This page has been robot translated, sorry for typos if any. Original content here.

Unterbrechung und Schutz von WebMoney

Entgegen aller Zusicherungen der Entwickler ist das WebMoney-System katastrophal unzuverlässig und wird buchstäblich mit einem Fingernagel geöffnet. Es gibt viele Würmer, Trojaner und Hackergruppen, die sich auf den Diebstahl elektronischer Geldbörsen spezialisiert haben, deren Diebstahl weit verbreitet ist. Möchten Sie wissen, wie es geht und wie Sie sich schützen können?

Einleitung

Beginnen wir mit dem, was nicht sein kann. Es gibt keine "WebMoney-Generatoren" und diese können grundsätzlich nicht existieren. Das gesamte Bargeld wird auf dem zentralen Server des Betreibers gespeichert, und E-Wallets stellen nur die Zugriffsmöglichkeit dar. Grob gesagt, weil Sie eine Zahlenkombination für ein Codeschloss erstellen, werden Geld und Wertsachen noch nicht im Safe angezeigt. Und obwohl es möglich ist, eine Chiffre in den Safe eines anderen zu stecken, ist die Wahrscheinlichkeit, sie ohne die Hilfe des Besitzers zu öffnen (Husaren! Wir erinnern uns an den Lötkolben, aber wir schweigen), so gering, dass es sich nicht einmal lohnt, darüber zu sprechen!

Aber die Kombination eines anderen zu stehlen, ist ganz real! Dies ist, was die "WebMoney-Generatoren" tun. Sie erstellen entweder ein Duplikat aus der E-Wallet und übertragen es an den Angreifer, oder sie rufen heimlich Keeper an und übertragen es auf ihr Konto. Viren und Trojaner funktionieren auf die gleiche Weise. Auch markierte und gezielte Angriffe auf ein bestimmtes Opfer. Kann man sich gegen sie schützen? Das von Nichtspezialisten entwickelte WebMoney-System wurde ursprünglich ohne Rücksicht auf die Sicherheit entwickelt, und obwohl in letzter Zeit eine ganze Reihe rückwirkend angehängter "Brandschutzmaßnahmen" aufgetaucht sind, bleibt die Situation kritisch. Benutzer sind verwirrt über die Sicherheitssysteme, der Supportdienst gibt eher vage und vage Empfehlungen (Windows aktualisieren, Firewall konfigurieren usw.), und in der Zwischenzeit wird der Diebstahl von E-Wallets fortgesetzt.

Wir haben es uns nicht zur Aufgabe gemacht, irgendjemanden das Stehlen beizubringen, wir wollen nur zeigen und beweisen (!), Dass das WebMoney-System wirklich sehr unzuverlässig ist und nicht einmal von einem Esel entworfen wurde (das Rückenmark grenzt daran an), aber im Allgemeinen ist es nicht bekannt . Es wird keine vagen Worte geben (um uns nicht der Verleumdung zu beschuldigen), aber es wird keine spezifischen Empfehlungen geben. Wir geben keine vorgefertigten Angriffsprogramme und sagen nicht genau, welche Baitics gehackt werden sollen, aber glauben Sie mir - alle notwendigen Hacker-Tools können in einer Nacht von Grund auf neu erstellt werden - heilige Zeit für Hacker!

Aber das Wichtigste zuerst. Lassen Sie uns nicht nach vorne eilen und die Laserscheibe in das Laufwerk einlegen, zumal wir letztere noch brauchen.

Sie erscheinen aus der Dunkelheit, entfernen alles elektronische Geld und gehen nirgendwo hin

Abbildung 1. Sie tauchen aus der Dunkelheit auf, entfernen alles elektronische Geld und gehen nirgendwo hin.

WAS IST MÖGLICH UND WAS IST UNMÖGLICH (DISKUSSION)

Sie können (zu Bildungszwecken) nur mit Ihrer eigenen elektronischen Geldbörse oder mit der Geldbörse von Personen experimentieren, die eine schriftliche Erlaubnis erteilt haben. Unerlaubte Eingriffe in Systeme und Geldbörsen anderer Personen sind völlig inakzeptabel !

Sie fangen diejenigen, die aus der Dunkelheit hervortreten, und führen zu jener Welt, von der es keine Rückkehr gibt

Abbildung 2. Sie fangen diejenigen, die aus der Dunkelheit auftauchen, und führen zu dieser Welt, von der es keine Rückkehr gibt.

Erste Schritte oder klassischer Missionar

Das WebMoney-System ist eine Art Analogie zu normalen Bankschecks, was bedeutet, dass wir uns zuerst auf dem zentralen Server des Betreibers registrieren und ein Konto eröffnen müssen, was bereits ein großer Nachteil ist, aber na ja.

Wir gehen auf www.webmoney.ru , laden das Keeper Classic-Programm herunter, starten es (übrigens, ich habe es nie geschafft, über den Proxy-Server zu arbeiten, es war ein Wunder des wissenschaftlichen und technischen Denkens, ich musste NAT erhöhen und Port 2802 zuordnen), geben Sie die Registrierungsdaten ein (von Taschenlampe oder ehrlich), wir überlegen uns ein beliebiges Passwort, woraufhin das Programm einen geheimen Schlüssel generiert und uns auffordert, die Maus zu ziehen und die Tasten zu drücken. Dies ist notwendig, um wirklich zufällige Daten zu erhalten, als wäre der auf dem Timer basierende Pseudozufallsgenerator hier nicht geeignet. Vor dem Hintergrund der allgemeinen Verwundbarkeit des Systems ist es einfach albern, die Wörter RSA, RC5, MD4, MD5, SSL zu entleeren. Die psychologische Berechnung der Entwickler ist mir jedoch ziemlich klar. Wenn der geheime Schlüssel in Sekundenbruchteilen generiert wird - welcher Benutzer wird daran glauben?

Sie erscheint nirgendwo, fängt niemanden, sondern sitzt und lötet einfach

Abbildung 3. Es erscheint nicht von irgendwoher, fängt niemanden, sondern sitzt und lötet einfach.

In jedem Fall erhalten wir nach Abschluss der Registrierung eine eindeutige 12-stellige WMID (Web Money ID) und ein Schlüsselpaar wird generiert. Der öffentliche Schlüssel wird auf den zentralen Server des WebMoney-Betreibers übertragen und das Geheimnis in einer Datei mit der Erweiterung * .kwm (Key of Web Money) gespeichert, die sich auf einer Festplatte, einem Wechselmedium oder einer Smartcard befinden kann. Kurz gesagt, gewöhnliche asymmetrische Kryptographie wie PGP.

Es wird eine weitere Datei * .pwm erstellt, in der Informationen zu unseren Brieftaschen (aktueller Kontostand, Betriebsverlauf usw.) gespeichert werden. Grundsätzlich ist dies optional, da sich alle Informationen auf dem zentralen Server des Betreibers befinden. Keeper kann ohne eine * .pwm-Datei arbeiten und lädt automatisch Daten aus dem Netzwerk hoch, allerdings nur in den letzten drei Tagen. Tatsächlich ist die * .kwm-Datei auch optional und kann wiederhergestellt werden. Dazu benötigen Sie das Kennwort, Zugriff auf die bei der Registrierung angegebene Mailbox sowie eine notariell beglaubigte Erklärung, dass Sie nicht berechtigt sind (weitere Informationen hierzu finden Sie hier: http://www.owebmoney.ru/returnkey.shtml ). Theoretisch kann ein Hacker unser Geld nur auf der Grundlage eines Passworts hacken, aber in der Praxis ist dies zu mühsam und unsicher.

Die geheimen Informationen, die den Zugriff auf die Brieftasche regeln, sind nur ein Kilowatt-Schlüssel. WMID wird überall offen veröffentlicht und das ist normal. Wenn Sie die WMID kennen, können Sie die Registrierungsdaten des Benutzers herausfinden, die er als "offen" markiert hat, aber Sie können die Nummer seiner Brieftasche (n) nicht bestimmen.

Die Geldbeutelnummer ist eine bedingte Geheiminformation. Wenn wir die Geldbeutelnummer kennen, können wir kein Geld daraus erhalten, aber wir können eine Rechnung erstellen, indem wir das Feld "Einkaufsbeschreibung" so plausibel wie möglich ausfüllen. Die Methode ist natürlich töricht, aber es besteht die Möglichkeit, dass sie erfolgreich ist. Benutzer, die regelmäßig eine große Anzahl kleiner Rechnungen bezahlen, gewöhnen sich allmählich daran, nicht auf sie zu achten, und überprüfen die Spalte „von wem“ nur im Zweifel. Natürlich gibt es kein Summen in dieser Art des Hackens, außerdem kann der Angreifer sehr robust sein und in die Gesellschaft seines Onkels gehen, der ihm den Arsch reißen wird, sodass er keine nennenswerte Popularität fand.

Das Opfer links aussetzen, aber ein plausibler Bericht

Abbildung 4. Das Opfer links aussetzen, aber eine plausible Rechnung - was ist, wenn er zahlt?

Aber der Diebstahl von kwm-Dateien ist in vollem Gange. Standardmäßig werden Schlüssel in der Datei keys.kwm gespeichert, aber der Dateiname kann grundsätzlich jeder sein, ebenso wie die Erweiterung. Die meisten Hacker und Trojaner führen mithilfe der * .kwm-Maske eine stumpfe Suche durch. Das Umbenennen der Schlüsseldatei in dontreadme.txt erhöht in gewissem Maße unsere Sicherheit. Fortgeschrittene Hacker können jedoch in die Registrierung gelangen, in der Keeper die Einstellungen speichert und den Pfad zur Datei ändert. Sie können auch nach Inhalten suchen, indem Sie alle Dateien scannen (obwohl dies viel Zeit in Anspruch nimmt und verdächtige Datenträgeraktivitäten verursacht). Feinschmecker werden höchstwahrscheinlich den Aufruf der CreateFile-API-Funktion abfangen, die anzeigt, welche Dateien Keeper öffnet. Und selbst wenn das Format der Registrierungseinstellungen in zukünftigen Versionen geändert wird, funktioniert die Option CreateFile weiterhin (Hinweis: Wenn die Entwickler keine Idioten wären, würden sie beim Zugriff auf das Signal mehrere Dateien mit Schlüsseln erstellen - einen authentischen, alle übrigen - Watchdog-Sensoren Alarme).

Verstecken Sie die kwm-Datei vor Hackern

Abbildung 5. Verstecken Sie die kwm-Datei vor Hackern.

Standardmäßig beträgt die Schlüsseldateigröße 1,2 MB (genau auf einer Diskette). Wenn Sie möchten, können Sie sie jedoch auf 100 MB erhöhen. Dies macht es schwierig, einen Schlüssel bei der Übertragung über das Internet zu stehlen, und schafft im Allgemeinen keine unüberwindbaren Unannehmlichkeiten. 100 MB sind eine halbe Mini-CD-R, eine Zip-100M oder zwei CD-Rs im Visitenkartenformat. Natürlich wird die Geschwindigkeit des Systems in gewissem Maße sinken (Sie werden nicht sofort eine große Datei lesen), aber die Sicherheit ist es wert. Oder nicht wert? Im lokalen Netzwerk ist das Ziehen von 100 MB kein Problem, auch auf einem DSL-Modem oder einem Kabel-Internet. Und selbst ein für heutige Verhältnisse schändliches Modem auf dem 33600 wird diese Datei in ca. 70 Stunden übertragen. Nicht so sehr, wenn Sie sich daran erinnern, dass fast keiner der Benutzer die Schlüssel jeden Tag neu generiert. Die Datei in kleine Stücke zu schneiden, im Hintergrund zu übertragen und in zwei oder drei Wochen zu ziehen, ist ziemlich realistisch, obwohl es die langweiligste und vielversprechendste Art sein wird.

Wenn ein Hacker in das System eines anderen eingedrungen ist (und auf unterschiedliche Weise in das System eindringen kann), sollte er nichts haben, um die Datei in den Speicher zu laden, die Brieftasche zu öffnen, Geld auf sein Konto zu überweisen und die Festplatte zu beschädigen, damit das Opfer nicht ins Internet gelangen und sich über wen beschweren kann . Übrigens über die "beschweren". Es gibt nicht so viele Möglichkeiten und es gibt keine Hilfe, die darauf wartet. Nun, außer vom Herrn Gott (wenn du ein echter Gott bist, gib mir mein Geld zurück, verdammt noch mal), ja zu den Brüdern. Wenn wir immer noch Zugriff auf WMID haben (was für ein dummer Hacker wurde gefasst!), Können Sie die WMID ermitteln, auf die das Geld überwiesen wurde, auf der Website des Schiedsgerichtsdienstes ( http://arbitrage.webmoney.ru/ ) die Schiedsgebühr zahlen (und Dazu benötigen Sie WebMoney (das der Angreifer sauber an uns gerochen hat) und blockieren die Hacker-Brieftasche. Nur wenn der Hacker kein Elch ist, wird das Geld innerhalb weniger Minuten an E-Gold überwiesen oder anderweitig aus dem System entfernt, so dass sich nichts auf ihrem Portemonnaie befindet und nichts blockiert werden kann. Brieftaschen mit einem primären oder persönlichen Zertifikat werden übrigens nur durch die Entscheidung der Schiedskommission gesperrt, dh es genügt, ein Zertifikat mitzunehmen und ... Sie sollten aber nicht sagen, dass die Zertifikatsinhaber nicht am Diebstahl beteiligt sind, weil sie ihre Passdaten melden. Agashazblin! Taki dein? Alle, die nicht faul sind, stellen jetzt Zertifikate aus und hoffen, dass sie alle ehrliche, gewissenhafte und unbestechliche Menschen sind, einfach naiv, besonders wenn es um Geld geht, sogar elektronisch. Eine Person, die beabsichtigt, 100.000 US-Dollar zu kidnappen (und warum nicht), erhält problemlos nicht nur ein Feigenzertifikat, sondern auch einen gefälschten Pass für das Geschäft. Na wer sucht denn dieses Zertifikat? Auch wenn die Beamten des Innenministeriums Pässe im Stream fälschen, was oft im Fernsehen erwähnt wurde (und dies ist bereits ein Verbrechen), was ist dann mit „Zertifikaten“, die überhaupt keinen rechtlichen Status haben ?!

Die Situation mit dem Transfer von gestohlenem Geld durch ein paar Brieftaschen wurde jedoch von den Entwicklern berücksichtigt, und sie arbeiteten sorgfältig an den ... Eindringlingen! Beurteilen Sie selbst. Das Opfer sollte sich nach Einreichung des bereits erwähnten Anspruchs an den Administrator des Schiedsgerichts (WMID 937717494180, arbitrage@webmoney.ru) wenden und ihn bitten, die gesamte Kette aufzuspüren. Der ganze "Charme" ist, dass der Administrator nur von Montag bis Freitag von 10 bis 18 Uhr in Moskau arbeitet. Wir, sagen sie, sind kein Rettungsdienst und wollen auch schlafen. Sehr gutes Zahlungssystem, sage ich dir !!! Da die Entnahme von Geld aus dem System fast augenblicklich erfolgt und die Rechnung minutenlang weitergeht, möchte der Administrator, wie Sie sehen, Bainki. Ich habe nicht verstanden, ist das ein Studentenwohnheim oder ein Zahlungssystem ?! Was hat es bei Millionen von Umdrehungen gekostet (über die die Werbung nicht aufhört zu erwähnen), mehrere Personen für den Support rund um die Uhr einzustellen?! In diesem Fall geht es schließlich um Geld! Natürlich ist es für Hacker am sichersten, Diebstähle entweder um Mitternacht oder am Wochenende zu begehen. Aber es ist okay, lassen wir leere Worte und lernen Keeper näher kennen.

Keeper außen und innen

Hier bewundern einige, wie der Entwickler es geschafft hat, so viel in Keeper'a Volumen zu stecken Dies ist ein äußerer Fall ", http://www.owebmoney.ru/clashistory.shtml ). Und was passen sie tatsächlich dazu? Natürlich in unserer Zeit, wenn "Hallo, Welt!" greift kaum auf die Laserscheibe ein, Programme, die "nur" wenige Megabyte belegen, sorgen schon für Respekt ...

Der Hauptdatenträger (~ 2,2 MB) wird von WMClient.dll belegt, die eigentlich Keeper selbst ist. Dies ist ein DCOM-Objekt, das in Microsoft Visual .NET geschrieben und in Maschinencode kompiliert wurde. Es ist unverpackt und wird in keiner Weise wiederholt, ohne dass meine Analyse beeinträchtigt wird. Es gibt keinen verschlüsselten, keinen p-Code, keine Anti-Debugging-Techniken, keine Opposition gegen den Disassembler, Dumper, API-Spion. Nichts Nimm es und analysiere! In jedem Fall verhält sich Version 2.4.0.3 (die aktuellste zum Zeitpunkt des Schreibens) genauso. Wenn die Entwickler noch ein bisschen schlauer wären, würden sie entweder Microsoft Visual C ++ 6 (die berühmte "Sechs") plus einen hochwertigen Protector (zum Beispiel ExeCryptor) verwenden oder die NET-Anwendung in P-Code kompilieren, der viel schwieriger zu zerlegen ist.

WebMoney.exe (~ 180 Kbytes) ist nur ein Startup und es ist nichts Interessantes daran, es lohnt sich jedoch, es zu zerlegen. Zumindest dann, um die Entwickler auszulachen und ihre Qualifikationen einzuschätzen.

Keeper Classic zerlegt

Abbildung 6. Keeper Classic zerlegt.

Wir gehen also davon aus, dass auf dem Computer mit dem installierten Keeper ein Hacker-Code ausgeführt wird, der mit Benutzerrechten ausgeführt wird (wir stimmen zu, dass wir keine Administratorrechte erhalten haben und obwohl wir unsere Rechte von einem Benutzer auf ein System in W2K / XP im Allgemeinen nicht erhöht haben, kein Problem, ganz zu schweigen von 9x, wo keine Aufteilung der Privilegien stattgefunden hat, werden wir unter spartanischen Bedingungen operieren (nah am Kampf). Was können wir tun? Wir haben zwei Möglichkeiten. Zerlegen Sie Keeper vor, stellen Sie das Austauschprotokoll mit dem Server wieder her, warten Sie, bis das Medium mit dem geheimen Schlüssel eingelegt ist, und ... fantasieren Sie sich weiter. Persönlich stochere ich in Keeper'e Faulheit herum. Das Zerlegen ist eine mühsame Angelegenheit und es kann mehr als eine Woche dauern, bis das Austauschprotokoll wiederhergestellt ist. Die Verwendung von Schnüfflern verkürzt diesen Zeitraum erheblich, ist jedoch immer noch „pleite“. Es ist viel einfacher und effizienter, Geld mit den Händen von Keeper selbst zu stehlen. Wir installieren einen Spion, der Tastatureingaben abfängt, warten auf WMID-Eingaben oder definieren sie auf andere Weise, da WMID für niemanden ein Geheimnis ist (die erste Methode wird hauptsächlich von Viren verwendet, die zweite ist gut für gezielte Angriffe), dann in einem "wunderbaren" Moment ( Deaktivieren Sie nach 18 Stunden oder einem freien Tag die Anzeige auf dem Bildschirm, starten Sie WebMoney.exe und emulieren Sie die Tastatur- und Mauseingaben, die wir wollten. Zum Beispiel füllen wir die Brieftasche des Opfers auf. Und warum nicht? Wir brechen unsere eigene Brieftasche, oder? Hier füllen wir es auf! Wir sind keine Gangster, sondern ehrliche Hacker!

Die Eingabe-Emulationstechnik ist im Anhang der Mysh'ha ausführlich beschrieben, dessen elektronische Version kostenlos von meinem ftp://nezumi.org.ru/ meinem ftp-Server heruntergeladen werden kann (erinnern Sie daran, dass sie nicht immer verfügbar ist). Ebenfalls in der 67. Ausgabe von Hacker wurde ein Artikel „Breaking WebMoney“ veröffentlicht, in dem dies alles beschrieben wird. Lasst uns also nicht hundert Mal Demagogie züchten und Gummi kauen. Wir erwähnen nur den allgemeinen Mechanismus. Zuerst finden wir das Keeper-Fenster, indem wir die FindWindow- oder EnumWindows-Funktion aufrufen und deren Handle definieren. Anschließend werden mit EnumWindows die zu den Steuerelementen gehörenden untergeordneten Fenster (Schaltflächen, Bearbeitungszeilen usw.) aufgelistet. Durch das Senden verschiedener Nachrichten an Steuerelemente (dies kann mithilfe der SendMessage-Funktion erfolgen) können wir sie problemlos unter unsere Kontrolle bringen. Das Deaktivieren der Ausgabe auf dem Bildschirm wird entweder von GDI-Diensten abgefangen (schwer zu implementieren, reagiert jedoch mit einem Knall) oder indem ein ablenkendes Fenster auf Keeper platziert wird, z. B. ein Browserfenster mit einem pornografischen Bild. Ja, viele Dinge, die Sie sich einfallen lassen können!

Das Problem ist, dass die langweilige Emulation ab einer bestimmten Zeit nicht mehr gültig ist. Keeper bekam die sogenannten "fliegenden Nummern". Wie diejenigen, die verwendet werden, um die automatische Registrierung auf vielen Websites zu verhindern. Bevor Sie eine Zahlung vornehmen, müssen Sie drei Grafiknummern eingeben, die zufällig auf dem Bildschirm angezeigt werden. Die Idee ist natürlich interessant, aber sie wurde offensichtlich falsch ausgeliehen. Schwere Kindheit, Meerrettichbildung, tiefer Kater. Und der Kopf ist Bo-Bo. Der Kopf hat jedoch nichts damit zu tun. Sie hat immer noch niemanden zum Nachdenken. Die Sicherheitstechniken der Entwickler wurden offensichtlich nicht vermittelt. Fragmentarisches Wissen im Stil von "hier vollgestopft, und hier tanzte das Mädchen, und hier wurde ich von einem Ziegelstein bewegt" und so die Rute von allen Seiten.

Bewahrerschutz

Abbildung 7. Schutz des Tierpflegers durch fliegende Nummern.

Warum agieren fliegende Nummern auf Webservern (wo sie zuerst erschienen sind)? Ja, und nur, weil der Sicherheitscode zum einen außerhalb der Reichweite des Hackers liegt und zum anderen, weil der Schutz ausschließlich auf Roboter, aber nicht auf Menschen abzielt. Zum Schutz von mail.ru vor Spammern und Vandalen ist eine solche Maßnahme mehr als ausreichend, jedoch nicht für Keeper! Erstens werden fliegende Zahlen in den aktuellen Versionen von Keeper leicht durch eine einfache Texterkennung erkannt, die mit vorgefertigten Bibliotheken problemlos in hundert Kilobyte passt, und zweitens kostet der Hacker-Code nichts, um einen Teil des Bildschirms zu erfassen und an den diensthabenden Monitor zu senden er erkannte sie selbst, drittens wird dieser Schutz durch Bit-Hack deaktiviert, d.h. Durch Bearbeiten des Maschinencodes von Keeper können viertens fliegende Nummern in der Registrierung gesenkt werden (wenn Sie versuchen, sie mit Keepers Mitteln auszuschalten, bittet er um Bestätigung der Rechtmäßigkeit dieses Vorgangs). Fünftens, selbst wenn der Schutz verschärft wird. Hacker werden dort im sechsten das Protokoll des Austauschs und der Erstellung ihrer eigenen Kunden entschlüsseln, ohne dass Nummern erforderlich sind ... Kurz gesagt, es gibt sehr viele Möglichkeiten zum Hacken, und dieser Schutz bietet keinen Nutzen, ganz zu schweigen von der Tatsache, dass immer noch viele Benutzer darauf sitzen alte Versionen ohne fliegende Nummern oder deaktivieren Sie sie als unnötig.

Und hier ist eine weitere weit verbreitete Funktion - Bestätigung der Autorisierung per E-Mail. Alles sieht auf unschuldige Weise aus - bevor Sie etwas mit unserem Konto anfangen können, müssen Sie einen Code eingeben, der per E-Mail kommt. Wenn der Hacker die * .kwm-Datei stoppt, bleibt er bei der Nase und wir - beim Geld. Schließlich erhält er keinen Zugang zu unserer Mailbox. Die Logik ist eisern, aber falsch. Das Aufbrechen von Mailboxen ist nicht so schwierig (spezifische Hacking-Techniken sind in vielen Büchern und Artikeln angegeben, daher werde ich es nicht wiederholen). Da der Hacker die * .kwm-Datei weggezogen hat, hat er das Passwort auf die E-Mail gezogen. Die Ausnahme ist vielleicht nur der Diebstahl von Smartcards und Wechseldatenträgern mit Schlüsseln, aber ... ein solcher Diebstahl wird normalerweise entweder von nahen Personen durchgeführt, die eine E-Mail haben können, oder von Räubern, die physischen Zugriff auf die gespeicherten Wechseldatenträger erhalten haben in der Regel in unmittelbarer Nähe zum Computer. Na, dass sie mehr stehlen sollen und das Passwort auf der Box?

Okay, was ist mit dem Blockieren aller IP-Adressen außer Ihrer? Zunächst ist es in lokalen Netzwerken kein unüberwindbares Problem, die Adresse eines anderen Benutzers zu erfassen. Diejenigen, die auf DFÜ sitzen, erhalten normalerweise dynamische IP-Adressen, die aus dem gemeinsamen Pool zugewiesen werden. Um sie zu registrieren - Sie werden sich langweilen und jeder Kunde des gleichen Anbieters wird ohne Probleme autorisiert. Aber es spielt keine Rolle. Kein Hacker, um die Brieftasche eines anderen zu ficken, ist nicht notwendig. Er wird einfach Geld abheben, während Keepers Hände auf dem Computer des Opfers laufen, der wahrscheinlich die richtige IP hat und kein "Blockieren" ihn aufhält!

Die von Entwicklern angebotenen Schutzmaßnahmen können sehr lange aufgelistet sein. Fast alle konzentrieren sich auf den Diebstahl einer * .kwm-Datei und deren Übertragung über das Netzwerk. Aus irgendeinem Grund denken die Entwickler, dass dies der einzige Weg zum Hacken ist, obwohl dies weit davon entfernt ist. Außerdem wird empfohlen, die Firewall korrekt zu konfigurieren, um Informationslecks zu vermeiden, und das System regelmäßig zu patchen, damit weder Hacker noch Würmer eindringen können. Nun, auf Kosten von Firewalls waren sie offensichtlich aufgeregt. Genug, um auf die beliebte Website http://www.firewallleaktester.com/ zuzugreifen und sicherzustellen, dass alle persönlichen Firewalls von Angriffen betroffen sind. Ich schrieb auch darüber in den "Notes of a Computer Virus Investigator", von denen Fragmente von ftp://nezumi.org.ru/ heruntergeladen werden können , und es gibt auch einen fertigen Demo-Code.

Lassen Sie uns nun mit Updates befassen. Viele Websites, die Zahlungen per WebMoney akzeptieren, funktionieren nur mit dem Internet Explorer, da sie ActiveX verwenden. Und obwohl Plug-Ins für alternative Browser wie Opera und Fox veröffentlicht wurden, funktionieren sie irgendwie und in Wirklichkeit muss der IE verwendet werden, die Anzahl der Löcher, in denen das Guinness-Buch der Rekorde steckt. Das heißt, die Macher von WebMoney selbst setzen uns auf einen undichten Browser und empfehlen uns gleichzeitig immer noch mit Bedacht - vergessen Sie nicht, rechtzeitig aktualisiert zu werden, heißt es. Oder vielleicht wechsle ich noch den Boden? Das Problem liegt also nicht bei den Benutzern. Das Problem liegt im Kopf des Entwicklers (genauer gesagt in Abwesenheit). Das Problem liegt im Konzept des gesamten Systems. Das Problem liegt in der grundsätzlichen Verwundbarkeit des Geldtransferprotokolls und der Verwundbarkeit von Keeper. Verdammt, wie viele Jahre gibt es schon Algorithmen zum Erzeugen von "einmaligen" Schlüsseln, bei denen es einfach nichts zu stehlen und nichts zu stehlen gibt. Aber warum weiß ich davon - weit entfernt von Kryptographie und Finanzbetrug bei Mäusen -, aber die Entwickler des Zahlungssystems wissen es nicht? Es ist nicht klar, wer ...

Keeper light oder kämpfe mit Zertifikaten

Die Unsicherheit des klassischen Keeper ist eine allgemein akzeptierte Tatsache, aber Light wird immer noch als ziemlich sicher angesehen: " In Keeper Classic kann die Schlüsseldatei gezogen, die E-Mail geknackt usw. werden. Die auf Wechselmedien gespeicherten Schlüssel können auf die Festplatte kopiert werden der Moment, wenn eine Diskette oder CD eingelegt ist. Das heißt, es ist theoretisch möglich, an das Geld zu kommen, obwohl es mit allen Vorsichtsmaßnahmen äußerst schwierig ist. Aber Light mit einem nicht exportierten Zertifikat gibt eine 100% ige Sicherheitsgarantie. "( http://owebmoney.ru/ cafe / index.php? showtopic = 108 ).

Das klingt verlockend, aber wie steht es in der Praxis? Versuchen wir es herauszufinden. Beginnen wir mit der Frage: Wie funktioniert Keeper Light? Sehr einfach. Der geheime Schlüssel wird nun nicht mehr in einer * .kwm-Datei, sondern in einem speziellen Zertifikat gespeichert, und die gesamte Steuerung erfolgt über eine Webschnittstelle unter Verwendung spezieller kryptografischer Protokolle.

Wo speichert der Browser Zertifikate? Kommt auf den Browser selbst an. Mozilla befindet sich beispielsweise im Verzeichnis "./mozilla/defaul/<blahblahblah>/cert8.db", aber der unter Windows XP Professional ausgeführte IE verwendet ein ziemlich cleveres System. Zertifikate mit öffentlichen Schlüsseln werden in einem persönlichen (persönlichen) Repository gespeichert, das sich im Verzeichnis Documents-n-Settings \ <Benutzername> \ Anwendungsdaten \ Microsoft \ SystemCertificates \ My \ Certificates befindet und auf das jeder zugreifen kann (da es sich um öffentliche Informationen handelt!). . Benutzerzertifikate befinden sich in seinem Profil. Private Schlüssel werden im Verzeichnis Documents-n-Settings \ <Benutzername> \ Application Data \ Microsoft \ Crypto \ RSA gespeichert. Alle hier befindlichen Dateien werden automatisch mit einem zufälligen symmetrischen Schlüssel verschlüsselt - dem 64 Zeichen langen Hauptschlüssel des Benutzers. Der Primärschlüssel wird mithilfe des Triple DES-Algorithmus auf der Grundlage des Benutzerkennworts generiert, mit dem er in das System eingegeben wird.

Was bedeutet all diese theoretischen Überlegungen in der Praxis? Und die Tatsache, dass das Stehlen eines Zertifikats mit einem privaten Schlüssel unter Windows XP fehlschlägt! Das heißt, es wird möglich sein, etwas zu stehlen, aber das ergibt keinen Sinn, da es auf dem Computer eines anderen einfach nicht funktioniert! (Deshalb ist es ein geschlossenes Zertifikat!). Es stimmt, es kann exportiert werden, auch ohne besondere Berechtigungen. Machen Sie sich mit dem Certificate Manager-Programm vertraut, wenn Sie nicht wissen, wie. Um Zertifikate von Computer zu Computer zu übertragen, verwendet Keeper Light ein exportiertes Zertifikat, das in Dateien mit der Erweiterung .pfx gespeichert ist. Sie befinden sich sowohl auf externen Medien als auch auf Festplatten. Hier gibt es nur ein "aber". Das exportierte Zertifikat wird durch das vom Benutzer zugewiesene Kennwort geschlossen. Um es in Ihr System zu importieren, müssen Sie entweder einen Keylogger auslösen oder versuchen, das Kennwort mit brachialer Gewalt zu öffnen. Aber der erste ist zu auffällig, der zweite - seit langem, so dass der Diebstahl von Zertifikaten nicht weit verbreitet ist.

Passwortabfrage beim Zertifikatimport

Abbildung 8. Fordern Sie beim Importieren eines Zertifikats ein Kennwort an.

Bedeutet dies, dass Keeper Light geschützt ist? Nein und nein nochmal !!! Wenn Keeper Classic zumindest theoretisch geschützt werden kann (Installation eines Treibers, der direkte Tastatureingaben bereitstellt, Emulatoren abschneidet und die Integrität von Keeper und Ihnen überwacht), funktioniert Keeper Light über einen Browser, dessen Integrität im Prinzip nicht kontrolliert werden kann!

Das erste, was mir einfällt, ist die bereits erwähnte Emulation. Wir sagen auf die eine oder andere Weise "start https://light.webmoney.ru", verstecken das Browserfenster (Sie müssen nur den Griff bekommen und können darauf zeichnen) und emulieren die Tastenfolge, um die elektronische Geldbörse aufzufüllen. Wirkt eisern und unvermeidlich. Der einzige Nachteil ist, dass für jeden Browsertyp (und möglicherweise für jede Browserversion) ein eigener Ansatz erforderlich ist. Sie können jedoch nur mit dem beliebtesten IE 5/6 aufhören.

Mit anderen Browsern noch einfacher. Wir nehmen die Quelle des Fox und erstellen darauf basierend einen Hacker-Mini-Browser, der nichts auf dem Bildschirm anzeigt, sondern nur mit Brieftaschen funktioniert. Zwar gibt es nicht so viele Fox-Fans unter den WebMoney-Nutzern, aber es ist immer noch besser als gar nichts. Übrigens, lassen Anhänger des IE sich nicht sicher fühlen. W2K-Quellcodes wurden vor langer Zeit gestohlen, und es ist durchaus realistisch, einen eigenen IE-Klon auf der Grundlage dieser Codes zu erstellen. Ganz zu schweigen davon, dass der IE nur eine Reihe von DCOM-Objekten ist und selbst Anfänger einen Browser auf der Grundlage dieser Objekte erstellen können.

Keeper Licht

Abbildung 9. Keeper Light ist nur eine WEB-Oberfläche, mit der Sie über einen beliebigen Browser mit der Brieftasche arbeiten können.

Was aber, wenn Sie das Zertifikat vor jedem Öffnen der Brieftasche importieren und dann aus dem Geschäft entfernen? Dies erhöht zwar die Sicherheit in gewissem Maße, aber das Hackerprogramm kann entweder warten, bis das Fenster „WebMoney Keeper :: Light Edition“ angezeigt wird, in dem angezeigt wird, dass der Benutzer angemeldet ist, oder die Schlüssel ausspähen, indem das geheime Kennwort zusammen mit dem Zertifikat über das Netzwerk übergeben wird. Also, elektronisches Geld ist immer noch in einer heiklen Situation!

Ist die Autorisierung des Mobiltelefons sicher?

Die neueste Ausgabe von fashion war das Autorisierungssystem per Handy. Bei der Registrierung beim ENUM-Dienst ( http://enum.ru/ ) wird uns eine spezielle Java-Anwendung (auch als Midlet bezeichnet) auf unserem Mobiltelefon zugewiesen, die sich selbst als Enum-Client bezeichnet. Es akzeptiert fünfstellige Nummern (z. B. 09652) und generiert eine darauf basierende Antwort. Der Generierungsalgorithmus ist für jeden Benutzer eindeutig. Wenn kein Mobiltelefon vorhanden ist, reicht ein Pocket PC oder ein anderes Java-fähiges Gerät (z. B. ein Desktop-PC, von dem nur ein geringer Eindruck gemacht wird) aus.

Die Abfolge der Vorgänge, wenn Sie eine Zahlung über ein Mobiltelefon oder einen PDA aktivieren

Abbildung 10. Die Abfolge der Vorgänge, wenn Sie eine Zahlung über ein Mobiltelefon oder einen PDA aktivieren.

Mit dem ENUM-Service können Sie Einkäufe über den Merchant-Service ( https://merchant.webmoney.ru/ ) tätigen, ohne auf Keeper zurückgreifen zu müssen - weder klassisch noch gekleidet. Es wird vermutet, dass das Hacken eines E-Wallets und das Stehlen von Bargeld in diesem Fall keinen Erfolg haben wird: „ Betrüger und Virenschreiber stehlen über das Internet wertvolle Informationen von unseren Computern Die theoretische Wahrscheinlichkeit der Umgehung und des Diebstahls von Passwörtern (oder Keeper-Schlüsseln) von einem Computer, da sowohl Hacker als auch Sicherheitstools den gleichen Kanal, das Internet und das Problem des Internets verwenden, besteht darin, dass es keine andere Alternative gibt Eine Aufzählung, die dieses Problem löst und uns den ganz anderen Kanal bietet: Ein Hacker kann auf Ihren Computer zugreifen, einen Trojaner-Virus "einbinden", aber er kann nicht in Ihr Mobiltelefon eindringen. Es ist auch unmöglich, den Enum-Client-Algorithmus von einer für jeden Benutzer eindeutigen Nummer abzurufen "( http://owebmoney.ru/enum.shtml ).

ENUM-Systemlogo

Abbildung 11. ENUM-Systemlogo.

Händler-Service

Abbildung 12. Händlerdienst.

Ist es wirklich so Wie das Sprichwort sagt: "Wenn du es nicht kannst, aber wirklich willst, dann kannst du es trotzdem." Der zusätzliche "Kommunikationskanal" erhöht die Sicherheit um ein Vielfaches, aber es ist verfrüht, über die Unmöglichkeit eines grundsätzlichen Verstoßes zu sprechen. Beginnen wir mit der Tatsache, dass der Algorithmus zum Generieren von Zahlen für alle Benutzer immer noch derselbe ist (zerlegen Sie das MIDlet, wenn Sie nicht glauben), nur der Generierungsschlüssel ist unterschiedlich und es ist durchaus möglich, ihn zu übernehmen. Es reicht aus, eine einzelne Antwort für eine bestimmte Zahlenkombination abzufangen. Das Wiederherstellen des Schlüssels dauert nicht lange und das Trojaner-Programm ist recht leistungsfähig. Ich hoffe nicht, dass ich erklären muss, wie man eine Zahlenkombination aus dem Bearbeitungsfenster liest.

Darüber hinaus enthalten Handys eine Reihe von Löchern. IR-Protokolle und Blue Tooth strotzen buchstäblich vor ihnen. Die Zeitschrift "Hacker" schrieb wiederholt darüber. Wenn das Opfer ein Handy oder einen PDA hat, dann hat es vielleicht auch einen Blue Tooth- oder IR-Adapter, der es ständig anhält. Ein Angreifer kann beliebige AT-Befehle an das Telefon senden, Midlets ausführen oder deren Inhalt lesen. Und was?! Sie können einen Virus ausfindig machen und schreiben, der E-Wallets stiehlt und per Handy überträgt! Alle Firewalls umgehen! Hier haben Sie einen zusätzlichen Kommunikationskanal!

Aber all diese nervigen alten Mysh'hastnogo-Hacker. Die Stimmung ist einfach schlecht. Es regnet und nur Sirenia rettet vor Depressionen (eine sehr mächtige Gothic-Band aus dem fernen Norwegen - ich empfehle es). Wenn Sie nüchtern in Ihre Augen schauen (solche roten Augen sind klein wie Perlen), müssen Sie zugeben, dass ENUM sehr schwer zu hacken ist, also gibt es einen bestimmten Punkt darin. Dies bedeutet jedoch nicht, dass Sie eine E-Wallet starten und sicher 100.000 US-Dollar darauf setzen können. Dann einfach gehackt!

ZahlungsaktivierungZahlungsaktivierungZahlungsaktivierung

Abbildung 13. Aktivierung der Zahlung per Handy über das ENUM-System.

Wie Tauscher zu brechen

Das Hacken von Austauschern ist nicht in unseren Plänen enthalten (nicht jeder hat seinen eigenen Austausch, und es ist illegal, andere zu zerbrechen), daher beachten wir nur die wichtigsten Punkte. Aus der Sicht eines Hackers ist der Exchanger eine Site, die normalerweise von PHP verwaltet wird und unter Linux / BSD / NT arbeitet.

Hier sind sie durch Fehler in PHP-Skripten am häufigsten kaputt. Auch einige Web-Programmierer verlassen die "Hintertür" für den Fall, dass sie plötzlich etwas essen wollen, aber es gibt nichts zu essen. Brechen Sie selten die Achse. Die größte Anzahl von Lücken hat natürlich NT und alle davon abgeleiteten Systeme (einschließlich des gelobten Windows 2003-Servers). Linux und BSD sind etwas schwieriger zu brechen, aber ... wenn Sie einen Sicherheitsscanner (zum Beispiel X-Spider) nehmen, werden Sie möglicherweise feststellen, dass viele von ihnen eine plumpe SendMail oder einen verrosteten Apache haben. Pufferüberlauf, Shell-Code-Versand und Server in unseren Händen!

Hacker-Arbeitsplatz

Abbildung 14. Der Arbeitsplatz des Hackers.

Fazit

Das Hacken von WebMoney ist kein Mythos, sondern eine harte Realität und Sie können nicht 100% sicher sein, selbst wenn Sie ein Sicherheitsexperte sind. Es besteht immer die Gefahr, dass ein Virus durch eine unbekannte Lücke im Betriebssystem oder Browser übertragen wird. Wenn ein Backup den Verlust von Betriebsdaten auf der Festplatte sichert, verhindert eine physische Verwechslung des Intranets mit dem Netzwerk, dass vertrauliche Daten preisgegeben werden, und nichts stiehlt aus dem elektronischen Geld!

Sireina

Abbildung 15. Sireina - gotische Hackermusik, die Mysh'a wurstet.