This page has been robot translated, sorry for typos if any. Original content here.

Hacking und Schutz von WebMoney

Entgegen allen Versicherungen von Entwicklern ist das WebMoney-System katastrophal unzuverlässig und wird buchstäblich mit dem Fingernagel geöffnet. Es gibt viele Würmer, Trojaner und Hackergruppen, die sich auf den Diebstahl von elektronischen Brieftaschen spezialisiert haben, deren Diebstahl massive Ausmaße angenommen hat. Willst du wissen, wie das gemacht wird und wie du dich schützen kannst?

Einleitung

Beginnen wir mit etwas, das nicht sein kann. Es gibt keine "WebMoney-Generatoren", die prinzipiell nicht existieren können. Das gesamte Bargeld wird auf dem zentralen Server des Betreibers gespeichert, und elektronische Geldbörsen sind nur ein Mittel, um darauf zuzugreifen. Grob gesagt, aus der Tatsache, dass Sie eine Kombination von Ziffern für die Code-Sperre generieren, werden Geld und Schmuck nicht im Safe erscheinen. Und obwohl es möglich ist, eine Chiffre zu einem anderen Safe zu wählen, ist die Wahrscheinlichkeit, sie ohne die Hilfe des Besitzers zu öffnen (wir erinnern uns an den Husar!, Aber wir schweigen) über den Lötkolben ist so klein, dass es überhaupt nicht erwähnenswert ist!

Aber die Kombination eines anderen zu stehlen ist ziemlich real! Dies ist, was "WebMoney-Generatoren" tun. Sie machen entweder ein Duplikat aus der elektronischen Brieftasche und übertragen sie an den Angreifer oder sie rufen heimlich Keeper an und transferieren sie auf ihr Konto. Ebenso gibt es Viren und Trojaner. Auch markierte und gezielte Angriffe auf ein bestimmtes Opfer. Kann ich mich vor ihnen schützen? Das WebMoney-System, von Nicht-Spezialisten entwickelt, wurde ursprünglich ohne Rücksicht auf die Sicherheit entwickelt, und obwohl es kürzlich einen ganzen Komplex von "Brandbekämpfung" Maßnahmen vorgelagerter Rückblick erschien, bleibt die Situation kritisch. Benutzer sind in Sicherheitssystemen verwirrt, der Support-Service gibt eher vage und vage Empfehlungen (Update Windows, konfigurieren Sie die Firewall, etc.), und unterdessen der Diebstahl von elektronischen Brieftaschen weiter.

Wir stellen uns nicht die Aufgabe, irgendjemanden zu lehren, wie man stehlen soll, wir wollen nur zeigen und beweisen (!) Dass das WebMoney-System wirklich sehr unzuverlässig ist und nicht einmal von einem Esel projiziert wurde (es grenzt trotzdem an das Rückenmark), und im Allgemeinen ist nicht bekannt . Es wird keine vagen Worte geben (damit wir nicht der Verleumdung beschuldigt werden), aber es wird keine konkreten Empfehlungen geben. Wir geben keine fertigen Angriffsprogramme und sagen nicht, welche Tricks du hacken musst, aber glaub mir - alle notwendigen Hacker-Tools können in einer Nacht von Grund auf neu erstellt werden - eine heilige Zeit für Hacker!

Aber über alles in Ordnung. Wir werden nicht nach vorne rennen und die Laserdisk in das Laufwerk stecken, zumal letzteres noch benötigt wird.

Sie tauchen aus der Dunkelheit auf, nehmen das gesamte elektronische Geld ab und gehen ins Nirgendwo

Abbildung 1. Sie tauchen aus der Dunkelheit auf, nehmen das gesamte elektronische Geld ab und gehen nirgendwohin.

WAS IST MÖGLICH UND WAS NICHT (REVIVAL)

Das Experimentieren (für Bildungszwecke) ist nur mit Ihrer eigenen elektronischen Geldbörse oder mit Geldbörsen von Personen möglich, die eine schriftliche Erlaubnis gegeben haben. Nicht autorisierte Eingriffe in Systeme und Geldbörsen anderer Personen sind absolut inakzeptabel !

Sie fangen diejenigen, die aus der Dunkelheit kommen, und bringen sie in die Welt, aus der es keine Rückkehr gibt

Abbildung 2. Sie fangen diejenigen, die aus der Dunkelheit kommen, und werden in die Welt gebracht, aus der es keine Rückkehr gibt.

Beginn begann oder der klassische Missionar

Das WebMoney-System ist eine Art Analogon zu gewöhnlichen Bankschecks, was bedeutet, dass wir uns, um Zahlungen zu leisten, vorher auf dem zentralen Server des Betreibers registrieren müssen und ein Konto eröffnen müssen, was schon ein großer Nachteil ist, naja, okay.

Wir gehen auf www.webmoney.ru , laden Sie das Programm Keeper Classic, führen Sie es (nebenbei, lassen Sie es durch den Proxy-Server arbeiten, dieses Wunder der wissenschaftlichen und technischen Gedanken, dass ich nicht erfolgreich war, musste ich NAT heben und mapp 2802 port), füllen Sie die Registrierungsdaten (aus Laterne oder ehrlich), wir stellen uns ein beliebiges Passwort für unseren Geschmack zusammen, woraufhin das Programm fortfährt, einen geheimen Schlüssel zu generieren und uns bittet, die Maus zu ziehen und die Tasten zu drücken. Dies ist notwendig, um wirklich zufällige Daten zu erhalten, als ob der zeitgeberbasierte Pseudozufallsgenerator hier nicht geeignet wäre. Vor dem Hintergrund der allgemeinen Unsicherheit des Systems, mutig mit den Worten RSA, RC5, MD4, MD5, ist SSL nur albern. Die psychologische Berechnung der Entwickler ist mir jedoch verständlich. Wenn der geheime Schlüssel in einem Bruchteil einer Sekunde generiert wird - welcher Benutzer wird daran glauben?

Sie taucht nirgendwo auf, fängt niemanden, sondern sitzt und lötet

Abbildung 3. Es erscheint nirgendwo, fängt niemanden, sondern sitzt einfach und lötet.

Was auch immer es war, nach Abschluss der Registrierung erhalten wir eine eindeutige 12-stellige WMID (Web Money ID) ID, und ein Schlüsselpaar wird generiert. Der öffentliche Schlüssel wird an den zentralen Server des WebMoney-Betreibers übertragen, und der geheime Schlüssel wird in einer Datei mit der Erweiterung * .kwm (Key of Web Money) gespeichert, die sich auf der Festplatte, dem Wechselmedium oder der Smartcard befinden kann. Kurz gesagt, gewöhnliche asymmetrische Kryptographie wie PGP.

Eine andere Datei wird erstellt * .pwm, die Informationen über unsere Brieftaschen speichert (aktueller Kontostand, Transaktionsverlauf usw.). Im Prinzip ist es nicht notwendig, weil sich alle Informationen auf dem zentralen Server des Betreibers befinden. Keeper kann ohne eine * .pwm-Datei arbeiten und automatisch Daten aus dem Netzwerk hochladen, allerdings nur für die letzten drei Tage. Genau genommen ist die * .kwm-Datei optional und kann wiederhergestellt werden. Dazu müssen Sie das Passwort kennen, Zugang zu dem bei der Registrierung angegebenen Postfach haben, sowie eine notariell beglaubigte Erklärung, dass Sie kein Elch sind (mehr dazu können Sie hier lesen: http://www.owebmoney.ru/returnkey.shtml ). Theoretisch kann ein Hacker unser Geld nur auf der Basis eines Passworts hacken, aber in der Praxis ist dies zu mühsam und unsicher.

Geheime Informationen, die den Zugang zum Wallet regeln, sind nur ein Kwm-Schlüssel. WMID wird überall öffentlich veröffentlicht und das ist normal. Wenn Sie WMID kennen, können Sie die Registrierungsdaten des Benutzers herausfinden, die er als "offen" markiert hat, aber Sie können nicht die Nummer seiner Brieftasche (Geldbörsen) bestimmen.

Die Geldbörsennummer ist eine bedingt vertrauliche Information. Wenn wir die Geldbörsennummer kennen, können wir kein Geld dafür bekommen, aber wir können es abrechnen, indem wir das Feld "Beschreibung des Kaufs" so plausibel wie möglich ausfüllen. Der Weg natürlich, dumm, aber es gibt eine Chance, dass es passieren wird. Benutzer, die regelmäßig eine große Anzahl kleiner Konten bezahlen, werden allmählich daran gewöhnt, sie nicht zu beachten und die Spalte "von wem" nur zu prüfen, wenn Zweifel bestehen. Natürlich gibt es bei dieser Art des Hackens keinen Buzz, außerdem kann sich ein Eindringling sehr schlecht verbrennen und in die Gesellschaft eines Onkels gehen, der ihm den Arsch reißen wird, so dass er nie nennenswerte Popularität fand.

Wir setzen das Opfer einer linken, aber plausiblen Rechnung aus

Abbildung 4. Wir setzen das Opfer der linken, aber plausiblen Rechnung aus - plötzlich und bezahlen?

Aber das Stehlen von KWM-Dateien floriert. Standardmäßig sind die Schlüssel in keys.kwm gespeichert, aber im Prinzip kann der Dateiname beliebig sein, genau wie die Erweiterung. Die meisten Hacker und Trojaner suchen doof nach der * .kwm-Maske. Die Sicherheit in der Datei dontreadme.txt wird also um einiges erhöht. Fortgeschrittene Hacker können jedoch in die Registry gelangen, wo der Keeper seine Einstellungen speichert und den Pfad zur Datei sieht. Sie können auch nach dem Inhalt suchen und alle Dateien scannen (obwohl dies viel Zeit in Anspruch nimmt und verdächtige Festplattenaktivitäten verursacht). Gourmets werden wahrscheinlich den Aufruf der CreateFile-API abfangen, die anzeigt, welche Dateien Keeper öffnet. Und selbst wenn das Format der Registrierungseinstellungen in nachfolgenden Versionen geändert wird, wird die Option mit CreateFile weiter funktionieren (Hinweis: Wenn die Entwickler keine Idioten wären, würden sie mehrere Dateien mit den Schlüsseln erstellen - einen authentischen, den ganzen Rest - Watchdog-Sensoren, Angst).

Verstecke die kwm-Datei vor Hackern

Abbildung 5. Verstecke die kwm-Datei vor Hackern.

Standardmäßig beträgt die Größe der Schlüsseldatei 1,2 MB (in der genauen Reihenfolge auf einer Diskette), Sie können sie jedoch auf 100 MB erhöhen. Dies macht es schwierig, den Schlüssel mit der Übertragung über das Internet zu stehlen, und verursacht im Allgemeinen keine unüberwindbaren Unannehmlichkeiten. 100 MB sind die Hälfte einer Mini-CD-R, eine ist eine Zip-100M oder zwei CD-Rs im Visitenkartenformat. Natürlich wird die Geschwindigkeit des Systems etwas fallen (eine riesige Datei liest nicht sofort), aber die Sicherheit ist es wert. Oder ist es das nicht wert? Auf dem lokalen Netzwerk 100 MB ziehen ist kein Problem, nach DSL-Modem oder Kabel-Internet - auch. Und sogar eine Beschämung nach heutigen Standards, wird das Modem für 33600 diese Datei in ungefähr 70 Stunden geben. Nicht so sehr, wenn Sie sich daran erinnern, dass praktisch kein Benutzer die Schlüssel jeden Tag neu generieren wird. Die Datei in kleine Stücke zu schneiden, die im Hintergrund übertragen werden, in zwei oder drei Wochen zu ziehen, ist durchaus möglich, obwohl es die langweiligste und wenig verheißungsvollste Art ist.

Wenn ein Hacker das System eines anderen infiltriert hat (und Sie auf verschiedene Arten eindringen können), muss er die Datei nicht herunterladen, die Brieftasche öffnen, Geld auf sein Konto überweisen und die Festplatte knacken, damit das Opfer nicht ins Internet gehen und sich beschweren kann . Übrigens, auf Kosten von "beschweren". Es gibt nicht so viele Möglichkeiten und es gibt keine Möglichkeit zu helfen. Nun, außer dem vom Herrn Gott (wenn du wirklich Gott bist, gib mein Geld zurück, du sic fuck) ja zu den Brüdern. Wenn wir immer noch Zugang zu WMID haben (was ein dummer Hacker ist!), Können Sie die WMID bestimmen, an die das Geld überwiesen wurde, gehen Sie zur Arbitration Service Website ( http://arbitrage.webmoney.ru/ ), zahlen Sie die Schiedsgebühr (a Dazu ist es notwendig WebMoney zu haben, welches wir dem Angreifer sauber gemacht haben) und die Hacker Wallet zu blockieren. Nur wenn der Hacker kein Elch ist, wird Geld für ein paar Minuten auf E-Gold übertragen oder auf irgendeine andere Weise aus dem System genommen, so dass auf seiner Geldbörse sie nicht stehen bleiben und besonders blockiert werden und es nichts gibt. Übrigens werden Geldbörsen mit Erst- oder Personalausweis nur durch die Entscheidung der Schiedskommission blockiert, dh es genügt, das Zertifikat zu nehmen und ... Sagen Sie einfach nicht, dass die Besitzer der Zertifikate nicht stehlen, weil sie ihre Passdaten melden. Agashchazblin! Taki dein eigenes? Die Ausstellung der Zertifikate wird jetzt von allen, die nicht zu faul sind und hoffen, dass sie alle ehrlich, gewissenhaft und unbestechlich sind, einfach naiv, vor allem wenn es um Geld, sogar elektronisches Geld geht, besorgt. Eine Person, die entschlossen ist, $ 100.000 zu stehlen (und warum nicht), bekommt ohne Probleme nicht nur ein Feigen-Zertifikat, sondern auch einen falschen Pass als Gegenleistung. Nun, wer auf diesem Zertifikat sucht dann? Selbst wenn die MVD-Mitarbeiter Pässe im Internet schmieden, über die oft gesprochen wird (was kriminell ist), was ist dann mit "Zertifikaten", die überhaupt keinen rechtlichen Status haben?

Die Situation mit der Übertragung von gestohlenem Geld durch mehrere Geldbörsen wurde jedoch von den Entwicklern immer noch in Betracht gezogen, und sie versklavten sorgfältig die ... Eindringlinge! Beurteilen Sie selbst. Das Opfer muss nach der Einreichung des oben genannten Antrags den Verwalter des Schiedsgerichtsdienstes (WMID 937717494180, arbitrage@webmoney.ru) kontaktieren und ihn bitten, der gesamten Kette zu folgen. Der ganze "Charme" ist, dass der Administrator nur von Montag bis Freitag von 10 bis 18 Stunden in Moskau arbeitet. Wir sagen, sie sind kein Rettungsdienst und wir wollen auch schlafen. Sehr gutes Zahlungssystem, sage ich dir! Mit der Tatsache, dass die Abhebung von Geld aus dem System fast augenblicklich ist und der Account für Minuten läuft, will der Administrator, sehen Sie, Bainki. Ich verstehe nicht, ist es ein Studentenheim oder ein Bezahlsystem? Was hat sich bei millionsten Revolutionen (von denen Werbung nicht zu erwähnen ist) gelohnt, um mehrere Leute rund um die Uhr zu engagieren? In diesem Fall geht es schließlich um Geld! Natürlich ist es sicherer für Hacker, entweder um Mitternacht oder am Wochenende einen Diebstahl zu begehen. Aber es ist okay, lassen Sie leere Worte und lernen Sie Keeper näher kennen.

Keeper außen und innen

Hier bewundern einige, wie der Entwickler es geschafft hat, so viel in das Volumen von Keeper zu drücken (" Ich weiß nicht wie es euch geht, aber ich bewundere aufrichtig diejenigen, die in 2 Megabytes der Keeper Classic Distribution so eine" leckere "Füllung hineinbekamen und sie sogar schön packten das ist von außen der Fall ", http://www.owebmoney.ru/clashistory.shtml ). Und was haben sie tatsächlich darin enthalten? Natürlich, in diesem Zeitalter, als "Hallo, Welt!" wird kaum mit der Laser Disk interferieren, Programme, die "nur" ein paar Megabyte beanspruchen, machen schon Respekt ...

Das Hauptvolume (~ 2.2 MB) ist von WMClient.dll belegt, was eigentlich Keeper selbst ist. Dies ist ein DCOM-Objekt, das in Microsoft Visual .NET mit der Kompilierung in Maschinencode geschrieben wurde, entpackt und nichts, ich wiederhole es, stört seine Analyse nicht. Es gibt keine Verschlüsselung, keinen P-Code, keine Anti-Debugging-Techniken, keine Gegenmaßnahmen für den Disassembler, Dumper, API-Spionage. Nichts! Take-and-Analyse! In jedem Fall verhält sich die Version 2.4.0.3 (die neueste zum Zeitpunkt des Schreibens) genau so. Wenn die Entwickler zumindest ein bisschen schlauer sind, würden sie entweder Microsoft Visual C ++ 6 (die berühmten "sechs"), plus einen hochwertigen Beschützer (zum Beispiel ExeCryptor) verwenden oder die .NET-Anwendung in p-Code kompilieren, was sehr viel schwieriger zu zerlegen ist.

WebMoney.exe (~ 180 Kbytes) ist nur ein "Puskalka" und es gibt nichts Interessantes darin, trotzdem lohnt es sich, es zu zerlegen. Spätestens, um über die Entwickler zu lachen und ihre Qualifikationen zu bewerten.

Keeper Classic im Disassembler

Abbildung 6. Keeper Classic im Disassembler.

Nehmen wir an, dass ein Computer mit installiertem Keeper mit einem Hackercode ausgestattet ist, der mit Benutzerrechten ausgeführt wird (wir stimmen zu, dass wir keine Administratorrechte erhalten haben und obwohl wir unsere Rechte vom Benutzer auf das System in W2K / XP generell erhöhen) kein Problem, geschweige denn 9x, wo es keine Aufteilung der Privilegien gab, werden wir unter spartanischen Bedingungen handeln, in der Nähe der Kampfeinheiten. Was können wir tun? Wir haben zwei Möglichkeiten. Pre-disassemble Keeper'a, stelle das Protokoll des Austauschs mit dem Server wieder her, warte auf das Einlegen des Mediums, das ist der geheime Schlüssel und ... dann fantasiere dich. Persönlich stochere ich in der Faulheit des Bewahrers herum. Die Demontage ist eine mühsame Angelegenheit und die Wiederherstellung des Austauschprotokolls kann mehr als eine Woche dauern. Der Einsatz von Sniffern verkürzt diese Zeit signifikant, ist aber immer noch "kaputt". Es ist viel einfacher und effektiver, mit Hilfe des Bewahrers selbst Geld zu stehlen. Wir installieren einen Spion, der Tastatureingaben abfängt, auf WMID-Eingabe wartet oder sie auf andere Weise definiert, weil WMID kein Geheimnis ist (die erste Methode wird hauptsächlich von Viren verwendet, die zweite ist für gezielte Angriffe geeignet), dann ein "perfekter" Moment ( nach 18 Stunden oder am freien Tag) deaktivieren wir die Ausgabe auf dem Bildschirm, starten WebMoney.exe und emulieren die Tastatur-Maus-Eingabe, alles was wir wollten. Zum Beispiel füllen wir den Geldbeutel des Opfers auf. Und warum nicht? Wir brechen unsere eigene Brieftasche, oder? Das war's und fülle es auf! Wir sind keine Gangster, sondern ehrliche Hacker!

Die Technik der Input-Emulation ist ausführlich in "Notes of myshh'a" beschrieben, deren elektronische Version kostenlos von meinem myshh'inogo ftp-server ftp://nezumi.org.ru/ (um daran zu erinnern, dass sie nicht ständig verfügbar ist) kostenlos gekaut werden kann Das gleiche im 67 Hacker Room wurde ein Artikel "Breaking WebMoney" veröffentlicht, in dem all dies beschrieben wird. Also werden wir keine Demagogie züchten und Gummi hundertmal kauen. Wir bemerken nur den allgemeinen Mechanismus. Zuerst finden wir das Keeper-Fenster, indem wir FindWindow oder EnumWindows aufrufen und dessen Handle definieren. Benennen Sie anschließend EnumWindows mit den untergeordneten Steuerelementen (Schaltflächen, Linien bearbeiten usw.). Indem wir verschiedene Nachrichten an Steuerelemente senden (dies kann mit der SendMessage-Funktion geschehen), übernehmen wir sie leicht unter Kontrolle. Die Deaktivierung der Ausgabe auf dem Bildschirm erfolgt entweder durch das Abfangen von GDI-Diensten (auf komplizierte Weise implementiert, aber hurrah) oder durch ein ablenkendes Fenster auf dem Keeper, beispielsweise ein Browserfenster mit einem pornografischen Bild. Ja, viele Dinge können hier erfunden werden!

Das Problem ist, dass ab einer gewissen Zeit die dumpfe Emulation nicht mehr funktioniert. Keeper erwarb so genannte "fliegende Figuren". Wie die, die verwendet werden, um die automatische Registrierung auf vielen Websites zu verhindern. Bevor Sie eine Zahlung vornehmen, müssen Sie drei Grafiknummern eingeben, die zufällig auf dem Bildschirm erscheinen. Die Idee ist natürlich interessant, aber hier ist es offensichtlich fehl am Platz geliehen. Schwere Kindheit, schlechte Angewohnheiten, tiefer Kater. Und dein Kopf ist bo-bo. Allerdings ist der Kopf hier nicht und. Trotzdem hat sie niemanden zum Nachdenken. Entwickler haben offensichtlich keine Sicherheitstechniken gelernt. Flüchtiges Wissen im Stil von "hier vollgestopft, und dann hat das Mädchen getanzt, und dann habe ich einen Ziegelstein" und eine Rute von allen Seiten bewegt.

Schutz des Bewahrers

Abbildung 7. Schutzwächter sind "fliegende Figuren".

Warum agieren "fliegende Zahlen" auf Webservern (wo sie zuerst erschienen sind)? Denn zum einen ist der Sicherheitscode für den Hacker unerreichbar, zum anderen, weil der Schutz ausschließlich auf Roboter, nicht aber auf Menschen abzielt. Um mail.ru vor Spammern und Vandalen zu schützen, ist diese Maßnahme mehr als genug, aber nicht für Keeper! Erstens, in aktuellen Versionen von Keeper, werden fliegende Zahlen leicht durch einfache OCR erkannt, die leicht in hundert Kilobyte passen (mit vorgefertigten Bibliotheken), und zweitens, Hacker-Code kostet nichts, um ein Stück Bildschirm zu greifen und an einen Monitor auf dem Monitor-Hacker zu senden er erkannte sie selbst, drittens, dieser Schutz ist Bit-Hack, d. Bearbeiten des Keeper-Maschinen-Codes, Vierte, fliegende Zahlen können durch die Registrierung geschnitten werden (wenn Sie versuchen, sie mit Keepers eigenen Tools zu trennen, wird es um die Bestätigung der Legitimität dieser Operation bitten), fünfte, auch wenn der Schutz vorgespannt ist, in Reserve Hacker bleiben die Entschlüsselung des Protokolls des Austausches und die Schaffung ihrer eigenen Kunden ohne Zahlen dort, in der sechsten ... Kurz gesagt, die Methoden des Hackens sind sehr, sehr viel und es gibt keinen Nutzen von diesem Schutz, ganz zu schweigen davon, dass viele Benutzer immer noch sitzen Alte Versionen ohne fliegende Figuren oder schalte sie als unnötig aus.

Und hier ist ein weiterer weithin beworbener Chip - Bestätigung der Autorisierung per E-Mail. Bei einem unerfahrenen Blick sieht alles sehr blank aus - bevor wir etwas mit unserem Konto machen können, ist es notwendig, den Code einzugeben, der per E-Mail kommt. Wenn der Hacker die * .kwm-Datei zurückweist, wird es mit der Nase bleiben, und wir - mit dem Geld. Immerhin bekommt er keinen Zugang zu unserem Briefkasten. Logik ist Eisen, aber falsch. Postfächer sind nicht so schwer zu knacken (bestimmte Hacking-Methoden sind in einer Vielzahl von Büchern und Artikeln aufgeführt, daher werde ich es nicht wiederholen), außerdem würde ein Hacker eine * .kwm-Datei ziehen und das Passwort per E-Mail stehlen. Die Ausnahme ist vielleicht nur der Diebstahl von Chipkarten und Wechseldatenträgern mit Schlüsseln, aber ... ein solcher Diebstahl wird in der Regel entweder von engen Leuten, die fucking und e-mail können, oder von Räubern, die physischen Zugang zu Wechselmedien haben, ausgeführt. in der Regel in unmittelbarer Nähe des Computers. Nun auch, was es ihnen notwendig ist, still und das Passwort auf einer Kiste zu stehlen?

Okay, aber was ist mit dem Blockieren aller IP-Adressen außer Ihrer eigenen? Beginnen wir mit der Tatsache, dass in lokalen Netzwerken die Beschlagnahmung der Adresse eines anderen kein unüberwindliches Problem ist. Derselbe, der auf der Einwahl sitzt, erhält normalerweise dynamische IP-Adressen, die aus dem gemeinsamen Pool zugewiesen werden. Verschreiben Sie sie - Sie werden festgefahren, und jeder Kunde desselben Anbieters wird ohne Probleme autorisiert. Aber das macht nichts. Kein Hacker, um die Brieftasche eines anderen zu behalten, ist nicht nötig. Er wird einfach Geld mit den Händen des Bewahrers abheben, das auf dem Computer des Opfers gestartet wird, der wahrscheinlich die richtige IP hat und kein "Blockieren", es hört nicht auf!

Die von den Entwicklern vorgeschlagenen Schutzmaßnahmen können sehr lange aufgelistet werden. Fast alle von ihnen sind auf Diebstahl * .kwm Datei mit der anschließenden Übertragung von ihm über das Netzwerk konzentriert. Aus irgendeinem Grund glauben Entwickler, dass dies der einzige Weg ist zu hacken, obwohl dies weit entfernt davon der Fall ist. Sie raten auch, die Firewall "richtig" zu konfigurieren, um Informationslecks zu verhindern und das System regelmäßig zu patchen, so dass weder Hacker noch Würmer infiltrieren. Nun, auf Kosten von Firewalls waren sie eindeutig aufgeregt. Es genügt, auf die beliebte Seite http://www.firewallleaktester.com/ zu gehen, um sicherzustellen, dass es Angriffe gibt, die alle persönlichen Firewalls durchdringen. Ich habe darüber auch in "Anmerkungen des Forschers von Computerviren" geschrieben, Fragmente davon können von ftp://nezumi.org.ru/ heruntergeladen werden , es gibt auch einen bereiten Democode .

Sehen wir uns nun die Updates an. Viele Websites, die Zahlung über WebMoney akzeptieren, funktionieren nur mit IE, da sie ActiveX verwenden. Und obwohl Plug-Ins für alternative Browser wie Opera und Fox veröffentlicht werden, funktionieren sie irgendwie und in Wirklichkeit müssen Sie den IE verwenden, dessen Anzahl Löcher dem Guinness Buch der Rekorde entspricht. Das heißt, die Schöpfer von WebMoney selbst podsazhivayut uns auf einem holey Browser und immer noch sorgfältig empfehlen - vergessen Sie nicht, rechtzeitig zu aktualisieren, sagen sie. Vielleicht sollte ich auch den Sex wechseln? Das Problem liegt also nicht bei den Benutzern. Das Problem in den Gehirnen des Entwicklers (oder vielmehr in ihrer völligen Abwesenheit). Das Problem ist das Konzept des gesamten Systems. Das Problem ist die grundsätzliche Verwundbarkeit des Geldtransferprotokolls und der Verwundbarkeit des Bewahrers. Ach, wie viele Jahre gibt es schon Algorithmen, um "einmalige" Schlüssel zu generieren, in denen es einfach nichts zu stehlen und nichts zu stehlen gibt. Aber warum kenne ich sie - ziemlich weit entfernt von Kryptographie und Finanzbetrug - aber kennen die Entwickler des Bezahlsystems nicht? Ponaprimanali ist es nicht klar, wer ...

Keeper Licht oder der Kampf gegen Zertifikate

Die Unsicherheit des klassischen Bewahrers ist eine verbreitete Tatsache, aber Light wird immer noch als ziemlich sicher betrachtet: " In Keeper Classic können Sie die Datei mit den Schlüsseln in Teilen ziehen, E-Mails können gehackt werden usw. Die auf dem Wechseldatenträger gespeicherten Schlüssel können auf die Festplatte geschrieben werden der Moment, wenn eine Diskette oder CD eingelegt wird, ist es theoretisch möglich, an das Geld zu kommen, obwohl es mit allen Vorkehrungen extrem schwierig ist. Aber Light mit einem nicht exportierten Zertifikat gibt eine 100% ige Sicherheitsgarantie "( http://owebmoney.ru/ cafe / index.php? showtopic = 108 ).

Es klingt verlockend, aber wie funktioniert das in der Praxis? Versuchen wir zu verstehen. Fangen wir mit der Frage an - wie funktioniert Keeper Light? Sehr einfach. Der geheime Schlüssel wird jetzt nicht in der * .kwm-Datei, sondern in einem speziellen Zertifikat gespeichert, und das gesamte Management durchläuft eine Webschnittstelle mit speziellen kryptografischen Protokollen.

Wo speichert der Browser Zertifikate? Hängt vom Browser selbst ab. Zum Beispiel, Mozilla - im Verzeichnis "./mozilla/defaul/<blahblahblah>/cert8.db", aber IE, läuft unter Windows XP Professional, verwendet ziemlich ein gehäuftes System. Zertifikate mit öffentlichen Schlüsseln werden in einem persönlichen Speicher gespeichert, der sich im Verzeichnis Dokumente-n-Einstellungen \ <Benutzername> \ Application-Data \ Microsoft \ SystemCertificates \ My \ Certificates befindet und für alle kostenlos ist (das sind öffentliche Informationen!) . Benutzerzertifikate befinden sich in seinem Profil. Private Schlüssel werden im Verzeichnis Dokumente-n-Einstellungen \ <Benutzername> \ Anwendungsdaten \ Microsoft \ Crypto \ RSA gespeichert. Alle hier befindlichen Dateien werden automatisch mit einem zufälligen symmetrischen Schlüssel verschlüsselt - dem Hauptschlüssel des Benutzers, der 64 Zeichen lang ist. Der Hauptschlüssel wird mithilfe des Triple DES-Algorithmus basierend auf dem Benutzerkennwort generiert, mit dem er angemeldet ist.

Was bedeutet dieser theoretische Leibwächter praktisch? Und die Tatsache, dass Sie kein Zertifikat mit einem privaten Schlüssel unter Windows XP stehlen können! Das heißt, es wird möglich sein, etwas zu stehlen, aber es wird nichts nützen, da es einfach nicht auf dem Computer eines anderen funktioniert! (Darauf hat er und das geschlossene Zertifikat!). Es kann zwar exportiert werden, ohne besondere Privilegien zu haben. Verteilen Sie das Certification Manager-Programm, wenn Sie nicht wissen, wie. Um Zertifikate von Computer zu Computer zu übertragen, verwendet Keeper Light das exportierte Zertifikat, das in Dateien mit der Erweiterung .pfx gespeichert wird. Sie können sowohl auf externen Medien als auch auf Festplatten gefunden werden. Hier gibt es nur ein "aber". Das exportierte Zertifikat wird mit einem vom Benutzer zugewiesenen Passwort geschlossen, und um es in Ihr System zu importieren, müssen Sie entweder einen Keylogger werfen oder versuchen, das Passwort mit roher Gewalt zu öffnen. Aber die erste ist zu auffällig, die zweite ist lang, so dass der Diebstahl von Zertifikaten nicht weit verbreitet ist.

Fordern Sie beim Importieren eines Zertifikats ein Passwort an

Abbildung 8. Anfordern eines Kennworts beim Importieren des Zertifikats

Bedeutet das, dass Bewahrerlicht geschützt ist? Nein und noch einmal nein! Wenn Keeper Classic zumindest theoretisch geschützt werden kann (Installieren eines Treibers, der direkte Tastatureingaben bereitstellt, Emulatoren schneidet und die Integrität von Keeper und sich selbst überwacht), funktioniert Keeper Light über einen Browser, dessen "Integrität" prinzipiell nicht kontrolliert werden kann!

Das erste, was mir in den Sinn kommt, ist die bereits erwähnte Emulation. Wir sagen "start https://light.webmoney.ru", verstecken das Browser-Fenster auf die eine oder andere Art und Weise (einfach den Griff bekommen und oben drauf zeichnen, was schrecklich ist) und die Tastenfolge emulieren, um die elektronische Geldbörse aufzufüllen. Wirkt ironisch und unweigerlich. Der einzige Nachteil - jeder Typ (und möglicherweise die Version) des Browsers erfordert seinen Ansatz, aber Sie können sich nur auf IE 5/6 als am beliebtesten konzentrieren.

Der Rest der Browser ist noch einfacher. Wir nehmen die Quelle des Fox und erstellen einen darauf basierenden Hacker-Mini-Browser, der nichts auf dem Bildschirm anzeigt, aber nur mit Geldbörsen funktioniert. Unter Fans von WebMoney sind Fox-Fans zwar nicht so viele, aber immer noch besser als gar nichts. Übrigens, lasst die Anhänger von IE sich nicht sicher fühlen. Der Quellcode für W2K wurde vor langer Zeit gestohlen und es ist durchaus möglich, Ihren IE-Klon auf seiner Basis zu erstellen, ganz zu schweigen davon, dass der IE nur eine Sammlung von DCOM-Objekten ist und sogar ein Anfänger auf seiner Basis einen Browser erstellen kann.

Bewahrer Licht

Abbildung 9. Keeper Light ist einfach eine WEB-Schnittstelle, mit der Sie mit Ihrem Geldbeutel in jedem Browser arbeiten können.

Und was, wenn Sie das Zertifikat vor jedem Öffnen der Brieftasche importieren und es dann aus dem Repository löschen? In der Tat wird dies die Sicherheit in einem gewissen Ausmaß erhöhen, jedoch kann das Hackerprogramm entweder auf das Erscheinen des "WebMoney Keeper :: Light Edition" -Fensters warten, das anzeigt, dass der Benutzer sich eingeloggt hat, oder die Schlüssel spionieren und ein geheimes Passwort zusammen mit dem Zertifikat über das Netzwerk weitergeben. Also, elektronisches Geld ist immer noch in einer heiklen Situation!

Autorisierung per Handy - zuverlässig?

Das neueste Mode-Quieken war das Autorisierungssystem mit Hilfe eines Mobiltelefons. Bei der Registrierung beim ENUM-Dienst ( http://enum.ru/ ) wird auf dem Mobiltelefon eine spezielle Java-Anwendung (auch MIDlet genannt) installiert, die sich selbst als Enum Client bezeichnet. Es verwendet fünfstellige Zahlen (z. B. 09652) und generiert eine Antwort basierend auf diesen, und der Generierungsalgorithmus ist für jeden Benutzer eindeutig. Wenn es kein Handy gibt - Pocket PC oder ein anderes Gerät mit Java-Unterstützung (zum Beispiel ein Desktop-PC, wird nur Sinn machen).

Funktionsablauf beim Aktivieren einer Zahlung über ein Handy oder PDA

Abbildung 10. Ablauf, wenn die Zahlung über ein Mobiltelefon oder einen PDA aktiviert wird.

Der ENUM-Service ermöglicht es Ihnen, Einkäufe über den Merchant-Service ( https://merchant.webmoney.ru/ ) zu tätigen, ohne auf den Keeper zurückzugreifen - weder auf das klassische noch auf das geklonte Konto. Es wird angenommen, dass es in diesem Fall nicht möglich ist, eine elektronische Brieftasche zu knacken und Geld zu stehlen: " Betrüger und Virenschreiber nutzen das Internet, um wertvolle Informationen von unseren Computern zu stehlen, aber welchen Schutz wir auch immer entwickelt haben - Firewalls, Antiviren, Anti-Clogs, Anti-Viren die theoretische Wahrscheinlichkeit der Umgehung und des Diebstahls von Passwörtern (oder z. B. Kepper-Keys) vom Computer, weil sowohl Hacker als auch Defensiv-Tools ONE SAME-Kanal - das Internet - nutzen. Und das Problem mit dem Internet ist, dass es keine Alternative gibt Das ENUM löst dieses Problem, es stellt uns diesen anderen Kanal zur Verfügung. Der Hacker kann auf Ihren Computer zugreifen, den Trojaner-Virus "anschließen", aber er wird nicht in Ihr Handy passen. Welcher einzigartige Algorithmus für jeden Benutzer Enum Client von einer Nummer bekommt, kann auch ein anderer sein "( http://owebmoney.ru/enum.shtml ).

Das ENUM-Systemlogo

Abbildung 11. ENUM-Systemlogo.

Händlerservice

Abbildung 12. Händlerdienst

Ist das wahr? Wie das Sprichwort sagt: "Wenn du es nicht kannst, aber wirklich willst, kannst du es immer noch tun." Ein zusätzlicher "Kommunikationskanal" erhöht zwar die Sicherheit um ein Vielfaches, aber es ist verfrüht, über die prinzipielle Unmöglichkeit von Hacking zu sprechen. Zu Beginn ist der Algorithmus zum Generieren von Zahlen für alle Benutzer immer noch gleich (zerlegen Sie das MIDlet, wenn Sie es nicht glauben), nur der Generierungsschlüssel ist anders und es ist möglich ihn auszuwählen. Es genügt, eine einzelne Antwort für diese Zahlenkombination abzufangen. Das Wiederherstellen des Schlüssels dauert nicht lange und das Trojaner-Programm ist durchaus in der Lage. Ich hoffe, du musst nicht erklären, wie man eine Zahlenkombination aus dem Bearbeitungsfeld liest.

Darüber hinaus enthalten Mobiltelefone eine Reihe von Löchern. IR-Protokolle und Blue Tooth schwärmen buchstäblich mit ihnen. Das Magazin "The Hacker" hat wiederholt darüber geschrieben. Wenn das Opfer ein Handy oder PDA hat, dann hat sie vielleicht einen Blue Tooth oder IR Adapter, der es ständig anschaltet. Ein Angreifer kann beliebige AT-Befehle an das Telefon senden, Midlets ausführen oder deren Inhalt lesen. Und was?! Sie können einen Virus stechen und schreiben, der elektronische Geldbörsen stiehlt und sie durch ein Handy sendet! Alle Firewalls umgehen! Hier ist ein zusätzlicher Kanal für Sie!

Aber all dies ist ein Nitpick des alten myshkhastny Hackers. Die Stimmung ist einfach schlecht. Es regnet und nur Sirenia rettet vor Depressionen (eine sehr mächtige Gothic-Band aus dem fernen Norwegen - ich empfehle). Wenn du nüchtern die Wahrheit in deinen Augen siehst (in solchen roten myshh'inye Augen - kleine, wie Perlen), musst du zugeben, dass das Hacken von ENUM sehr schwierig ist, so dass es eine Bedeutung darin gibt. Aber das bedeutet nicht, dass Sie eine elektronische Geldbörse starten und sicher $ 100.000 darauf legen können. Dann definitiv hacken!

Zahlung aktivierenZahlung aktivierenZahlung aktivieren

Abbildung 13. Aktivierung der Zahlung per Mobiltelefon über das ENUM-System.

Wie man Tauscher bricht

Das Hacken der Tauscher ist nicht in unseren Plänen enthalten (nicht jeder besitzt einen eigenen Tauscher, und es ist illegal, andere zu zerstören), also lassen Sie uns nur die Hauptpunkte notieren. Aus Sicht des Hackers stellt der Exchanger eine Seite dar, die normalerweise von PHP verwaltet wird und unter Linux / BSD / NT läuft.

Hier durch Fehler in PHP-Skripten sind sie oft kaputt. Einige Web-Programmierer verlassen auch die Hintertür, falls sie plötzlich essen wollen, und es wird nichts zu essen geben. Selten die Achse brechen. Die größte Anzahl von Löchern ist natürlich NT und alle seine Derivate (einschließlich der gelobten Windows 2003 Server). Linux und BSD sind ein bisschen schwieriger zu brechen, aber ... wenn Sie einen Sicherheitsscanner (zum Beispiel X-Spider) nehmen, können Sie feststellen, dass viele von ihnen ungeschickt SendMail oder verrostet Apache sind. Pufferüberlauf, Senden von Shell-Code und Server in unseren Händen!

Hacker-Arbeitsplatz

Abbildung 14. Der Arbeitsplatz des Hackers.

Fazit

WebMoney zu hacken ist kein Mythos, sondern eine harte Realität und Sie können nicht 100% sicher sein, selbst wenn Sie ein Sicherheitsexperte sind. Es besteht immer das Risiko, einen Virus durch ein unbekanntes Loch im Betriebssystem oder Browser zu erfassen, und wenn aus dem Verlust von Betriebsdaten auf der Festplatte die Reservierung rettet, von der Offenlegung vertraulicher Daten - physische Trennung des Intranets vom Netzwerk, dann spart Diebstahl von elektronischem Geld nichts!

Sireina

Abbildung 15. Sireina - Gothic Hacker Musik, die sausbas myshh'a.