This page has been robot translated, sorry for typos if any. Original content here.

Hacken und Schutz von WebMoney

Im Gegensatz zu allen Zusicherungen von Entwicklern ist das WebMoney-System katastrophal unzuverlässig und wird buchstäblich mit einem Fingernagel geöffnet. Es gibt viele Würmer, Trojaner und Hacker-Gruppen, die sich auf den Diebstahl von elektronischen Brieftaschen spezialisieren, deren Diebstahl eine massive Natur hat. Wollen Sie wissen, wie dies geschehen ist und wie Sie sich schützen können?

Einleitung

Lassen Sie uns mit etwas beginnen, das nicht sein kann. Es sind keine "WebMoney Generatoren" vorhanden und können grundsätzlich nicht existieren. Das ganze Bargeld wird auf dem zentralen Server des Betreibers gespeichert, und elektronische Brieftaschen sind nur ein Zugang zu ihm. Grob gesprochen, aus der Tatsache, dass Sie eine Kombination von Ziffern für die Code-Sperre zu generieren, werden Geld und Schmuck nicht im Safe erscheinen. Und obwohl es eine Gelegenheit gibt, eine Chiffre zu wählen, um jemand anderes sicher zu sein, die Wahrscheinlichkeit, es ohne die Hilfe des Eigentümers zu öffnen (wir erinnern uns an den Lötkolben, aber wir schweigen) ist so klein, dass es nicht einmal wert ist zu reden!

Aber stehle jemandes Kombination ist echt! Dies ist, was "WebMoney Generatoren" tun. Sie machen entweder ein Duplikat aus der elektronischen Brieftasche und überweisen sie an den Angreifer, oder sie heimlich Keeper anrufen und auf ihr Konto übertragen. Ähnlich gibt es Viren und Trojaner. Auch markierte und gezielte Angriffe auf ein bestimmtes Opfer. Kann ich mich vor ihnen schützen? Das von Nicht-Spezialisten entwickelte WebMoney-System wurde ursprünglich ohne Rücksicht auf die Sicherheit entworfen, und obwohl vor kurzem ein ganzer Komplex von "Feuerwehr" -Maßnahmen prilapannyh Nachsicht ist, bleibt die Situation kritisch. Benutzer sind in Sicherheitssystemen verwechselt, der Support-Service gibt ziemlich vage und vage Empfehlungen (Update Windows, konfigurieren die Firewall, etc.), und mittlerweile der Diebstahl von elektronischen Brieftaschen geht weiter.

Wir stellen uns nicht die Aufgabe, jemandem zu unterrichten, wie man stehlen kann, wir wollen nur zeigen und beweisen (!) Daß das WebMoney-System wirklich sehr unzuverlässig ist und nicht einmal von einem Esel projiziert wird (es ist doch an das Rückenmark angelegt), und im Allgemeinen ist es nicht bekannt . Es gibt keine vagen Worte (so dass wir nicht der Verleumdung vorgeworfen werden), aber es gibt keine konkreten Empfehlungen. Wir geben nicht fertig angreifende Programme und sag nicht, welche Köder du brauchst, um zu hacken, aber glauben Sie mir - alle notwendigen Hacking-Tools können von vorne an einer Nacht erstellt werden - eine heilige Zeit für Hacker!

Aber über alles in Ordnung. Wir werden nicht vorankommen und die Laserscheibe in den Antrieb stecken, zumal die letzteren noch benötigt werden.

Sie tauchen aus der Dunkelheit auf, nehmen alle elektronischen Geld ab und gehen nirgendwo hin

Abbildung 1. Sie erscheinen aus der Dunkelheit, nehmen alle elektronischen Geld ab und gehen nirgendwo hin.

WAS IST MÖGLICH UND WAS KANN NICHT (EINNAHMEN)

Das Experimentieren (für pädagogische Zwecke) ist nur mit einem eigenen elektronischen Geldbeutel oder mit den Geldbörsen von Personen möglich, die eine schriftliche Erlaubnis erteilt haben. Unbefugte Eingriffe in andere Systeme und Brieftaschen sind absolut inakzeptabel !

Sie fangen diejenigen, die aus der Dunkelheit kommen und in die Welt gebracht werden, von der es keine Rückkehr gibt

Abbildung 2. Sie fangen diejenigen, die aus der Dunkelheit erscheinen, und sind weggenommen in diese Welt, wo es keine Rückkehr gibt.

Beginn begann oder der klassische Missionar

Das WebMoney-System ist eine Art analoger Bankscheck, was bedeutet, dass man Zahlungen leisten muss, wir müssen uns erstmals auf dem zentralen Server des Betreibers registrieren und ein Konto eröffnen, was schon ein großer Nachteil ist, gut, okay.

Wir gehen auf www.webmoney.ru , laden Sie das Keeper Classic Programm herunter, führen Sie es aus (übrigens machen Sie es durch den Proxy Server, dieses Wunder von Wissenschaft und Technik dachte, dass es mir nicht gelungen ist, ich musste NAT und mapp 2802 Port heben), füllen Sie die Registrierungsdaten aus (aus Laterne oder ehrlich), wir kommen mit jedem Passwort für unseren Geschmack, nach dem das Programm fortfährt, einen geheimen Schlüssel zu generieren und bittet uns, die Maus zu ziehen und die Tasten zu drücken. Dies ist notwendig, um wirklich zufällige Daten zu erhalten, als ob der Timer-basierte Pseudozufallsgenerator hier nicht geeignet ist. Vor dem Hintergrund der allgemeinen Unsicherheit des Systems, mutig mit den Worten RSA, RC5, MD4, MD5, SSL ist nur dumm. Allerdings ist die psychologische Berechnung der Entwickler für mich verständlich. Wenn der geheime Schlüssel in einem Bruchteil einer Sekunde erzeugt wird - welcher Benutzer wird daran glauben?

Sie kommt nirgendwo hin, fängt niemanden, sondern sitzt und löst nur

Abbildung 3. Es kommt nirgendwo hin, fängt niemanden, sondern sitzt einfach und lötet.

Was auch immer es war, nach Abschluss der Registrierung erhalten wir eine eindeutige 12-stellige WMID (Web Money ID) ID und ein Schlüsselpaar wird generiert. Der öffentliche Schlüssel wird auf den zentralen Server des WebMoney-Betreibers übertragen und der geheime Schlüssel wird in einer Datei mit der Erweiterung * .kwm (Key of Web Money) gespeichert, die sich auf der Festplatte, dem Wechselmedium oder der Smartcard befinden kann. Kurz gesagt, gewöhnliche asymmetrische Kryptographie wie PGP.

Eine andere Datei wird erstellt * .pwm, die Informationen über unsere Brieftaschen (aktuelle Balance, Transaktionsverlauf, etc.) speichert. Grundsätzlich ist es nicht notwendig, da sich alle Informationen auf dem zentralen Server des Betreibers befinden. Keeper kann ohne eine * .pwm-Datei arbeiten, automatisch das Hochladen von Daten aus dem Netzwerk, allerdings nur für die letzten drei Tage. In der Tat ist * .kwm Datei auch optional und kann wiederhergestellt werden. Um dies zu tun, müssen Sie das Passwort kennen, haben Zugriff auf die Postfach bei der Registrierung angegeben, sowie eine notariell beglaubigte Erklärung, dass Sie nicht Elch (mehr darüber können Sie hier lesen: http://www.owebmoney.ru/returnkey.shtml ). Theoretisch kann ein Hacker unser Geld nur auf der Grundlage eines Passworts hacken, aber in der Praxis ist das zu lästig und unsicher.

Geheime Informationen, die den Zugang zur Brieftasche regeln, ist nur ein kwm-Schlüssel. WMID wird überall offen veröffentlicht und das ist normal. Wenn du WMID kenne, kannst du die Login-Informationen des Nutzers herausfinden, die er mit "offen" markiert hat, aber du kannst die Nummer seiner Brieftasche nicht bestätigen.

Die Geldbörse ist eine bedingt vertrauliche Information. Wenn wir die Geldbörse kennen, können wir kein Geld davon abheben, aber wir können eine Rechnung ausstellen, indem wir das Feld "Beschreibung des Kaufs" so plausibel wie möglich ausfüllen. Der Weg natürlich, dumm, aber es gibt eine Chance, dass es passieren wird. Benutzer, die regelmäßig eine große Anzahl von kleinen Konten zahlen, werden allmählich daran gewöhnt, nicht auf sie zu achten und die Spalte "von wem" nur zu überprüfen, wenn es Zweifel gibt. Natürlich gibt es kein Buzz auf diese Weise des Hackens, außerdem kann ein Eindringling sehr schlecht brennen und zur Firma eines Onkels gehen, der seinen Arsch reißen wird, so dass er keine nennenswerte Popularität gefunden hat.

Wir setzen das Opfer einer linken, aber plausiblen Darstellung aus

Abbildung 4. Wir setzen das Opfer nach links, aber glaubwürdiges Konto - plötzlich und bezahlen?

Aber das Stehlen von kwm-Dateien gedeiht. Standardmäßig werden die Tasten in keys.kwm gespeichert, aber im Prinzip kann der Dateiname alles sein, wie in der Tat die Erweiterung. Die meisten Hacker und Trojaner machen eine dumme Suche nach der * .kwm-Maske, so dass die Umbenennung der Schlüsseldatei in dontreadme.txt etwas unsere Sicherheit erhöht, aber fortgeschrittene Hacker können in die Registry, wo Keeper hält seine Einstellungen und guckt den Pfad zu der Datei. Sie können auch nach seinem Inhalt suchen, alle Dateien scannen (obwohl es viel Zeit in Anspruch nimmt und verdächtige Datenträgeraktivität verursacht). Gourmets werden wahrscheinlich den Anruf an die CreateFile API abfangen, die zeigt, welche Dateien Keeper öffnet. Und selbst wenn das Format der Registry-Einstellungen in nachfolgenden Versionen geändert wird, wird die Option mit CreateFile weiter funktionieren (Hinweis: Wenn die Entwickler keine Idioten waren, würden sie mehrere Dateien mit den Schlüsseln erstellen - eine authentische, alle anderen - Watchdog-Sensoren, Angst).

Verstecke die kwm-Datei von Hackern

Abbildung 5. Verbergen Sie die kwm-Datei von Hackern.

Standardmäßig ist die Größe der Schlüsseldatei 1,2 MB (in der exakten Reihenfolge auf einer Diskette), aber Sie können sie auf 100 MB erhöhen, falls gewünscht. Das macht es schwierig, den Schlüssel mit der Übertragung über das Internet zu stehlen und generell keine unüberwindlichen Unannehmlichkeiten zu schaffen. 100 MB ist eine halbe Mini-CD-R, eine Zip-100M oder zwei CD-Rs im Format einer Visitenkarte. Natürlich wird die Leistung des Systems bis zu einem gewissen Grad fallen (eine riesige Datei nicht sofort lesen), aber die Sicherheit ist es wert. Oder lohnt es sich nicht Auf dem lokalen Netzwerk zu ziehen 100 MB ist kein Problem, auch durch DSL-Modem oder Kabel Internet. Und selbst eine Schande von heutigen Standard-Modem bei 33600 wird diese Datei für ~ 70 Stunden geben. Nicht so sehr, wenn man sich daran erinnert, dass praktisch kein Benutzer die Schlüssel jeden Tag regenerieren wird. Das Schneiden der Akte in kleine Stücke, die im Hintergrund übertragen werden, zieht es in zwei oder drei Wochen ist durchaus möglich, obwohl es die langweiligste und unvermeidlichste Weise sein wird.

Wenn ein Hacker das System eines anderen infiltriert hat (und Sie können es auf unterschiedliche Weise eindringen), ist es nicht wert, die Datei in den Speicher zu laden, die Brieftasche zu öffnen, Geld auf Ihr Konto zu übertragen und die Festplatte zu knacken, damit das Opfer nicht ins Internet kommen und sich darüber beschweren kann, wer sollte . Übrigens, auf Kosten von "beschweren". Es gibt nicht so viele Möglichkeiten, und es gibt keine Möglichkeit zu helfen. Nun, vielleicht vom Herrn Gott (wenn du echter Gott bist, gib mein Geld zurück, du sickst ja zu den Brüdern. Wenn wir noch Zugang zu WMID haben (was ein dummer Hacker ist!), Kannst du die WMID bestimmen, auf die das Geld übertragen wurde, auf die Schiedsgerichts-Website ( http://arbitrage.webmoney.ru/ ) gehen, die Schiedsgebühr bezahlen (a Dafür ist es notwendig, WebMoney zu haben, den wir vom Eindringling aufgeräumt haben und die Hacker-Brieftasche blockieren. Nur wenn der Hacker kein Elch ist, wird das Geld für ein paar Minuten auf e-Gold übertragen oder auf irgendeine andere Weise aus dem System zurückgezogen, so dass sie auf seinem Geldbeutel nicht sein werden und werden vor allem blockiert werden und es gibt nichts. Übrigens werden Brieftaschen mit einem ersten oder persönlichen Pass nur durch die Entscheidung der Schiedskommission blockiert, das heißt, es ist genug, um das Zertifikat zu nehmen und ... Sag einfach nicht, dass die Besitzer der Zertifikate nicht stehlen, weil sie ihre Passdaten melden. Agashchazblin! Taki Ihre eigenen? Die Erteilung der Zertifikate wird nun von allen, die nicht zu faul und hofft, dass sie alle ehrlich, gewissenhaft und unbestechliche Menschen, nur naiv, vor allem, wenn es um Geld geht, auch elektronisches Geld. Ein Mann, der beabsichtigte, 100.000 Dollar zu stehlen (und warum nicht), bekommt keine Probleme nicht nur ein Feigen-Zertifikat, sondern auch einen falschen Pass im Gegenzug. Nun, wer auf diesem Zertifikat dann suchen? Auch wenn die Angestellten des Innenministeriums die Pässe auf den Bach, den das Fernsehen oft sprach (was kriminell ist), dann was ist mit "Zertifikaten", die überhaupt keinen Rechtsstatus haben?

Allerdings ist die Situation mit der Übertragung von gestohlenen Geld durch mehrere Geldbörsen noch als Entwickler, und sie sorgfältig versklavt die ... Eindringlinge! Richter für dich selbst. Das Opfer nach Einreichung der bereits erwähnten Forderung sollte sich mit dem Administrator des Schiedsgerichts (WMID 937717494180, arbitrage@webmoney.ru) in Verbindung setzen und ihn bitten, der ganzen Kette zu folgen. Der ganze "Charme" ist, dass der Administrator nur von Montag bis Freitag von 10 bis 18 Stunden in Moskau arbeitet. Wir sagen, wir sind kein Rettungsdienst und wir wollen auch schlafen. Sehr gutes Zahlungssystem, sage ich dir! Mit der Tatsache, dass der Abzug von Geld aus dem System ist fast sofort und das Konto geht für Minuten, der Administrator, sehen Sie, will Bainki. Ich verstehe nicht, ist es ein Studentenheim oder ein Zahlungssystem? Was lohnt sich in Millionen von Revolutionen (von denen die Werbung nicht aufhört zu erwähnen), um mehrere Leute für die Uhr um die Uhr zu mieten? Immerhin geht es um das Geld in diesem Fall! Natürlich ist es sicherer für Hacker, den Diebstahl entweder um Mitternacht oder am Wochenende zu begehen. Aber es ist okay, leere Worte zu lassen und Keeper'om näher kennenzulernen.

Keeper draußen und drinnen

Hier bewundern manche Leute, wie der Entwickler es geschafft hat, so viel in das Volumen des Keeper zu drücken (" Ich weiß nicht von dir, aber ich bewundere aufrichtig diejenigen, die in 2 Megabyte der Keeper Classic Verteilung es geschafft haben, solch eine" leckere "Füllung zu investieren und sogar schön zu packen Dies ist der Fall von außen ", http://www.owebmoney.ru/clashistory.shtml ). Und was haben sie in ihr enthalten? Natürlich, in dieser Zeit, als "Hallo, Welt!" Mit Schwierigkeiten wird die Laserdisk stören, Programme, die "nur" ein paar Megabyte besetzen bereits Respekt ...

Das Hauptvolumen (~ 2,2 MB) wird von WMClient.dll besetzt, was in der Tat der Keeper selbst ist. Dies ist ein DCOM-Objekt in Microsoft Visual .NET mit Compilation in Maschinencode geschrieben, nicht verpackt und nichts, ich wiederhole, stört nicht mit seiner Analyse. Es gibt keine verschlüsselte, keine p-Code, keine Anti-Debugging-Techniken, kein Widerstand gegen einen Disassembler, ein Dumper, ein API-Spion. Nichts! Take-and-analysieren! In jedem Fall verhält sich Version 2.4.0.3 (spätestens zum Zeitpunkt dieses Schreibens) genau so. Wenn Entwickler ein bisschen schlauer sind, würden sie entweder Microsoft Visual C ++ 6 (die berühmten "sechs") plus jeden hochwertigen Protektor (zB ExeCryptor) verwenden oder die NET-Applikation in p-Code kompilieren, was viel schwerer zu zerlegen ist.

WebMoney.exe (~ 180 Kbytes) ist nur ein "Puskalka" und es gibt nichts Interessantes, dennoch kostet es noch, es zu zerlegen. Mindestens später, um die Entwickler zu lachen und ihre Qualifikationen zu beurteilen.

Keeper Classic in disassembler

Abbildung 6. Keeper Classic im Disassembler.

Also, nehmen wir an, dass ein Computer mit installiertem Keeper mit einem Hacker-Code eingebettet ist, der mit Benutzerberechtigungen ausgeführt wird (wir sind uns einig, dass wir keine Administratorrechte erhalten haben und obwohl wir unsere Privilegien vom Benutzer zum System in W2K / XP generieren müssen, Kein Problem, ganz zu schweigen von 9x, wo es keine Teilung von Privilegien gab, werden wir in spartanischen Bedingungen handeln, in der Nähe des Kampfes). Was können wir tun? Wir haben zwei Möglichkeiten. Keeper'a vor demontieren, das Protokoll des Austausches mit dem Server wiederherstellen, darauf warten, dass die Medien eingefügt werden, was der geheime Schlüssel ist und ... dann phantasieren Sie sich. Persönlich stoße ich in Keeper'e Faulheit. Das Zerlegen ist ein sorgfältiges Geschäft und es kann mehrere Wochen dauern, bis das Protokoll des Austausches wiederhergestellt wird. Die Verwendung von Schnüfflern verkürzt diese Zeit deutlich, aber immer noch "vlom". Es ist viel einfacher und effektiver, Geld mit Hilfe von Keeper selbst zu stehlen. Wir installieren einen Spion, der die Tastatureingabe abfängt, auf WMID-Eingang wartet oder auf andere Weise definiert, weil WMID kein Geheimnis für jedermann ist (die erste Methode wird hauptsächlich von Viren verwendet, die zweite Methode ist gut für einen gezielten Angriff), dann ein "perfekter" Moment Nach 18 Stunden oder am Tag aus) deaktivieren wir die Ausgabe auf den Bildschirm, starten WebMoney.exe und emulieren die Tastatur-Maus-Eingabe, alles was wir wollten. Zum Beispiel ergänzen wir die Geldbörse des Opfers. Und warum nicht? Wir brechen unsere eigene Brieftasche, richtig? Das ist es und fülle es auf! Wir sind keine Gangster, aber ehrliche Hacker!

Die Technik der Input-Emulation ist ausführlich in "Notizen von myshh'a" beschrieben, deren elektronische Version von meinem myshkh'inogo ftp-server ftp://nezumi.org.ru/ kostenlos gekaut werden kann (nur um daran zu erinnern, dass es nicht immer verfügbar ist) Darüber hinaus wurde in der 67. Ausgabe von Hacker ein Artikel "WebMoney" veröffentlicht, in dem all dies beschrieben wird. So werden wir die Demagogie nicht züchten und hundertmal Kautschuk kauen. Wir bemerken nur den allgemeinen Mechanismus. Zuerst finden wir das Keeper-Fenster, indem wir FindWindow oder EnumWindows anrufen und seinen Griff definieren. Dann, mit EnumWindows, aufzählen die untergeordneten Fenster, die zu den Steuerelementen gehören (Schaltflächen, bearbeiten Zeilen usw.). Senden von verschiedenen Meldungen an Steuerelemente (dies kann mit der SendMessage-Funktion erfolgen), nehmen wir sie leicht unter unsere Kontrolle. Das Deaktivieren der Ausgabe auf dem Bildschirm erfolgt entweder durch Abfangen von GDI-Diensten (kompliziert implementiert, aber auf Hurra) oder indem man ein ablenkendes Fenster auf den Keeper stellt, beispielsweise ein Browserfenster mit einem pornografischen Bild. Ja, hier können viele Dinge erfunden werden!

Das Problem ist, dass seit einiger Zeit die stumpfe Emulation nicht mehr funktioniert. Keeper bekam die so genannten "fliegenden Figuren". Wie die, die die automatische Registrierung auf vielen Seiten verhindern. Bevor Sie eine Zahlung leisten, müssen Sie drei grafische Zahlen eingeben, die zufällig auf dem Bildschirm erscheinen. Die Idee ist natürlich interessant, aber hier ist es offensichtlich fehl am Platz. Schwere Kindheit, beschissene Erziehung, tiefer Kater. Und dein Kopf ist bo-bo. Doch der Kopf hier nicht und. Trotzdem hat sie niemanden zu denken. Entwickler haben offensichtlich keine Sicherheitstechniken gelernt. Sketchy Wissen im Stil von "hier vollgestopft, und dann das Mädchen tanzte, und dann zog ich einen Ziegelstein" und eine Stange von allen Seiten.

Schutz der Keeper-a

Abbildung 7. Schutz Keeper'a "fliegende Figuren".

Warum fliegen "fliegende Zahlen" auf Webservern (wo sie zum ersten Mal erschienen)? Denn erstens ist der Sicherheitscode außerhalb der Reichweite des Hackers, und zweitens, weil der Schutz nur auf Roboter gerichtet ist, aber nicht auf Menschen. Um mail.ru von Spammern und Vandalen zu schützen, ist diese Maßnahme mehr als genug, aber nicht für Keeper! Zuerst werden in aktuellen Versionen von Keeper fliegende Figuren elementar durch einfache OCR erkannt, die sich leicht in hundert Kilobyte (mit fertigen Bibliotheken) einsetzen können, zweitens, Hacker-Code kostet nichts, um ein Stück des Bildschirms zu packen und es an einen Monitor zu senden, der am Monitor hackt Er erkannte sie selbst, drittens, dieser Schutz ist abgebrochen, z.B. Bearbeiten von Keeper's Maschinencode, vierte, fliegende Zahlen können durch die Registern geschnitten werden (wenn Sie versuchen, sie durch Keeper's Mittel zu trennen, wird er um die Bestätigung der Legitimität dieser Operation bitten), fünfte, auch wenn der Schutz vorgespannt ist, in Reserve Hacker bleiben die Entschlüsselung des Protokolls des Austausches und die Schaffung ihrer eigenen Kunden ohne irgendwelche Zahlen dort, in der sechsten ... Kurz gesagt, die Methoden des Hackens sind sehr, sehr viel und es gibt keinen Vorteil von diesem Schutz, nicht zu erwähnen, dass viele Benutzer immer noch sitzen Ältere Versionen ohne fliegende Figuren Oder deaktiviere sie als unnötig.

Und hier ist ein weiterer weithin beworbener Chip - Bestätigung der Autorisierung per E-Mail. Bei einem unerfahrenen Blick sieht alles echt aus - bevor wir mit unserem Account etwas unternehmen können, ist es notwendig, den Code einzugeben, der per E-Mail kommt. Wenn der Hacker die * .kwm-Datei stürzt, bleibt er mit der Nase und wir - mit dem Geld. Immerhin bekommt er keinen Zugang zu unserer Mailbox. Logik ist Eisen, aber falsch Postfächer sind nicht so schwer zu brechen (spezifische Methoden des Hackens sind in vielen Büchern und Artikeln aufgeführt, also werde ich es nicht wiederholen), außerdem, sobald ein Hacker eine * .kwm-Datei gezogen hat, wird er auch das Passwort per E-Mail verschieben. Die Ausnahme ist vielleicht nur der Diebstahl von Smart Cards und Wechseldatenträgern mit Schlüssel, aber ... so wird der Diebstahl in der Regel entweder von engen Leuten durchgeführt, die E-Mails oder Räuber haben können, die physischen Zugang zu den Wechselmedien haben, , Normalerweise in unmittelbarer Nähe des Computers. Nun, was ist es notwendig, um sie zu stehlen und das Passwort auf einer Box?

Okay, aber was ist mit der Blockierung aller IP-Adressen außer deiner eigenen? Zunächst einmal, in lokalen Netzwerken, das Ergreifen von jemand anderes Adresse ist kein unüberwindliches Problem. Der gleiche, der auf dem Dial-Up sitzt, erhält normalerweise dynamische IP-Adressen, die aus dem gemeinsamen Pool zugewiesen werden. Verschreibe sie - du hast dich verpasst, und jeder Kunde desselben Anbieters wird ohne Probleme zugelassen. Aber es spielt keine Rolle. Kein Hacker zu halten jemand anderes Brieftasche fucking ist nicht notwendig. Er wird einfach Geld mit den Händen des Keeper abheben, auf den Computer des Opfers gestartet, der wohl die richtige IP hat und kein "Blockieren", das hört nicht auf!

Die von den Entwicklern vorgeschlagenen Schutzmaßnahmen können sehr lange aufgeführt werden. Fast alle von ihnen sind auf Diebstahl * .kwm Datei mit der nachfolgenden Übertragung über das Netzwerk konzentriert. Aus irgendeinem Grund denken die Entwickler, dass dies der einzige Weg ist, zu hacken, obwohl dies weit von dem Fall ist. Sie empfehlen auch, die Firewall ordnungsgemäß zu konfigurieren, um Informationslecks zu vermeiden und das System regelmäßig zu patchen, so dass weder Hacker noch Würmer infiltrieren. Nun, auf Kosten von Firewalls, wurden sie deutlich aufgeregt. Es ist genug, um auf die beliebte Website http://www.firewallleaktester.com/ zu gehen, um sicherzustellen, dass es Angriffe gibt, die alle persönlichen Firewalls durchbohren. Ich habe darüber auch in "Notizen des Forschers von Computerviren" geschrieben, deren Fragmente von ftp://nezumi.org.ru/ heruntergeladen werden können , gibt es auch einen fertigen Demo-Code.

Nun schauen wir uns die Updates an. Viele Seiten, die die Zahlung über WebMoney akzeptieren, arbeiten nur mit IE, weil sie ActiveX verwenden. Und obwohl Plug-Ins für alternative Browser wie Opera und Fox freigegeben werden, arbeiten sie irgendwie und in Wirklichkeit müssen Sie IE verwenden, die Anzahl der Löcher, in denen das Guinness Buch der Rekorde würdig ist. Das heißt, die Schöpfer von WebMoney selbst podsazhivayut uns auf dem holey Browser, und immer noch sorgfältig empfehlen - vergessen Sie nicht, in der Zeit zu aktualisieren, sagen sie. Vielleicht sollte ich auch Sex wechseln? Also, das Problem ist nicht mit Benutzern. Das Problem im Gehirn des Entwicklers (oder vielmehr in ihrer völligen Abwesenheit). Das Problem liegt im Konzept des ganzen Systems. Das Problem ist die grundlegende Anfälligkeit des Protokolls der Geldüberweisung und der Anfechtbarkeit von Keeper. Hölle, wie viele Jahre gibt es schon Algorithmen zur Erzeugung von "einmaligen" Schlüsseln, in denen es einfach nichts zu stehlen und nichts zu stehlen gibt. Aber warum weiß ich von ihnen - ganz weit von Kryptographie und finanziellen Betrug myshh - aber weiß nicht, die Entwickler des Zahlungssystems? Ponaprimanali ist nicht klar, wer ...

Keeper Licht oder der Kampf gegen Zertifikate

Die Unsicherheit des klassischen Keeper ist eine gemeinsame Tatsache, aber Licht gilt immer noch als ganz sicher: " In Keeper Classic können Sie die Datei mit den Schlüsseln in Teilen ziehen, E-Mails können gehackt werden usw. Die auf dem Wechseldatenträger gespeicherten Tasten können auf die Festplatte geschrieben werden In dem Moment, in dem eine Diskette oder eine CD eingelegt ist, ist es theoretisch möglich, das Geld zu bekommen, obwohl es bei allen Vorsichtsmaßnahmen extrem schwierig ist. Aber Licht mit einem nicht ausgeführten Zertifikat gibt eine 100% ige Sicherheitsgarantie "( http://owebmoney.ru/ Cafe / index.php? Showtopic = 108 ).

Es klingt verlockend, aber wie funktioniert das in der Praxis? Versuchen wir es zu verstehen. Lasst uns mit der Frage beginnen - wie funktioniert Keeper Light? Sehr einfach. Der geheime Schlüssel wird nun nicht in der * .kwm-Datei gespeichert, sondern in einem speziellen Zertifikat, und das gesamte Management führt eine Webschnittstelle mit speziellen kryptographischen Protokollen durch.

Wo speichert der Browser Zertifikate? Hängt vom Browser selbst ab. Zum Beispiel, Mozilla - im Verzeichnis "./mozilla/defaul/<blahblahblah>/cert8.db", aber IE, läuft unter Windows XP Professional, verwendet ein ziemlich gehäuftes System. Zertifikate mit öffentlichen Schlüsseln werden in einem persönlichen (persönlichen) Laden gespeichert, der sich in den Dokumenten-n-Einstellungen \ <Benutzername> \ Anwendungsdaten \ Microsoft \ SystemCertificates \ My \ Certificates befindet, die für alle frei ist (es ist öffentliche Informationen!) . Benutzerzertifikate befinden sich in seinem Profil. Geschlossene Schlüssel werden im Verzeichnis Dokumente \ n \ \ Benutzername> \ Anwendungsdaten \ Microsoft \ Crypto \ RSA gespeichert. Alle hier befindlichen Dateien werden automatisch mit einem zufälligen symmetrischen Schlüssel verschlüsselt - der Masterschlüssel des Benutzers, 64 Zeichen lang. Der Hauptschlüssel wird mit dem Triple DES-Algorithmus erstellt, der auf dem Kennwort des Benutzers basiert, mit dem es angemeldet ist.

Was bedeutet dieser theoretische Leibwächter praktisch? Und die Tatsache, dass man kein Zertifikat mit einem privaten Schlüssel aus Windows XP stehlen kann! Das ist, es wird möglich sein, etwas zu stehlen, aber es wird nutzlos sein, da es einfach nicht auf jemand anderes Computer arbeiten wird! (Auf, dass er und das geschlossene Zertifikat!). Es stimmt, es kann ohne irgendwelche besonderen Privilegien exportiert werden. Rip das Certification Manager-Programm, wenn Sie nicht wissen, wie. In der Tat, um Zertifikate von Computer zu Computer zu übertragen, verwendet Keeper Light das exportierte Zertifikat, das in Dateien mit der Erweiterung .pfx gespeichert ist. Sie können sowohl auf externen Speichermedien als auch auf Festplatten gefunden werden. Hier gibt es nur ein "aber". Das exportierte Zertifikat wird mit einem vom Benutzer zugewiesenen Passwort geschlossen und es in Ihr System importiert, man muss entweder einen Keylogger werfen oder das Passwort durch grobe Kraft öffnen. Aber das erste ist zu spürbar, das zweite ist lang, also ist der Diebstahl von Zertifikaten nicht weit verbreitet.

Fordern Sie ein Kennwort beim Import eines Zertifikats an

Abbildung 8. Anfordern eines Passworts beim Importieren des Zertifikats.

Bedeutet das, dass Keeper Light geschützt ist? Nein und nochmal nein! Wenn Keeper Classic zumindest theoretisch geschützt werden kann (installieren Sie einen Treiber, der eine direkte Tastatureingabe bietet, schneidet Emulatoren und überwacht die Integrität von Keeper und sich selbst), dann arbeitet Keeper Light über einen Browser, dessen "Integrität" grundsätzlich nicht kontrolliert werden kann!

Das erste, was in den Sinn kommt, ist die bereits erwähnte Emulation. Wir sagen "start https://light.webmoney.ru", versteckte das Browser-Fenster auf die eine oder andere Weise (bekomme einfach den Griff und zeichne darüber hinaus, was schrecklich ist) und emulieren die Tastenanschlagsfolge, um die elektronische Brieftasche wieder aufzufüllen. Handelt ironisch und unweigerlich. Der einzige Nachteil - jeder Typ (und evtl. die Version) des Browsers braucht seinen Ansatz, aber man kann sich nur auf IE 5/6 konzentrieren, als der beliebteste.

Der Rest der Browser ist noch einfacher. Wir nehmen die Quelle des Fuchs und erstellen einen Hacker-Mini-Browser, der auf ihnen basiert, was nichts auf dem Bildschirm zeigt, aber es funktioniert nur mit Brieftaschen. True, unter den Fans von WebMoney, sind Fox-Fans nicht so viele, aber es ist immer noch besser als gar nichts. Übrigens, lassen Sie sich die Anhänger von IE nicht sicher fühlen. Der Quellcode für W2K wurde vor langer Zeit gestohlen und es ist ganz möglich, deinen IE-Klon auf ihrer Basis zu erstellen, ganz zu schweigen davon, dass IE nur eine Sammlung von DCOM-Objekten ist und sogar ein Anfänger einen Browser auf ihrer Basis bauen kann.

Keeper Licht

Abbildung 9. Keeper Light ist einfach eine WEB-Schnittstelle, die Ihnen erlaubt, mit Ihrer Brieftasche durch jeden Browser zu arbeiten.

Und was, wenn Sie das Zertifikat vor jedem Öffnen der Brieftasche importieren und dann aus dem Repository löschen? In der Tat wird dies die Sicherheit zu einem gewissen Grad erhöhen, aber ein Hacker-Programm kann entweder warten, bis das Fenster "WebMoney Keeper :: Light Edition" angezeigt wird, signalisiert, dass der Benutzer sich angemeldet hat, oder Spionage von Schlüsseln, übergeben ein geheimes Passwort zusammen mit dem Zertifikat über das Netzwerk. Also, elektronisches Geld ist immer noch in einer heiklen Situation!

Autorisierung per Handy - zuverlässig?

Das letzte Quietschen der Mode war das System der Autorisierung mit Hilfe eines Handys. Bei der Anmeldung beim ENUM-Service ( http://enum.ru/ ) wird auf dem Mobiltelefon eine spezielle Java-Applikation (auch MIDlet genannt) genannt, die sich den Enum Client nennt. Es nimmt fünfstellige Zahlen (z. B. 09652) und erzeugt eine darauf basierende Antwort, und der Generierungsalgorithmus ist für jeden Benutzer eindeutig. Wenn es kein Handy, Pocket PC oder ein anderes Gerät mit Java-Unterstützung (zum Beispiel ein Desktop-PC, wird Sinn machen).

Sequenz von Operationen bei der Aktivierung einer Zahlung über ein Handy oder PDA

Abbildung 10. Reihenfolge der Operationen, wenn die Zahlung über ein Mobiltelefon oder PDA aktiviert wird.

ENUM-Service ermöglicht es Ihnen, Käufe über den Merchant Service ( https://merchant.webmoney.ru/ ) ohne Rückgriff auf Keeper überhaupt zu machen - weder auf klassisch noch auf die geklonten. Es wird geglaubt, dass eine elektronische Brieftasche zu knacken und Bargeld zu stehlen in diesem Fall wird nicht möglich sein: " Betrüger und Virenschreiber verwenden das Internet, um wertvolle Informationen von unseren Computern zu stehlen, aber was auch immer Schutz wir haben - Firewalls, Antiviren, Antiquaylogs, Antitrays, Zertifikate - gibt es immer Die theoretische Wahrscheinlichkeit für die Umgehung und Diebstahl von Passwörtern (oder Keeper's Key, zum Beispiel) vom Computer, weil sowohl Hacker als auch defensive Werkzeuge einen selben Kanal benutzen - das Internet. Und das Problem mit dem Internet ist, dass es kein anderes, alternatives gibt Die ENUM löst dieses Problem, es gibt uns den anderen Kanal. Der Hacker kann auf deinem Computer kommen, "hook up" das Trojaner Virus, aber es wird nicht in der Lage sein, in dein Handy passen. Welcher eindeutige Algorithmus für jeden Benutzer Enum Client von einer Nummer bekommt einen anderen, auch ist es unmöglich "( http://owebmoney.ru/enum.shtml ).

Das ENUM-System-Logo

Abbildung 11. ENUM-Systemlogo.

Merchant Service

Abbildung 12. Service Merchant.

Ist es wahr Wie das Sprichwort sagt, "wenn du es nicht kannst, aber wirklich willst, dann kannst du doch noch." Ein zusätzlicher "Kommunikationskanal" erhöht in der Tat die Sicherheit viele Male, aber es ist verfrüht, über das Prinzip Unmöglichkeit des Hackens zu sprechen. Zunächst ist der Algorithmus für die Erzeugung von Nummern für alle Benutzer immer noch gleich (zerlegen Sie das MIDlet, wenn Sie es nicht glauben), nur der Generierungsschlüssel ist anders und es ist durchaus möglich, es auszuwählen. Es genügt, eine einzelne Antwort für diese Zahlenkombination abzufangen. Die Wiederherstellung des Schlüssels dauert nicht lange und das Trojanerprogramm ist durchaus fähig Ich hoffe, dass Sie nicht erklären müssen, wie man eine Kombination von Zahlen aus dem Bearbeitungsfeld liest.

Darüber hinaus enthalten Handys ein paar Löcher. IR-Protokolle und Blue Tooth buchstäblich mit ihnen schwärmen. Die Zeitschrift "The Hacker" schrieb immer wieder darüber. Wenn das Opfer ein Handy oder PDA hat, dann hat sie vielleicht einen blauen Zahn oder IR-Adapter, der es ständig hält. Ein Angreifer kann alle AT-Befehle an das Telefon senden, Midlets ausführen oder deren Inhalt lesen. Und was?! Sie können stoßen und schreiben ein Virus, das elektronische Geldbörsen stiehlt und sendet sie durch ein Handy! Umgehen alle Firewalls! Hier ist ein zusätzlicher Kanal für dich!

Allerdings ist das alles ein Nit-Pick der alten myshkhastny Hacker. Die Stimmung ist einfach schlecht. Es regnet, und nur Sirenia rettet die Depression (eine sehr kraftvolle gotische Band aus dem fernen Norwegen - ich empfehle). Wenn du nüchtern die Wahrheit in den Augen sehst (in solchen roten Myshh'inye Augen - klein, wie Perlen), musst du zugeben, dass Hacking ENUM sehr schwierig ist, so dass es eine Bedeutung darin gibt. Aber das bedeutet nicht, dass man eine elektronische Brieftasche starten und sicher 100.000 Dollar darauf legen kann. Dann werden sie doch hacken!

Zahlung aktivierenZahlung aktivierenZahlung aktivieren

Abbildung 13. Aktivierung der Bezahlung per Mobiltelefon durch das ENUM-System.

Wie kann man die Austauscher brechen?

Das Hacken von Austauscher ist nicht in unseren Plänen enthalten (nicht jeder besitzt seinen eigenen Tauscher, und es ist illegal, Fremde zu brechen), daher beachten wir nur die Hauptpunkte. Aus einer Hackerperspektive stellt der Tauscher eine Website dar, die in der Regel von PHP betrieben wird und unter Linux / BSD / NT läuft.

Hier durch Fehler in PHP-Skripten sind sie oft gebrochen. Auch einige Web-Programmierer verlassen die Hintertür, falls sie plötzlich essen wollen, und es wird nichts zu essen geben. Selten die Achse brechen Die größte Anzahl von Löchern ist natürlich NT und alle seine Derivate (einschließlich der gelobten Windows 2003 Server). Linux und BSD brechen ein bisschen schwieriger, aber ... wenn du einen Sicherheitsscanner (zB X-Spider) nimmst, kannst du feststellen, dass viele von ihnen ungeschickt SendMail oder verrosteter Apache sind. Pufferüberlauf, Sende-Shell-Code und den Server in unseren Händen!

Hacker Arbeitsplatz

Abbildung 14. Der Arbeitsplatz des Hackers.

Schlussfolgerung

Hacking WebMoney ist kein Mythos, sondern eine harte Realität und man kann nicht 100% sicher sein, auch wenn man ein Sicherheitsexperte ist. Es besteht immer die Gefahr, ein Virus durch ein unbekanntes Loch im Betriebssystem oder Browser zu fangen, und wenn aus dem Verlust von Betriebsdaten auf der Festplatte die Reservierung aus der Offenlegung vertraulicher Daten - die physische Trennung des Intranets aus dem Netzwerk, dann der Diebstahl von elektronischem Geld nicht alles rettet!

Sireina

Abbildung 15. Sireina - Gothic Hacker Musik, die kolbasit myshkh'a.