20 декабря 2011, 09:39
К вопросу о безопасности электронных сделок
В связи с шумом по поводу сбоя на бирже хотел бы высказать мысли по поводу безопасности электронных операций в целом и про недавнюю проблему в частности.
С моей точки зрения, максимум что трейдер может сделать для обеспечения безопасности своих сделок — это выполнить два условия:
1. Выбирать терминал, использующих цифровую подпись при совершении сделок, например QUIK. Отличительная особенность таких терминалов — это необходимость использовать два файла для подписи сделок — публичный и секретный. Подбоные алгоритмы цифровой подписи на сегодняшний день не взламываются за разумные сроки (нужно очень много компьютерного времени), но при соблюдении условия №2 (см. ниже). Не зря они даже утверждены на законодательном уровне. Если для совершения сделок используется только пароль, то можно надяться только на честность брокера и биржи, а надеяться на это не приходится...
2. Не давать брокеру секретный ключ от терминала. Это самый интересный пункт. Когда я первый раз захотел открыть счет у брокера и пришел в компанию Атон, мне они хотели скопировать ключи от QUIK-а на флэшку. На мое возражение, что этого делать категорически нельзя, девушка сделал глаза как у кота из мультфильма про Шрека и сказала: «А как Вы будете работать без ключей»? То есть брокер так работает со всеми клиентами и не знает, а скорее делает вид, что не знает, что клиент должен сам предоставить брокеру свой публичный ключ. То есть у брокера есть все секретные ключи своих клиентов и они могут при желании нарисовать любые сделки… В итоге выбрал ВТБ. Да, там свои проблемы, но хотя бы о безопасности сделок я не беспокоюсь.
3. Вести свой дневник лимитов (сделок — по желанию) и сверять данные на начало сессии.
Если у брокера нет секретного ключа, то нарисовать сделки он не сможет, а если и сможет, то будет реальный шанс доказать их фиктивность. Да, вы можете увидеть в терминале нереальные остатки, но рано или поздно это поправят, а вот отменить сделку, подписанную электронной подписью уже крайне проблематично. Таким образом, работая в терминале нужно помнить, что при соблюдении указанных выше двух условий имеют значения только сделки, а не остатки.
Конечно, точно мы не узнаем в чем причина вчерашнего сбоя, но можно сделать предположения:
— Если сбой был только в том, что люди увидели не свои остатки, но сделок как таковых не было, то либо это действительно случайность либо спланированная акция, целью которой было побудить трейдеров сделать нужные сделки. Сделки скорее всего отменены не будут, как мне кажется, а вот лимиты вернут верные.
— Если были все же сделки, то кто-то видимо целенаправленно собирал секретные ключи клиентов и нарисовал им сделки с той же целью. Тогда сделки вероятно будут отменены.
Хорошо бы собрать стастику по тем у кого был сбой:
— Используемый терминал
— Брокер
— Известен ли секретный ключ брокеру (при его наличии)
— Какие лимиты и на сколько были изменены
— Были ли сделки или только изменились лимиты
С моей точки зрения, максимум что трейдер может сделать для обеспечения безопасности своих сделок — это выполнить два условия:
1. Выбирать терминал, использующих цифровую подпись при совершении сделок, например QUIK. Отличительная особенность таких терминалов — это необходимость использовать два файла для подписи сделок — публичный и секретный. Подбоные алгоритмы цифровой подписи на сегодняшний день не взламываются за разумные сроки (нужно очень много компьютерного времени), но при соблюдении условия №2 (см. ниже). Не зря они даже утверждены на законодательном уровне. Если для совершения сделок используется только пароль, то можно надяться только на честность брокера и биржи, а надеяться на это не приходится...
2. Не давать брокеру секретный ключ от терминала. Это самый интересный пункт. Когда я первый раз захотел открыть счет у брокера и пришел в компанию Атон, мне они хотели скопировать ключи от QUIK-а на флэшку. На мое возражение, что этого делать категорически нельзя, девушка сделал глаза как у кота из мультфильма про Шрека и сказала: «А как Вы будете работать без ключей»? То есть брокер так работает со всеми клиентами и не знает, а скорее делает вид, что не знает, что клиент должен сам предоставить брокеру свой публичный ключ. То есть у брокера есть все секретные ключи своих клиентов и они могут при желании нарисовать любые сделки… В итоге выбрал ВТБ. Да, там свои проблемы, но хотя бы о безопасности сделок я не беспокоюсь.
3. Вести свой дневник лимитов (сделок — по желанию) и сверять данные на начало сессии.
Если у брокера нет секретного ключа, то нарисовать сделки он не сможет, а если и сможет, то будет реальный шанс доказать их фиктивность. Да, вы можете увидеть в терминале нереальные остатки, но рано или поздно это поправят, а вот отменить сделку, подписанную электронной подписью уже крайне проблематично. Таким образом, работая в терминале нужно помнить, что при соблюдении указанных выше двух условий имеют значения только сделки, а не остатки.
Конечно, точно мы не узнаем в чем причина вчерашнего сбоя, но можно сделать предположения:
— Если сбой был только в том, что люди увидели не свои остатки, но сделок как таковых не было, то либо это действительно случайность либо спланированная акция, целью которой было побудить трейдеров сделать нужные сделки. Сделки скорее всего отменены не будут, как мне кажется, а вот лимиты вернут верные.
— Если были все же сделки, то кто-то видимо целенаправленно собирал секретные ключи клиентов и нарисовал им сделки с той же целью. Тогда сделки вероятно будут отменены.
Хорошо бы собрать стастику по тем у кого был сбой:
— Используемый терминал
— Брокер
— Известен ли секретный ключ брокеру (при его наличии)
— Какие лимиты и на сколько были изменены
— Были ли сделки или только изменились лимиты
19 Комментариев
Макс20 декабря 2011, 09:48Как раз с Втб много народу и залетело. Про Втбшные тормоза и неадекватных сейлсов можно даже не упоминать…+1
sergeyvm20 декабря 2011, 09:57брокер-пробизнесбанк.терминал-квик.секретный ключ-только у меня и в личном кабинете на сайте банка.лимиты-не изменились.сделки-была одна левая сделка -фРТС шорт 1 контракт.0
Roman Resner20 декабря 2011, 10:06Daks, Не знаешь не говори. Те кто не следит за ключами и считают что они никому не нужны — полные балбесы0
Сармин Алексей (escoman)20 декабря 2011, 10:30Сомневаюсь, чтобы биржа или брокер делали левые сделки за клиентов. Они и сами, наверно, вчера вечером бегали в панике с криками «что делать?», ничего не понимая.0
Читайте на SMART-LAB:
Обновление кредитных рейтингов в ВДО и розничных облигациях (АО«РОЛЬФ» присвоен BBB+.ru от НКР |АО«Эталон-Финанс» присвоен А-.ru от НКР)
🟢 АО «РОЛЬФ»
НКР присвоило кредитный рейтинг BBB+.ru
АО «РОЛЬФ» является одним из крупнейших автодилеров на высокофрагментированном российском автомобильном рынке, на котором компания...
09:41
Каждый инвестор желает знать, где сидит доходность? Взгляд Goldman Sachs на инвестиции до конца года
Если вы инвестируете свой капитал на фондовом рынке, то каждый год легко может принести вам как большие потери, так и несметные богатства. Объединяет эти ситуации то, что предсказать их точно...
03.04.2026
С чем связан сегодняшний рост акций ВТБ?
Сегодня на фоне небольшого снижения российского фондового рынка акции банка ВТБ поднимаются на 1,5%, до 91,3 руб.Поддержку котировкам оказала новость о запуске услуги промышленного обмена данными...
03.04.2026
Башнефть: есть шанс на переоценку, но нужно запастись терпением. Прогноз сошелся с фактом в высокой точностью, ищем инвест идею
Башнефть отчиталась по МСФО за 2025 год — внимание, квартальных отчетов в прошлом году не было вообще!
Традицицинно сравниваем прогноз (мой) с фактом — вышло отлично по основным...
02.04.2026
Алексей Неважно, вполне стандартный ответ, учитывая вопрос с ФНС…
Нет повода для паники — которую Вы так рьяно раскачиваете…,
кароч, даже если в мой акк кто-то входил, то пока у меня тут сессия не закрыта я буду в профиле. мой IP 176.97.128.26 если кто-то подо мной заходил то надо смотреть с какого хоста.
Ну все. Монополия сдалась.
Добровольное банкротство.
А56-36667/2026
Рассматривается в первой инстанции.
03.04.2026
Заявление (исковое заявление)
АО «МОНОПОЛИЯ»
Кредиторы (заявители): ...
Андрей Аперов, скорее 130
НМТП отчитался за IV кв. 2025 г. — финансовые показатели растут, продолжаются инвестиции в маржинальный проект, FCF хватает на дивиденды. Перспективы?
🚢 Группа НМТП опубликовала финансовые резул...
404 база ответьте! На почту ничего не приходит, хотя в профиле почта прописана. При попытке восстановить пароль на почту тоже ничего не приходит. Как это вообще работает? Время бана вышло, дисклаймер ...
❗️❗️Сбер vsТ-Технологии: кто выигрывает гонку роста?
Если говорить о темпах роста на операционном уровне, то у Т-Технологии на наш взгляд пока темпы роста ожидаются более высокие. Если сравнить ...
Персы подпалили очередного «проскакуна». Дрессировка продолжается) Скоро приучат ̶к̶ ̶л̶о̶т̶к̶у̶ ходить после предоплаты и по правильному маршруту
13:00
Archer_N, карантинный флюгер, такой же подонок, как Дерипаска…