводят не только к ущербу для граждан, под чьим именем был совершен перевод, но и для владельцев платформы, т.к. они теряют доверие существующих и потенциальных клиентов.

В связи с необходимостью подтверждения личности пользователя рассматривался вариант использования подтверждение через СМС [8] с использованием одноразового пароля или токеном [9] с возможностью реализации подтверждения личности через универсальную электронную карту, что дополнительно упростит процесс идентификации пользователей по требованиям законодательства в случае необходимости переводов непосредственно от одного физического лица другому [10]. Ввиду ограниченности ресурсов, а также отсутствия необходимости соответствовать указанному нормативно-правовому акту был реализован первый вариант, второй же оставлен как возможность для развития платформы.

На момент написания статьи на основе стандартных классов сгенерирована система регистрации проектов, создание личных кабинетов пользователей, начата работа над системой генерации одноразовых паролей. В будущем для ресурса также планируется ввести систему геолокации проектов.

Если рассматривать организационную часть вопроса, то здесь имеет смысл обратить внимание на составление пользовательского соглашения и соглашения пользователя сервиса «Проекты», а также согласия на обработку персональных данных.

Чтобы не рассматривать в настоящей статье всю классификацию угроз WASC (Web Application Security Consortium) [11], рассмотрим защиту от четырех самых распространенных уязвимостей по данным Positive Technologies, а именно:

1. SQL-инъекции (48% в 2014 году) – экранирование специальных символов, использование «белого» списка значений, указание кодировок страниц;

2. Идентификация приложений (Web Server/Application Fingerprinting) (73% в 2014 году) – сокрытие версий приложений, переопределение шаблонов страниц с сообщениями об ошибках;

3. Межсайтовое выполнение сценариев (70% в 2014 году) – экранирование специальных символов, использование «белого» списка значений, указание кодировок страниц;

4. Возможность подбора (40% в 2014 году) – использование дополнительных факторов аутентификации на принципиально важных частях системы, размещение на ресурсе рекомендаций по безопасности [12].

Кроме того, в целях защиты информации, были рекомендованы некоторые параметры сервера:

1. Расположение на территории Российской Федерации, желательно – на территории республики Коми;

2. Работа сервера на операционной системе Linux, что, к тому же, облегчит интеграцию ресурса на сервере.

Таким образом, описанный выше подход позволяет построить краудфандинговую платформу, в которой реализована комплексная безопасность.

 

Список литературы

  1. Что такое краудфандинг? [Электронный ресурс] // Все о Краудсорсинге, Краудфандинге и Краудинвестинге в России и мире, 2015. URL: http://crowdsourcing.ru/article/what_is_the_crowdfunding  (дата обращения: 10.02.2015г.).
  2. Howe J. The Rise of Crowdsourcing. [Электронный ресурс] // Wired, 2006: URL: http://archive.wired.com/wired/archive/14.06/crowds.html (дата обращения: 05.06.2015г.).
  3. Котенко Д.А. Краудфандинг – инновационный инструмент инвестирования. // Закон, №5, 2014, С. 140-145.
  4. Гражданский кодекс Российской Федерации. Часть вторая от 26.01.1996 № 14-ФЗ.
  5. Уголовный кодекс Российской Федерации от 13.06.2015 № 63-ФЗ.
  6. Гражданский кодекс Российской Федерации. Часть первая  от 30.11.1994 № 51- ФЗ.
  7. Django QRCode. [Электронный ресурс] // GitHub, 2011: URL: https://github.com/pablorecio/django-qrcode (дата обращения: 15.04.2015г.).
  8. Django Send SMS. [Электронный ресурс] // PyPI - the Python Package Index, 2012: URL: https://pypi.python.org/pypi/django-sendsms (дата обращения: 03.05.2015г.).
  9. Django Token API. [Электронный ресурс] // GitHub, 2015: URL: https://github.com/jpulgarin/django-tokenapi (дата обращения: 15.06.2015г.).
  10. Федеральный закон от 05.05.2014 № 110-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».
  11. Классификация угроз. Web Application Security Consortium [Электронный ресурс]: // Web Application Security Consortium, 2004: URL: projects.webappsec.org/f/WASC-TC-v1_0.rus.doc (дата обращения: 06.06.2015г.)
  12. Бреева А., Поцелуевская Е. Уязвимости веб-приложений: ситуация не улучшается [Электронный ресурс]. // Positive Research, 2015, С. 17-19.  URL: http://www.ptsecurity.ru/download/PT_Positive_Research_2015_RU_web.pdf (дата обращения: 26.05.2015г.).

References

  1. What is crowdfunding? [Electronic resource] // Everything about crowdsourcing, crowdfunding, crowdinvesting in Russia and in the world, 2015. URL: http://crowdsourcing.ru/article/what_is_the_crowdfunding (accessed 10 February 2015).
  2. Howe J. The Rise of Crowdsourcing. [Electronic resource] // Wired, 2006: URL: http://archive.wired.com/wired/archive/14.06/crowds.html (accessed 5 June 2015).
  3. Kotenko D.A. Kraudfanding - an innovative investment tool. Zakon [Law], 2014, 5, pp. 140-145.
  4. The Civil Code of the Russian Federation, Vol.2, № 14-FZ, 30 November 1994.
  5. The Criminal Code of the Russian Federation, № 63-FZ, 13 June 2015.
  6. The Civil Code of the Russian Federation, Vol.1, № 51-FZ, 30 November 1994.
  7. Django QRCode [Electronic resource] // GitHub, 2011: URL: https://github.com/pablorecio/django-qrcode (accessed 15 April 2015).
  8. Django Send SMS. [Electronic resource] // PyPI - the Python Package Index, 2012: URL: https://pypi.python.org/pypi/django-sendsms (accessed 03 May 2015).
  9. Django Token API. [Electronic resource] // GitHub, 2015: URL: https://github.com/jpulgarin/django-tokenapi (accessed 15 June 2015).
  10. Federal act of 5 May 2014 № 110-FZ: On Amending Certain Legislative Acts of the Russian Federation.
  11. Classification of threats. Web Application Security Consortium [Electronic resource]: // Web Application Security Consortium, 2004: URL: projects.webappsec.org/f/WASC-TC-v1_0.rus.doc (accessed 6 June 2015).
  12. Breeva A., Potseluevskaya E . Vulnerabilities in Web Applications: The situation does not improve [Electronic resource]. // Positive Research, 2015, pp. 17-19. URL: http://www.ptsecurity.ru/download/PT_Positive_Research_2015_RU_web.pdf (accessed 26 May 2015).