This page has been robot translated, sorry for typos if any. Original content here.

Hacking und WebMoney Schutz

Im Gegensatz zu allen Zusicherungen von Entwicklern, WebMoney System katastrophal unzuverlässig und öffnete buchstäblich mit einem Fingernagel. Es gibt viele Würmer, Trojaner und Hacker - Gruppen , spezialisiert auf Entführung elektronische Geldbörsen, Diebstahl , die massiv waren. Möchten Sie wissen , wie es zu tun und wie man sich schützen?

Einführung

Um damit zu beginnen, das kann nicht sein. No „WebMoney Generatoren“ ist nicht vorhanden und kann grundsätzlich nicht existieren. Alle Cash auf einem zentralen Server Betreiber gehalten, und E-Wallets sind nur ein Mittel, darauf zuzugreifen. Grob gesagt, was man eine Kombination für das Kombinationsschloss, Geld und Wertsachen im Safe erzeugen ist noch nicht erschienen. Obwohl es möglich ist, den Code zu jemandem abholen sonst sicher ist, die Möglichkeit, es ohne die Hilfe des Besitzers zu öffnen (Hussars! Wir wissen um die Lötkolben, aber schweigen) ist so klein, dass es nicht einmal die Rede wert!

Aber zu stehlen Kombination jemand anderes ist ganz real! Es ist diese „von WebMoney Generatoren“ und engagiert. Sie sind entweder ein Duplikat mit der elektronischen Geldbörse machen und sie auf den Angreifer, oder versteckte Ursache Keeper'a, Transfer auf sein Konto. Auf ähnliche Viren und Trojaner handeln. Gut markierte und Angriff auf ein bestimmtes Opfer gezielt. Ist es möglich, sich vor ihnen zu schützen? WebMoney System von Laien entwickelt wurde ursprünglich ohne Rücksicht auf Sicherheit ausgelegt und, obwohl in den letzten Jahren eine ganze Reihe von „Brandbekämpfung“ Maßnahmen war prilyapannyh Nachhinein die Situation kritisch bleibt. Die Benutzer werden in Sicherheitssystemen verwirren, gibt Support-Team eine ziemlich nebulös und vage Empfehlungen (das Windows-Update, konfigurieren Sie die Firewall, etc.), und in der Zwischenzeit weiterhin elektronische Geldbörsen zu stehlen.

Wir setzen uns nicht die Aufgabe, jemand anderes zu stehlen zu lehren, wir wollen nur zeigen und beweisen (!) Dass das WebMoney System wirklich sehr zerbrechlich ist und projiziert sogar Esel (es noch benachbart ist das Rückenmark), aber im Allgemeinen ist nicht bekannt, welche . Es wird nicht vagee Worte sein (zur Vermeidung von beschuldigt Verleumdung zu werden), aber es wird keine spezifischen Empfehlungen sein. Wir bieten keine vorgefertigten Angriff Programme und nicht sagen, genau das, was Baitik hacken müssen, aber glauben Sie mir - alle notwendigen Hacker-Tools können für eine Nacht von Grund auf neu erstellt werden - eine heilige Zeit für Hacker!

Aber das Wichtigste zuerst. Lassen Sie sich nicht schnell voran und Pop die Disc in den Laser, desto mehr wird das letztere wir noch brauchen.

Sie erscheinen aus der Dunkelheit, entfernen Sie alle E-Geld und gehen nirgendwo

Abbildung 1. Sie aus der Dunkelheit erscheinen, entfernen Sie alle E - Geld und gehen nirgendwo hin.

Was kann und kann nicht (Verzicht)

Experiment (für Bildungszwecke), können nur ihre eigene elektronische Geldbörse oder Handtasche Personen verwenden, die schriftliche Erlaubnis gab. Unerlaubte Eingriffe in anderen Leuten Systeme und Geldbörsen völlig inakzeptabel!

Sie fangen diejenigen, die aus der Dunkelheit auftaucht, und in einer Welt führen, in der es keine Rückkehr gibt

Abbildung 2. Sie fangen diejenigen , die aus der Dunkelheit auftauchen, und in einer Welt führen , in der es keine Rückkehr gibt.

Der Ausgangspunkt oder die klassische Missions

WebMoney-System ist eine Art Analog der gewöhnlichen Bankchecks, was bedeutet, dass ohne Fehler Zahlungen an uns zu machen, müssen Sie zunächst ein Konto auf dem zentralen Server des Betreibers erstellen und ein Konto eröffnen, was ein großer Nachteil ist, aber na ja.

Komm www.webmoney.ru, laden Sie das Programm Keeper Classic, führen Sie es (übrigens, zu erhalten durch den Proxy-Server zu arbeiten , ist ein Wunder der Wissenschaft und Technik dachte ich nicht erfolgreich war, war es notwendig , die NAT und Port MAPP 2802 zu erhöhen), füllen Sie die Registrierungsdaten (aus Laterne oder ehrlich), jedes Passwort zu erfinden, das Programm läuft weiter einen geheimen Schlüssel zu erzeugen und hat uns gebeten, eine Maus und Finger entlang des Schlüssels zu schmecken, dann zu ziehen. Dies ist notwendig, um ein wirklich zufälligen Daten zu erhalten, als ob psedosluchany Generator auf der Timer-Basis ist nicht ganz da. Vor dem Hintergrund der allgemeinen Verwundbarkeit des Systems zu trotzen Worte RSA, RC5, MD4, MD5, SSL ist einfach albern. Doch die psychologische Berechnung Entwickler mir ganz klar. Wenn der private Schlüssel wird in einem Bruchteil einer Sekunde erzeugt werden - was der Benutzer an ihn glauben?

Es scheint nicht aus dem Nichts, niemand fängt, und gerade sitzt und löten

Abbildung 3. Es ist nicht aus dem Nichts erscheint, niemand fängt, und gerade sitzt und löten.

Was immer es war, nach Abschluss der Registrierung zugeordnet wir eine eindeutige 12-stellige Kennung WMID (Web Money ID), und das erzeugte Schlüsselpaar. Der öffentliche Schlüssel wird an den zentralen Server des Betreibers WebMoney übertragen, und das Geheimnis wird in einer Datei mit der Endung * .kwm (Key von Web Money) gespeichert, die auf Ihrer Festplatte, Wechselmedien angeordnet werden kann, oder eine Smartcard. Kurz gesagt, gemeinsame asymmetrische Kryptographie wie PGP.

Eine weitere Datei ist * .PWM erstellt, Speichern von Informationen über unsere Portemonnaies (aktuelle Bilanz, Transaktionshistorie, etc.). Grundsätzlich ist es nicht notwendig, da alle Informationen auf dem zentralen Server des Betreibers befindet. Keeper können ohne * .PWM Datei arbeiten, die Daten automatisch aus dem Netz geladen, aber nur in den letzten drei Tagen. Eigentlich * .kwm Datei ist ebenfalls optional, und es kann wieder hergestellt werden. Um dies zu tun, müssen Sie das Passwort kennen Zugriff auf die Mailbox bei der Registrierung und eine notariell beglaubigte Erklärung angegeben haben , dass Sie nicht Elch (mehr dazu finden Sie hier: http://www.owebmoney.ru/returnkey.shtml). Theoretisch kann der Hacker unser Geld Hack nur Passwort-basierte, aber es ist zu mühsam und gefährlich in der Praxis.

Geheime Informationen, die den Zugang zu den Geldbeutel regelt, ist nur ein kwm-Taste. WMID alle einsehbar und das ist in Ordnung. Das Wissen der WMID, können Sie die Benutzerdaten erfahren, die er als „offen“ markiert, aber es ist unmöglich, die Zahl seiner Handtasche (Geldbörse) zu bestimmen.

die Anzahl der Geldbeutel - ist Information bedingt eingestuft. die Anzahl der Handtasche zu kennen, können wir das Geld nicht von ihm bekommen, aber wir können in der „Beschreibung des Kaufs“ so viel wie möglich realistisch Rechnung, füllen. Das Verfahren natürlich dumm, aber es gibt eine gewisse Chance, dass es wird. Kunden regelmäßig große Anzahl von kleinen Konten zu zahlen sind, nach und nach Gewöhnung nicht achten Sie auf sie und überprüfen Sie die Spalte „von denen“ nur im Zweifelsfall. Natürlich ist kein Summe in dieser Methode des Hacking nicht, außerdem kann ein Angreifer sehr robustes Design verbrennen und zu der Gesellschaft Onkel gehen, der seinen Arsch reißen würde, so bemerkbar Popularität, die er nicht gefunden werden.

Setzen Sie das Opfer verlassen, aber eine plausible Rechnung

Abbildung 4. Setzen Sie das Opfer verlassen, aber eine plausible Konto - so plötzlich bezahlen?

Aber Diebstahl kwm-Datei boomt. Standardmäßig werden die Schlüssel in keys.kwm gespeichert, aber im Prinzip kann der Dateiname alles sein, was das betrifft, und Expansion. Die meisten Hacker und Trojaner erzeugen stumpfen Wildcard-Suche * .kwm, so die Schlüsseldatei in dontreadme.txt umbenennen in gewissem Maße unsere Sicherheit erhöht, sondern ausgefeilter Hacker in die Registrierung erhalten, wo der Torwart seine Einstellungen und Spion Pfad speichert. Dennoch ist es möglich, durch das Scannen aller Dateien nach Inhalten suchen (obwohl es viel Zeit in Anspruch nehmen und wird die verdächtige Plattenaktivität verursachen). Feinschmecker werden sicherlich einen Aufruf Createfile-API-Funktion, die anzeigt, welche Dateien geöffnet sind Keeper abholen. Und selbst wenn die Registrierungseinstellung Format in zukünftigen Versionen geändert werden wird, eine Option mit Createfile wird weiterhin funktionieren (Hinweis: wenn die Entwickler nicht Idioten waren, haben sie mit den Schlüsseln mehrere Dateien erstellt - eine echte, der ganze Rest - Uhr Sensoren, anhand derer ein Signal ertönt Alarm).

Hiding kwm-Datei weg von Hackern

Abbildung 5. Verstecken kwm-Datei vor Hackern entfernt.

Standardschlüssel Dateigröße 1,2 MB (in genau auf einer Diskette), aber falls gewünscht, kann es bis zu 100 MB erhöht werden. Dies macht es schwierig, den Schlüssel für die Übertragung über das Internet zu stehlen, und in der Regel keine unüberwindliche Schwierigkeit schaffen. 100 MB - Halb Mini CD-R, Zip-100M ist eine oder zwei CD-R Visitenkarten-Format. Natürlich ist die Systemleistung zu einem gewissen Grad Tropfen (große Datei, dann werden Sie es nicht gelesen), aber die Sicherheit ist es wert. Oder auch nicht wert? Gemäß dem lokalen Netzwerk 100 MB zu stehlen ist kein Problem, ein DSL-Modem oder Kabel Internet - zu. Selbst nach heutigen Maßstäben berüchtigt Modem 33600 wird diese Datei für ~ 70 Stunden. Nicht so sehr, wenn Sie sich erinnern, dass praktisch keiner der Benutzer nicht die Schlüssel regenerieren jeden Tag. Split-Dateien in kleine Stücke, im Hintergrund gesendet, ziehen Sie es für zwei oder drei Wochen ist realistisch, obwohl es die dümmste und aussichtslose Art und Weise ist.

Wenn ein Hacker in ein anderes System infiltriert (und in sie eindringen, können Sie auf verschiedene Weise), es kostet nichts, eine Datei in den Speicher zu laden, öffnen Sie die Brieftasche Geld auf Ihr Konto zu übertragen und die Festplatte zu schlagen, war das Opfer auf das Internet zuzugreifen nicht in der Lage und beschweren sich darüber, wer sollte . By the way, auf den "Report" -Link. Die Optionen sind nicht so viel und nicht warten auf Hilfe aus. Nun, mit der Ausnahme, dass der Herren, den Gottes (wenn Sie wirklichen Gott sind, mein Geld zurück, Sic Sie ficken), sondern auf den Jungen. Wenn der Zugriff auf WMID noch wir haben (was für ein dummer Hacker gefangen!), Können wir bestimmen WMID, auf die sie das Geld übertragen, gehen Sie auf die Website des Schieds Service (http://arbitrage.webmoney.ru/), die Schiedsgebühr zu zahlen (a Sie müssen WebMoney haben, die wir entführten Angreifer gereinigt) und Hacker-Geldbeutel zu blockieren. Nur wenn der Angreifer nicht Elch ist, Geld für ein paar Minuten wird an dem E-Gold oder andere Weise aus dem System entfernt übertragen werden, so dass es nicht sie Geldbeutel würde und selbst blockiert, und es gibt nichts. Übrigens mit den ursprünglichen Geldbörsen oder persönliches Zertifikat nur durch die Entscheidung der Schiedsstelle blockiert sind, ist, dass ausreichend, um das Zertifikat zu nehmen und ... Das ist einfach nicht notwendig zu sagen, dass die Inhaber der Zertifikate nicht in Diebstahl beschäftigt sind, wie durch ihre Passdaten gemeldet. Agaschazblin! Noch Ihre eigene? Ausstellung von Zertifikaten ist jetzt in allen und jeden Eingriff, und hofft, dass alle von ihnen sind ehrlich, gewissenhaft und unbestechlich, ist einfach naiv, vor allem, wenn es um Geld geht, auch elektronisch. Der Mann, der $ 100.000 zu stehlen gesetzt (und warum nicht), erhalten ohne Probleme nicht nur Abb Zertifikat, sondern auch einen falschen Pass zusätzlich. Nun, jemand auf dem Schulabschluss und dann aussehen? Auch wenn der MVD gefälschte Pass zu fließen, sagte so oft TV (und das ist ein Verbrechen), was ist dann mit „LLC“ zu sprechen, die in der Regel keinen rechtlichen Status haben?!

Allerdings betrachten die Situation für die Übertragung von gestohlenem Geld in ein paar Geldbörsen nach wie vor von den Entwicklern, und sie werden gründlich versklavt ... Eindringlingen! Urteilen Sie selbst. Opfer nach dem vorgenannten Anspruch Einreichung sollte der Administrator des Schiedsdienst beziehen (WMID 937717494180, arbitrage@webmoney.ru) und fragen Sie ihn, um die Kette zu verfolgen. Der ganze „Charme“, dass der Administrator nur von Montag bis Freitag von 10 bis 18 Stunden in Moskau arbeitet. Wir sagen nicht Service retten und wollen auch schlafen. Sehr gutes Zahlungssystem, sage ich Ihnen !!! Trotz der Tatsache, dass die Auszahlung von Geld aus dem System wird fast sofort durchgeführt und das Konto geht auf eine Minute, ein Administrator finden Sie will bainki. Es verstand nicht, dieses Studentenwohnheim oder ein Zahlungssystem? Welche Kosten bei Millionen Umdrehungen (die nicht zu erwähnen Werbung nicht aufhören), ein paar Leute für rund um die Uhr Unterstützung zu mieten?! Denn in diesem Fall handelt es sich um Geld! Natürlich Hacker sichersten Diebstahl oder um Mitternacht oder am Wochenende begehen. Aber es ist in Ordnung, lassen Sie leere Worte und Blick auf Keeper'om näher.

Keeper innen und außen

Hier sind einige bewundert als Entwickler in Volumen Keeper'a so viel zu stopfen verwaltet ( „Ich weiß nicht , über Sie, aber ich bewundere wirklich diejenigen , die 2MB Verteilung Keeper Classic gelungen , eine solche zu setzen“ schmackhaft „Füllung, aber immer noch schön verpackt dieses Ding draußen“, http://www.owebmoney.ru/clashistory.shtml). Und was sie in der Tat, zusammen mit ihm? in diesem Alter natürlich, wenn die „Hallo Welt!“ kaum eingreifen in die CD, kann die Anwendung nehmen „nur“ ein paar Megabyte bereits Respekt gebieten ...

Das Hauptvolumen (~ 2,2 MB) nimmt WMClient.dll was eigentlich ist der Keeper. Es DCOM-Objekt, geschrieben in Microsoft Visual .NET Kompilierung nativen Code, nicht gepackt und nichts, ich wiederhole, nicht behindert ihre Analyse. Es ist weder verschlüsselt noch p-Code oder Anti-Debugging-Tricks, kein Zähler Disassembler, dumper, API-Spion. Nichts! Take-and-Analyse! Wie auch immer, Version 2.4.0.3 (die spätestens zum Zeitpunkt des Schreibens dieses Artikels) verhält sich auf diese Weise. Ob Entwickler sind sogar ein wenig schlauer als sie jemals ++ 6 (die berühmten „sechs“), zuzüglich etwaigen Qualitätsschutz (zB EXECryptor) zu Microsoft Visual C verwendet oder NET-Anwendung in p-Code kompiliert werden, was viel schwieriger ist, zu zerlegen.

WebMoney.exe (~ 180 KB) - das ist nur „puskalka“ und es ist nichts interessant, es aber zerlegen noch steht. Zumindest dann, lustig zu machen Entwickler und ihre Qualifikationen zu beurteilen.

Keeper Classic in Disassembler

Abbildung 6. Keeper Classic in Disassembler.

Daher gehen wir davon aus, dass ein Computer mit Keeper'om eingebettet Hacking-Code mit Benutzerrechten ausgeführt werden (wir stimmen zu, dass die Administrator-Rechte, und wir waren nicht gegeben, obwohl die Verstärkung erweiterten Rechten mit dem Benutzer an das System in W2K / XP, im Allgemeinen, kein Problem, die 9x nicht zu erwähnen, wo keine Trennung er passierte nie Privilegien in Spartan Bedingungen in der Nähe der Kämpfe handeln). Was können wir tun? Wir haben zwei Möglichkeiten. Pre Keeper'a zerlegen, Kommunikationsprotokoll mit dem Server wieder aufzubauen, zu warten, bis das Medium eingeführt wird, die ein geheimer Schlüssel und ... mehr selbst fantasieren. Persönlich, ich Keeper'e Faulheit gepflückt. Auseinanderbauen - ein mühsames Geschäft und die Wiederherstellung des Kommunikationsprotokolls mehr als eine Woche in Anspruch nehmen. Mit reduziert Sniffer signifikant die Zeit, aber immer noch „brach.“ Es ist viel einfacher und effizienter zu Geld Hände Keeper'a zu stehlen. Installieren Spion, Tastatureingaben abfangen, warten wir, bis WMID Eingang oder definieren sie auf andere Weise, weil WMID für jemanden ist kein Geheimnis (erste Methode in erster Linie durch das Virus, der zweite verwendet wird - gut für einen gezielten Angriff), dann ein „schön“ vor ( nach 18 Stunden oder am Wochenende) deaktivieren Bildschirmausgabe, startet WebMoney.exe und durch Eingabetastatur-Maus-Emulation Fällen alles, was wir wollten. Zum Beispiel, füllen Sie das Opfer die Handtasche auf. Und warum nicht?! Wir in der Tat brechen seine eigenen Geldbeutel, nicht wahr? Das ist es, und füllt sich! Wir sind keine Schläger haben und ehrliche Hacker!

Technologie - Emulation Eingang ist im Detail in den „Hinweisen myschh'a“ elektronische Version beschrieben , die frei sein können meine myschh'inogo ftp-Server abzubeißen ftp://nezumi.org.ru/ (nur daran erinnern , dass es nicht jederzeit verfügbar ist), um den Außerdem wurde der Artikel "Breaking the WebMoney" in der Ausgabe 67 Hacker veröffentlicht, in dem alle beschrieben. Also lassen Sie uns nicht Demagogie erhöhen und Kaugummi kauen hundertmal. Beachten Sie nur einen gemeinsamen Mechanismus. Erstens finden wir ein Fenster Keeper'a Funktionsaufruf oder Find EnumWindows und dessen Griff definieren. Dann aufzuzählen Verwendung EnumWindows die Child-Fenster, die zu den Bedienelementen (Tasten, Zeilenbearbeitung, etc.). Senden Elemente einer Vielzahl von Steuernachrichten (dies kann mit Sendmessage-Funktion durchgeführt werden) wir sie leicht unter seine Kontrolle nehmen. Die Deaktivierung die Anzeige erfolgt oder Intercept GDI (realisiert hart, aber arbeitet mit einem Knall) Dienstleistungen oder Ort über Keeper'a ablenkend Fenster, beispielsweise ein Browser-Fenster mit einem pornografischen Bild. Ja, eine Menge Dinge, hier können Sie kommen mit!

Das Problem ist, dass seit einiger Zeit stumpf Emulation zu bedienen aufhörte. Keeper bekam eine so genannte „fliegende Figuren“. Wie diejenigen, automatische Anmeldungen auf vielen Websites zu verhindern verwendet. Bevor Sie eine Zahlung leisten, müssen Sie drei Ziffern der Grafik eingeben, die zufällig auf dem Bildschirm angezeigt werden. Die Idee ist natürlich interessant, aber ich habe geliehen es eindeutig fehl am Platz ist. Eine schwierige Kindheit, Ausbildung sauge, tief Kater. Ein Leiter eines bo-bo. Jedoch nichts mit dem Kopf zu tun. Immerhin dachte niemand. Entwickler Sicherheitstechniken nicht explizit gelehrt. Fragmentarisches Wissen des Stils „hier wonks, und dann tanzten sie, und dann zog ich die Ziegel“ und einen Stab von allen Seiten.

Schutz Keeper-a

Abbildung 7. Schutz Keeper'a „fliegende Figuren“.

Warum „Zahlen fliegen“ sind auf dem Web-Server (wo sie zum ersten Mal erschienen und)? Denn nur , weil zum einen die Sicherheitscode außerhalb der Reichweite der Hacker ist, und zweitens, weil die Verteidigung ausschließlich an den Roboter ausgerichtet ist, sondern Menschen. Mail.ru zum Schutz gegen Spammer und Vandalen diese Maßnahme ist mehr als genug, aber nicht für Keeper'a! Zunächst wird in den aktuellen Versionen Keeper'a fliegende Figuren elementare prostyuschim erkannten die OCR, freier Sitz in Hunderten von Kilobyte (unter Verwendung von Ready-Bibliotheken), und zweitens, Code-Hacking nichts kostet ein Stück des Bildschirms zu erfassen und an den Monitor im Dienst an dem Hacker senden er erkannte ihre eigenen, und drittens, dieser Schutz ist deaktiviert Bit-Hack, das heißt Bearbeitungsmaschinencode Keeper'a, vierte, kann fliegen Zahlen abgeholzt über die Registrierung (wenn Sie versuchen, sie durch Keeper'a zu deaktivieren, wird er für die Bestätigung über die Legitimität der Operation fragen), in dem fünften Platz, auch wenn der Schutz wird angezogen werden, in der Reserve Hacker wird den Austausch und die Schaffung eines Protokolls seiner eigenen Kunden entschlüsseln, ohne dass es in den sechsten Zahlen ... kurz gesagt, Weisen Hacking ist sehr, sehr viel, und kein Nutzen von diesem Schutz, nein, nicht die Tatsache zu erwähnen, dass viele Nutzer immer noch auf dem sitzen ältere Versionen ohne die fliegenden Figuren oder deaktivieren sie als unnötig.

Aber eine andere gut publizierte Feature - Genehmigung Bestätigungs-E-Mail. Auf dem ungeschulte Auge sieht es Zug - vor unserem Konto der Lage sein wird, ganz gleich, was getan wurde, Sie den Code eingeben müssen, die auf der E-Mail kommen. Wenn ein Hacker * .kwm Datei stößt, wird es mit der Nase bleiben, und wir - mit dem Geld. Immerhin Zugriff auf unsere Mailbox, wird er nicht erhalten. Die Logik von Eisen, aber es ist falsch. Mailboxes Pause ist nicht allzu schwierig (spezifische Methoden des Hacker werden in einer Reihe von Büchern und Artikeln gezeigt, so werde ich nicht wiederholen), auf den gleichen, solange die Angreifer * .kwm Datei gezogen, wird sie davontragen, und das Kennwort auf E-Mail. Die Ausnahme ist vielleicht nur der Diebstahl von Smartcards und Wechselmedien Schlüsseln, aber ... dieser Diebstahl erfolgt in der Regel entweder in der Nähe Menschen, die ficken und E-Mail, oder Räuber, physischen Zugriff auf Wechselmedien erhalten, die gespeichert wird, in der Regel des Computers in der Nähe. Nun, was sie sollen mehr und das Passwort stehlen auf der Box?

Okay, wie wäre es blockiert alle IP-Adressen, zusätzlich zu seiner? Lassen Sie uns beginnen mit der Tatsache, dass die lokalen Netzwerke Hijacking-Adressen sind kein unüberwindbares Problem. Wer auf dem sitzt Dial-Up'e erhält in der Regel dynamische IP-Adressen aus einem gemeinsamen Pool zugeordnet. Verschreiben sie - zadolbala, und jeder Client mit dem gleichen ISP würde ohne Probleme genehmigt werden. Aber es spielt keine Rolle. Kein Hacker-Shop an jemand anderes Portemonnaie Fick nicht brauchen. Er hat einfach Geld abheben Hände Keeper'a eines Opfers des Computers ausgeführt wird, die sicherlich die richtige IP hat und keine „sperren“ es nicht zu stoppen!

Schutzmaßnahmen von den Entwicklern vorgeschlagen, ist es möglich, eine lange Zeit aufzuzählen. Fast alle von ihnen sind auf Diebstahl * .kwm Datei konzentriert und dann über das Netzwerk senden. Irgendwie denken die Entwickler dies der einzige Weg ist, zu brechen, auch wenn dies nicht so ist. Sie empfahlen auch die „richtigen“ eine Firewall einzurichten, um Informationslecks zu verhindern und das System regelmäßig patchen, um keinen Hacker oder Würmer eindringen. Nun, durch Firewalls, haben sie offensichtlich aufgeregt. Es genügt, zu einer beliebten Website http://www.firewallleaktester.com/ zu gehen, um sicherzustellen , dass es ein Angriff ist, piercing alle persönlichen Firewalls. Ich schrieb auch darüber in dem „Computervirus Forscher Notes“, Fragmente davon aus heruntergeladen werden kann ftp://nezumi.org.ru/ , gibt es einen fertigen Beispielcode.

Lassen Sie sich jetzt mit dem Updates beschäftigen. Viele Websites, die Zahlung über WebMoney akzeptieren nur mit IE arbeiten, weil sie ActiveX verwenden. Und obwohl Alternativen wie Opera-Browser nicht unterstützt und Fox veröffentlicht Plug-In arbeiten sie irgendwie, und in Wirklichkeit ist es notwendig, den IE, die Anzahl der Löcher zu verwenden, das von dem Guinness-Buch der Rekorde wert sind. Das heißt, WebMoney Schöpfer selbst podsazhivayut unsere undichten Browser und empfehlen nach wie vor vorsichtig - nicht vergessen die Zeit zu aktualisieren, sagen sie. Und kann ich immer noch ihr Geschlecht ändern?! So ist das Problem, nicht die Nutzer. Das Problem in den Gehirnen des Entwicklers (oder besser gesagt, ihre völlige Abwesenheit). Das Problem ist das Konzept des gesamten Systems. Das Problem ist von grundlegender Bedeutung Verwundbarkeit Geld-Transfer-Protokoll und Unsicherheit Keeper'a. Heck, wie viele Jahre bereits existieren Algorithmen „one-off“ Schlüssel generieren, bei dem Stehlen einfach nichts und gar nichts. Aber warum muss ich über sie wissen - ziemlich weit von Kryptographie und Finanzbetrug myschh - wissen aber nicht, die Entwickler von Zahlungssystem? Ponaprinimali unklar, wer ...

Keeper Licht oder ein Kampf mit Zertifikaten

Insecurity klassische Keeper'a - Tatsache gegründet, aber das Licht ist immer noch sicher genug angesehen, „The Keeper Classic Schlüsseldatei stückchenweise peretaskat sein kann, kann E - Mail gehackt werden, usw. Die Tasten auf einem Wechselmedium gespeichert sind, kann der Trojaner auf die Festplatte geschrieben werden in wenn eine Diskette oder CD eingelegt das heißt, ist es theoretisch möglich , um das Geld zu bekommen, auch wenn alle Vorsichtsmaßnahmen -. Licht ist extrem schwierig, aber nicht mit dem exportierte Zertifikat gibt eine 100% ige Garantie der Sicherheit „(http://owebmoney.ru/. Café / index.php? showtopic = 108).

Hört sich gut an, aber wie dieser Zustand in der Praxis? Versuchen Sie zu verstehen. Beginnen wir mit der Frage beginnen - wie haben Arbeits Keeper Light? Sehr einfach. Nun ist der geheime Schlüssel wird in * .kwm Datei nicht gespeichert, sondern in einem speziellen Zertifikat und alle Kontrolle über die Web-basierte Schnittstelle für spezielle kryptographische Protokolle.

Wo speichert der Browser die Zertifikate? Es hängt von dem Browser. Zum Beispiel Mozilla - im Katalog "./mozilla/defaul/<blahblahblah>/cert8.db", aber IE, begann Windows XP Professional ausgeführt wird, verwendet ein ziemlich gehäuft System. Public-Key-Zertifikat in den persönlichen (persönlichen) Speicher gespeichert, die sich im Verzeichnis Dokumente-n-Einstellungen \ <Benutzername> \ Anwendungsdaten \ Microsoft \ System \ My \ Zertifikate, die für jedermann frei zugänglich ist (es ist die Information der Öffentlichkeit!) . Benutzerzertifikate in dem Profil entfernt. Private Schlüssel werden in gespeicherten Dokumenten-n- Einstellungen \ <Benutzername> \ Anwendungsdaten \ Microsoft \ Crypto \ RSA. die grundlegenden Key-User (Benutzer-Master-Schlüssel), eine Länge von 64 Zeichen - Alle Dateien werden automatisch zufälligen symmetrischen Schlüssel verschlüsseln. Der Hauptschlüssel wird auf dem Algorithmus Triple DES erzeugt basierend auf dem Kennwort des Benutzers, mit dem er in das System gelangt.

Was bedeutet es, all diese theoretischen bodyaga in der Praxis? Und das Sneak-Zertifikat mit einem privaten Schlüssel von einem Windows XP kann nicht sein! Das heißt, um eine erfolgreiche auszuziehen, aber die gute dies wird gleich Null sein, weil auf einem anderen Computer es einfach nicht funktionieren! (Das ist, was privates Zertifikat!). Allerdings können Sie es exportieren, ohne auch nur über spezielle Privilegien zu haben. Gut Zertifikat-Manager-Programm, wenn Sie nicht wissen, wie. In der Tat, für das Zertifikat Übertragung von Computer zu Computer Keeper Light mit dem exportierte Zertifikat, die in Dateien mit der Erweiterung PFX gespeichert ist. Sie können sowohl auf den externen Speichermedien und Festplatten zu finden. Das ist nur gibt es ein „aber“. Das exportierte Zertifikat mit einem Passwort gesperrt wird vom Benutzer zugewiesen, und sie in Ihr System zu importieren, müssen Sie entweder einen Keylogger werfen, oder versuchen, ein Passwort Brute-Force zu öffnen. Aber das erste ist zu viel, die zweite - für eine lange Zeit, so dass der Diebstahl von Zertifikaten hat keine breite Akzeptanz erhalten.

Passwort anfordern, wenn Sie das Zertifikat importieren

Abbildung 8. erfordert ein Kennwort auf der Einfuhrbescheinigung.

Bedeutet dies, dass der Keeper Light geschützt wird? Nein, und nicht wieder !!! Wenn der Keeper Classic kann zumindest theoretisch geschützt werden (die Treiber zu installieren, direkte Tastatureingabe bereitstellt, Emulatoren abschneidet und überwacht die Integrität Keeper'a und mich selbst), arbeitet der Keeper Light über einen Browser, die „Integrität“, von denen grundsätzlich nicht kontrolliert werden!

Das erste, was in den Sinn kommt - dies ist zu emulieren bezeichnet. Sagen Sie „Start https://light.webmoney.ru“, eine oder andere Weise verstecken das Browser-Fenster (es genügt, nur einen Griff zu bekommen und man kann auf ihm, schrecklich ziehen) und emulieren Tastenanschläge, die elektronische Geldbörse aufzufüllen. Es wirkt Eisen und unvermeidbare. Die einzige negativer Punkt - jede Art (und möglicherweise Version) Browser erfordert einen eigenen Ansatz, aber man kann nur an den IE 5/6, als das beliebteste bleiben.

Bei anderen Browsern noch einfacher. Wir nehmen den Quellcode und erstellen Fox Hacking Mini-Browser auf ihre Basis, die auf dem Bildschirm nicht ausgegeben etwas tut, aber es funktioniert nur mit Geldbeutel so. Doch unter dem WebMoney Benutzer Fox-Fans sind nicht so viele, aber es ist immer noch besser als nichts. By the way, lassen IE Anhänger nicht sicher fühlen. W2K Quellcode wurde eine lange Zeit gestohlen und Ihre IE Klon erstellen, die auf ihnen basiert ist ganz real, nicht um die Tatsache zu erwähnen, dass der IE - es ist nur ein Satz von DCOM-Objekte und sammeln auf ihrer Grundlage ihres Browsers können auch Anfänger.

Keeper Light

Abbildung 9. Keeper Light - ist eine WEB-Schnittstelle , die Sie mit einem Fond von jedem Browser zu arbeiten.

Was passiert, wenn die Einfuhrbescheinigung für jede Öffnung des Geldbeutels vor, und nehmen Sie sie dann aus dem Laden? Tatsächlich ist es in gewissem Maße die Sicherheit erhöhen, aber das Hacker-Programm kann entweder für das Erscheinen des Fensters „WebMoney Keeper :: Light Edition“ warten, signalisiert, dass der Benutzer angemeldet ist, oder auf den Tasten spionieren geheimes Passwort mit dem Zertifikat über das Netzwerk übergeben. Also, elektronisches Geld bleibt nach wie vor in einer klebrigen Situation!

Autorisierung per Handy - zuverlässig?

Die Wut war ein System der Zulassung eines Mobiltelefons. Beim Check-in - Service ENUM (http://enum.ru/) starrt uns in der speziellen mobilen Java-basierte Anwendung (auch als MIDlet), der sich Client - Enum aufruft. Es dauert eine fünfstellige Zahl (zum Beispiel 09652) und erzeugt eine Antwort auf sie basiert, ist der Erzeugungsalgorithmus für jeden Benutzer einzigartig. Wenn es kein Handy ist - fit Pocket PC oder andere Geräte, die Java unterstützt (zum Beispiel der PC-Desktop, spüren nur wird es ein wenig sein).

Die Reihenfolge der Aktivierung der Zahlung über Mobiltelefon oder PDA

Abbildung 10. Reihenfolge der Operationen bei der Aktivierung der Zahlung über Mobiltelefon oder PDA.

ENUM - Service ermöglicht es Ihnen , die Einkäufe über die Service - Händler zu machen (https://merchant.webmoney.ru /) nicht zu Keeper'u greifen - weder klassisch noch Investitionen. Es wird angenommen , dass eine elektronische Geldbörse und stiehlt Bargeld in diesem Fall Hack nicht mehr in der Lage: „Betrüger und Virenschreiber sind über das Internet von unseren Computern wertvolle Informationen zu stehlen, aber was auch immer Schutz , den wir nicht erfunden haben - Firewalls, Antivirus, antikeylogera, antitroyany, Zertifikate - immer haben. theoretische Möglichkeit einer Umgehung und stiehlt Passwörter (oder Wächter des Schlüssels, zum Beispiel) aus dem Computer, weil Hacker und Security - Tools , die denselben Kanal nutzen - das Internet und das Internet ist ein Problem , dass es keine andere, Alt. tive Kanal Speicherung und Übertragung von Informationen. So lösen die ENUM dieses Problem. Es gibt uns den sehr unterschiedlichen Kanal. Ein Hacker kann in den Computer bekommen, „plant“ Trojaner - Virus, aber es kann für nicht in dein Handy bekommen. Ratet mal , gleiche was für jeden Benutzer Enum - Client - Algorithmus einer einzigen Zahl in Empfang eines anderen eindeutig ist, kann nicht zu „sein (http://owebmoney.ru/enum.shtml).

Logo ENUM-System

Abbildung 11. ENUM Systemlogo.

Händlerdisagios

Abbildung 12. Service Händler.

Ist es wirklich so? Wie das Sprichwort sagt, „wenn es unmöglich ist, aber sehr wünschenswert, ist es noch möglich ist.“ Zusätzlicher „Kanal“ und in der Tat erhöht die Sicherheit wiederholt, sondern um die grundsätzliche Unmöglichkeit, brechen zu sprechen - vorzeitig. Beginnen wir mit der Tatsache , dass die Zahlen Erzeugungsalgorithmus für alle Benutzer noch vereinigt (disassembliert das MIDlet , wenn Sie es nicht glauben) zu starten, nur die Schlüsselerzeugung ist anders und es ist durchaus möglich , abholen. nur eine Antwort ausreicht, um für eine gegebene Kombination von Zahlen abzufangen. Key Recovery dauert nicht lange, und das Trojaner-Programm ist durchaus in der Lage. Ich hoffe, dass es nicht notwendig ist, zu erklären, wie Zahlen der Kombination des Bearbeitungsfensters zu zählen.

Darüber hinaus enthalten Handys eine Reihe von Löchern. IR-Protokolle und Blue tooth wimmelt es buchstäblich mit ihnen. Das Magazin „Hacker“, schrieb immer wieder darüber. Wenn das Opfer ein Handy oder PDA hat, ist es möglich, dass es blauen Zahn und Adapter oder Infrarot hat, die kontinuierlich hält an. Der Angreifer kann das Telefon jeden AT-Befehl senden, MIDlets ausführen oder dessen Inhalt zu lesen. Und was?! Können gemerkte und einen Virus zu schreiben, die E-Wallets stiehlt und sie durch ein Handy passieren! Der Bypass alle Firewalls! Hier haben Sie einen zusätzlichen Kanal für die Kommunikation!

Doch all diese Erbsenzählerei myschh'astnogo alten Hacker. Nur eine schlechte Stimmung. Der regen fällt und Depression spart Sirenia (sehr mächtige gotische Band aus dem fernen Norwegen - Ich empfehle). Wenn nüchtern der Wahrheit (in einem solchen myschh'inye roten Augen - klein, wie eine Perle) zugewandt ist, muss man erkennen, dass der Hack ENUM ist sehr schwierig, so ein gewisser Sinn ist es immer noch. Aber dies bedeutet nicht, dass Sie ein E-Wallet beginnen und ihm kühn 100.000 $ setzen. Dann hacken einfach!

Aktivierung von ZahlungsAktivierung von ZahlungsAktivierung von Zahlungs

Abbildung 13. Aktivierung der Zahlung per Handy über das ENUM - System.

Wie brechen Tauscher

Tauscher Hacking ist nicht in unseren Plänen enthalten (einen eigenen Tauscher ist nicht jeder, und andere brechen - illegal ist), so nennen wir die wichtigsten Punkte nur. Aus der Sicht der Tauschers Hacker-Website ist in der Regel von PHP und läuft unter Linux / BSD / NT gesteuert.

Das ist durch Fehler in PHP-Skripten und sie oft brechen. Auch lassen einige Web-Programmierer eine „Hintertür“ auf den Fall, wenn sie plötzlich essen wollen, und haben nichts zu essen. Seltene Achse brechen. Die größte Anzahl von Löchern, hat natürlich alle NT und dessen Derivat Systeme (einschließlich der gepriesenen Windows 2003 Server). Linux und BSD ein wenig schwieriger zu brechen, aber ..., wenn Sie den Sicherheitsscanner nehmen (zum Beispiel X-Spinne), werden Sie, dass viele von ihnen zu finden ist krumm oder Sendmail Apache verrostet. Pufferüberlauf, das Senden von Shell-Code, und der Server ist in unseren Händen!

Arbeitsplatz Hacker

Abbildung 14. Arbeitsplatz Hacker.

Abschluss

Hacking WebMoney - ein kein Mythos, sondern eine harte Realität und schützen Sie sich 100% ist unmöglich, auch wenn Sie ein Experte für die Sicherheit sind. Es besteht immer die Gefahr, dass das Virus durch eine bislang unbekannte Lücke im Betriebssystem oder Browser zu kontrollieren, und wenn der Verlust von Betriebsdaten auf der Festplatte Redundanz der Offenlegung vertraulicher Daten speichert - physische Trennung vom Web Intranet, der Diebstahl von E-Geld hilft nichts!

Sireina

Abbildung 15. Sireina - Gothic Hacker Musik , die Wurst myschh'a.