This page has been robot translated, sorry for typos if any. Original content here.

Hacking und Schutz von WebMoney

Im Gegensatz zu allen Zusicherungen von Entwicklern ist das WebMoney-System katastrophal unzuverlässig und wird buchstäblich mit einem Fingernagel geöffnet. Es gibt viele Würmer, Trojaner und Hackergruppen, die sich auf den Diebstahl elektronischer Brieftaschen spezialisiert haben, deren Diebstahl massiv erschwert wurde. Möchten Sie wissen, wie dies geschieht und wie Sie sich schützen können?

Einleitung

Fangen wir mit etwas an, das nicht sein kann. Es existieren keine "WebMoney-Generatoren" und können grundsätzlich nicht existieren. Das gesamte Bargeld wird auf dem zentralen Server des Betreibers gespeichert, und elektronische Geldbörsen sind nur ein Zugang zu ihr. Grob gesprochen, aus der Tatsache, dass Sie eine Kombination von Ziffern für die Code-Sperre erzeugen werden, werden Geld und Schmuck nicht im Safe erscheinen. Und obwohl es möglich ist, eine Verschlüsselung für den Safe eines anderen zu wählen, ist die Wahrscheinlichkeit des Öffnens ohne Hilfe des Besitzers (wir erinnern uns an den Husaren!, Aber wir sind still) über den Lötkolben so klein, dass es nicht einmal wert ist, darüber zu sprechen!

Aber die Kombination von jemand anderem zu stehlen ist ziemlich real! Das ist es, was "WebMoney-Generatoren" tun. Sie machen entweder ein Duplikat aus der elektronischen Brieftasche und übertragen sie an den Angreifer, oder sie rufen heimlich Keeper und übertragen auf ihr Konto. Ebenso gibt es Viren und Trojaner. Auch gekennzeichnete und gezielte Angriffe auf ein bestimmtes Opfer. Kann ich mich vor ihnen schützen? Das WebMoney-System, das von Nichtfachleuten entwickelt wurde, wurde ursprünglich ohne Rücksicht auf die Sicherheit entworfen, und obwohl in jüngster Zeit ein ganzer Komplex von "Brandbekämpfungsmaßnahmen" prilapannyh im Nachhinein erschienen ist, bleibt die Situation kritisch. Die Benutzer sind in Sicherheitssystemen verwirrt, der Support-Service gibt vage und vage Empfehlungen (Update von Windows, Konfiguration der Firewall usw.) und der Diebstahl von elektronischen Geldbörsen geht weiter.

Wir stellen uns nicht die Aufgabe, irgendjemanden zu lehren, was zu stehlen ist, wir wollen nur zeigen und beweisen (!) Dass das WebMoney-System wirklich sehr unzuverlässig ist und nicht einmal von einem Esel projiziert wurde (es wird dennoch vom Rückenmark begleitet) und im Allgemeinen ist nicht bekannt, . Es wird keine vagen Worte geben (damit wir nicht der Verleumdung beschuldigt werden), aber es wird keine konkreten Empfehlungen geben. Wir geben keine Angriffsprogramme frei und sagen nicht, welche Köder Sie hacken müssen, aber glauben Sie mir - alle notwendigen Hacker-Tools können in einer Nacht von Grund auf neu erstellt werden - eine heilige Zeit für Hacker!

Aber alles in Ordnung. Wir werden nicht vorwärts stürmen und die Laserplatte in das Laufwerk stecken, zumal diese noch benötigt wird.

Sie tauchen aus der Dunkelheit auf, nehmen alles elektronische Geld ab und gehen nirgendwo hin

Abbildung 1. Sie tauchen aus der Dunkelheit auf, nehmen elektronisches Geld ab und gehen nirgends hin.

WAS MÖGLICH IST UND WAS NICHT (REVIVAL)

Experimentieren (zu Bildungszwecken) ist nur mit Ihrer eigenen elektronischen Geldbörse oder mit den Geldbörsen von Personen möglich, die eine schriftliche Erlaubnis erteilt haben. Unautorisierte Eingriffe in Systeme und Brieftaschen anderer Personen sind absolut inakzeptabel !

Sie fangen diejenigen, die aus der Dunkelheit kommen, und nehmen sie in die Welt, aus der es keine Rückkehr gibt

Abbildung 2: Sie fangen diejenigen, die aus der Dunkelheit kommen, und werden in die Welt gebracht, von der es keine Rückkehr gibt.

Der Anfang begann oder der klassische Missionar

Das WebMoney-System ist eine Art analoger gewöhnlicher Bankschecks, was bedeutet, dass wir Zahlungen vorab auf dem zentralen Server des Betreibers vornehmen müssen und ein Konto eröffnen müssen, was bereits ein großer Nachteil ist.

Wir gehen auf www.webmoney.ru , laden das Programm Keeper Classic herunter, führen es aus (übrigens, es funktioniert über den Proxy-Server, dieses Wunder wissenschaftlicher und technischer Überlegungen war mir nicht gelungen, ich musste NAT und mapp 2802 heben) Laterne oder ehrlich), haben wir ein beliebiges Passwort für unseren Geschmack, woraufhin das Programm einen geheimen Schlüssel erzeugt und uns auffordert, die Maus zu ziehen und die Tasten zu drücken. Dies ist notwendig, um wirklich zufällige Daten zu erhalten, so als wäre der zeitgesteuerte Pseudozufallsgenerator hier nicht geeignet. Vor dem Hintergrund der allgemeinen Unsicherheit des Systems, mutig mit den Worten RSA, RC5, MD4, MD5, ist SSL nur albern. Die psychologische Berechnung der Entwickler ist mir jedoch verständlich. Wird der Geheimschlüssel in Bruchteilen einer Sekunde generiert - welcher Benutzer wird daran glauben?

Sie erscheint nirgendwo, fängt niemanden, sondern sitzt und lötet

Abbildung 3. Es erscheint nirgendwo, fängt niemanden, sondern sitzt einfach und lötet.

Nach Abschluss der Registrierung erhalten wir eine eindeutige 12-stellige WMID-ID (Web Money ID), und es wird ein Schlüsselpaar generiert. Der öffentliche Schlüssel wird an den zentralen Server des WebMoney-Betreibers übertragen und der geheime Schlüssel wird in einer Datei mit der Erweiterung * .kwm (Key of Web Money) gespeichert, die sich auf der Festplatte, dem Wechselmedium oder der Smartcard befinden kann. Kurz gesagt, gewöhnliche asymmetrische Kryptographie wie PGP.

Eine andere Datei wird erstellt * .pwm, die Informationen zu unseren Geldbörsen speichert (aktueller Kontostand, Transaktionshistorie usw.). Grundsätzlich ist dies nicht notwendig, da sich alle Informationen auf dem zentralen Server des Bedieners befinden. Keeper kann ohne eine * .pwm-Datei arbeiten, die automatisch Daten aus dem Netzwerk hochlädt, allerdings nur für die letzten drei Tage. Streng genommen, * .kwm Datei ist auch optional und kann wiederhergestellt werden. Dazu müssen Sie das Passwort kennen, Zugriff auf das bei der Registrierung angegebene Postfach haben, sowie eine notariell beglaubigte Erklärung, dass Sie kein Elch sind (mehr dazu finden Sie hier: http://www.owebmoney.ru/returnkey.shtml ). Theoretisch kann ein Hacker unser Geld nur auf der Grundlage eines Passworts hacken, aber in der Praxis ist das zu lästig und unsicher.

Geheiminformationen, die den Zugriff auf die Brieftasche regeln, sind nur ein kwm-Schlüssel. WMID wird überall offen veröffentlicht und das ist normal. Mithilfe von WMID können Sie die Registrierungsdaten des Benutzers herausfinden, die er als "offen" gekennzeichnet hat. Die Anzahl seiner Brieftaschen kann jedoch nicht bestimmt werden.

Die Börsennummer ist eine bedingt vertrauliche Information. Wenn wir die Geldbörsen-Nummer kennen, können wir kein Geld daraus herausholen, aber wir können es in Rechnung stellen, indem wir das Feld "Beschreibung des Einkaufs" so plausibel wie möglich ausfüllen. Der Weg natürlich, dumm, aber es gibt eine Chance, dass es vorbei ist. Benutzer, die regelmäßig eine große Anzahl von kleinen Konten zahlen, gewöhnen sich allmählich daran, ihnen nicht zu folgen und die Spalte "von wem" nur zu überprüfen, wenn Zweifel bestehen. Natürlich gibt es auf dieser Art des Hackens kein Summen, außerdem kann ein Eindringling sehr schlecht verbrennen und zur Gesellschaft eines Onkels gehen, der seinen Esel reißt, also fand er nie eine nennenswerte Popularität.

Wir stellen das Opfer einem linken, aber plausiblen Konto aus

Abbildung 4. Wir stellen das Opfer links, aber plausibel Konto - plötzlich und zahlen?

Aber stehlen kwm-Dateien floriert. Standardmäßig sind die Schlüssel in keys.kwm gespeichert, aber im Prinzip kann der Dateiname alles sein, wie in der Tat die Erweiterung. Die meisten Hacker und Trojaner stumm nach der * .kwm-Maske suchen. Die Umbenennung der Schlüsseldatei in der Datei dontreadme.txt erhöht unsere Sicherheit jedoch. Fortgeschrittene Hacker können in die Registry gelangen, wo Keeper die Einstellungen behält und den Pfad zur Datei überprüft. Sie können auch nach ihrem Inhalt suchen und alle Dateien scannen (obwohl dies viel Zeit in Anspruch nimmt und verdächtige Festplattenaktivitäten verursacht). Gourmets werden wahrscheinlich den Aufruf der CreateFile API abfangen, die anzeigt, welche Dateien Keeper geöffnet wird. Und selbst wenn das Format der Registrierungseinstellungen in nachfolgenden Versionen geändert wird, funktioniert die Option mit CreateFile weiter (Hinweis: Wenn die Entwickler keine Idioten wären, würden sie mehrere Dateien mit den Schlüsseln erstellen - eine authentische, alle anderen - Watchdog- Angst).

Verstecke die kwm-Datei vor Hackern

Abbildung 5. Verbergen Sie die kwm-Datei nicht in der Nähe von Hackern.

Standardmäßig beträgt die Größe der Schlüsseldatei 1,2 MB (in exakter Reihenfolge auf einer Diskette), Sie können diese jedoch auf 100 MB erhöhen, wenn dies gewünscht wird. Dies macht es schwierig, den Schlüssel mit der Übertragung über das Internet zu stehlen und erzeugt im Allgemeinen keine unüberwindlichen Nachteile. 100 MB ist die Hälfte einer Mini-CD-R, eine ist eine Zip-100M oder zwei CD-Rs im Visitenkartenformat. Natürlich wird die Geschwindigkeit des Systems in gewissem Maße sinken (eine große Datei liest nicht sofort), aber die Sicherheit ist es wert. Oder ist es das nicht wert? Im lokalen Netzwerk, um 100 MB zu ziehen, ist laut DSL-Modem oder Kabel-Internet kein Problem. Und sogar nach heutigen Maßstäben beschämend, wird das Modem für 33600 diese Datei in etwa 70 Stunden geben. Nicht so sehr, wenn Sie sich daran erinnern, dass praktisch kein Benutzer die Schlüssel jeden Tag neu generiert. Die Datei in kleine Stücke zu schneiden, die im Hintergrund übertragen werden, in zwei oder drei Wochen zu ziehen, ist durchaus möglich, obwohl es die langweiligste und unpromising Weise sein wird.

Wenn ein Hacker das System einer anderen Person infiltriert hat, muss er die Datei nicht in den Speicher laden, die Brieftasche öffnen, Geld auf sein Konto übertragen und die Festplatte brechen, damit das Opfer nicht ins Internet gelangt und sich beschweren kann, wer . Übrigens, auf Kosten von "beschweren". Es gibt nicht so viele Optionen und es gibt keine Möglichkeit zu helfen. Nun, außer, dass vom Herrn Gott (wenn Sie wirklich Gott sind, mein Geld zurückgeben, Sie sic fuck) ja zu den Brüdern. Wenn wir immer noch Zugriff auf WMID haben (was ein dummer Hacker ist!), Können Sie die WMID bestimmen, an die das Geld überwiesen wurde, gehen Sie zur Arbitration Service-Website ( http://arbitrage.webmoney.ru/ ) dafür ist WebMoney erforderlich, das wir den Angreifer sauber gelöscht haben) und die Hacker-Mappe zu blockieren. Nur wenn der Hacker nicht Elch ist, wird das Geld für ein paar Minuten auf e-Gold übertragen oder auf andere Weise aus dem System zurückgezogen, so dass es auf seinem Geldbeutel nicht besonders blockiert wird und es auch nichts gibt. Übrigens werden Brieftaschen mit erstem oder persönlichem Pass nur durch die Entscheidung der Schiedskommission gesperrt, dh es genügt, das Zertifikat zu nehmen und ... Sagen Sie einfach nicht, dass die Inhaber der Zertifikate nicht stehlen, weil sie ihre Passdaten melden. Agashchazblin! Taki deine eigene? Die Ausstellung der Zertifikate wird nun von allen Menschen, die nicht zu faul sind und in der Hoffnung sind, ehrlich, gewissenhaft und unbestechlich zu sein, nur naiv, vor allem wenn es um Geld, ja sogar um elektronisches Geld geht. Eine Person, die fest entschlossen ist, $ 100.000 zu stehlen (und warum nicht), bekommt ohne Probleme nicht nur ein Feingeschenk, sondern auch einen falschen Pass zurück. Nun, wer auf diesem Zertifikat dann suchen? Auch wenn die MVD-Mitarbeiter Pässe auf den Strom schmieden, über die oft gesprochen wird (was kriminell ist), was ist mit "Zertifikaten", die überhaupt keinen rechtlichen Status haben?

Die Situation bei der Überweisung von gestohlenem Geld durch mehrere Brieftaschen wurde jedoch von den Entwicklern immer noch berücksichtigt und sie versklavten die ... Eindringlinge sorgfältig! Beurteilen Sie selbst. Das Opfer, das den bereits erwähnten Anspruch eingereicht hat, sollte sich an den Administrator des Schiedsverfahrens (WMID 937717494180, arbitrage@webmoney.ru) wenden und ihn bitten, der gesamten Kette zu folgen. Der "Charme" ist, dass der Administrator nur von Montag bis Freitag von 10 bis 18 Stunden in Moskau arbeitet. Wir, sagen sie, sind kein Rettungsdienst und wir wollen auch schlafen. Sehr gutes Zahlungssystem, sage ich dir! Mit der Tatsache, dass der Abzug von Geld aus dem System fast augenblicklich ist und der Account für Minuten läuft, will der Administrator, Bainki. Ich verstehe nicht, ist es ein Studentenheim oder ein Bezahlsystem ?! Was hat sich in millionster Revolutionen gelohnt (wovon Werbung nicht aufhört zu erwähnen) mehrere Leute für die Unterstützung rund um die Uhr einzustellen? Schließlich geht es in diesem Fall um Geld! Natürlich ist es für Hacker sicherer, Diebstahl entweder um Mitternacht oder am Wochenende zu begehen. Aber es ist in Ordnung, lasse leere Worte und lerne Keeper genau kennen.

Hüter außen und innen

Hier bewundern einige, wie der Entwickler es geschafft hat, so viel in das Volumen von Keeper zu quetschen (" Ich kenne Sie nicht, aber ich bewundere aufrichtig diejenigen, die in 2 Megabyte der Keeper Classic Distribution eine so" leckere "Füllung investieren und sogar schön verpacken dies ist von außen der Fall ", http://www.owebmoney.ru/clashistory.shtml ). Und was enthalten sie tatsächlich darin? Natürlich, in diesem Alter, wenn "Hallo, Welt!" wird sich kaum mit der Laserdiskette stören, Programme, die "nur" ein paar Megabyte aufnehmen, verursachen schon Respekt ...

Der Hauptdatenträger (~ 2.2 MB) ist von WMClient.dll belegt, was eigentlich Keeper selbst ist. Dies ist ein DCOM-Objekt, das in Microsoft Visual .NET mit der Kompilierung in Maschinencode geschrieben wurde, entpackt und nichts, was ich wiederhole, stört seine Analyse nicht. Es gibt keine verschlüsselten, keinen P-Code, keine Anti-Debugging-Techniken, keine Gegenmaßnahmen gegen Disassembler, Dumper und API-Spion. Nichts! Take-and-Analyse! In jedem Fall verhält sich die Version 2.4.0.3 (das letzte zum Zeitpunkt dieses Schreibens) genau so. Wenn die Entwickler zumindest ein bisschen schlauer wären, würden sie entweder Microsoft Visual C ++ 6 (die berühmte "Sechs") sowie jeden hochwertigen Schutz (zum Beispiel ExeCryptor) verwenden oder die NET-Anwendung in P-Code übersetzen, was viel schwieriger zu disassemblieren ist.

WebMoney.exe (~ 180 Kbytes) ist nur ein "Puskalka" und es gibt nichts Interessantes, trotzdem lohnt es sich, es zu zerlegen. Wenig später lachen sie über die Entwickler und bewerten ihre Qualifikationen.

Keeper Classic im Disassembler

Abbildung 6. Keeper Classic im Disassembler.

Nehmen wir an, dass ein Computer, auf dem Keeper installiert ist, mit einem Hackercode eingebettet ist, der mit Benutzerberechtigungen ausgeführt wird (wir sind uns einig, dass wir keine Administratorrechte erhalten haben und obwohl wir unsere Rechte in W2K / XP allgemein vom System auf W2K / kein Problem, geschweige denn 9x, wo es keine Aufteilung der Privilegien gab, werden wir in spartanischen Verhältnissen handeln, in der Nähe der Kämpfe). Was können wir tun? Wir haben zwei Möglichkeiten. Den Keeper'a vor demontieren, das Austauschprotokoll mit dem Server wiederherstellen, darauf warten, dass die Medien eingefügt werden, was der geheime Schlüssel ist, und dann sich selbst phantasieren. Persönlich stoße ich in Keeper'e Faulheit herum. Die Demontage ist eine mühevolle Angelegenheit und die Wiederherstellung des Austauschprotokolls kann mehr als eine Woche dauern. Die Verwendung von Schnüffeln verkürzt diese Zeit signifikant, ist jedoch immer noch "kaputt". Es ist viel einfacher und effektiver, mit Hilfe von Keeper selbst Geld zu stehlen. Wir installieren eine Spion-Abfang-Tastatureingabe, warten auf die WMID-Eingabe oder definieren sie auf andere Weise, weil WMID kein Geheimnis für irgendjemanden ist (die erste Methode wird hauptsächlich von Viren verwendet, die zweite Methode ist gut für einen gezielten Angriff) nach 18 Stunden oder an einem freien Tag) deaktivieren wir die Ausgabe auf dem Bildschirm, startet WebMoney.exe und emuliert die Tastatur-Maus-Eingabe, alles, was wir wollten. Zum Beispiel füllen wir den Geldbeutel des Opfers wieder auf. Und warum nicht? Wir brechen unsere eigene Geldbörse, oder? Das ist es und füllen Sie es auf! Wir sind keine Gangster, aber ehrliche Hacker!

Die Technik der Input-Emulation ist ausführlich in "Notes of myshh'a" beschrieben, deren elektronische Version kostenlos von meinem myshh'inogo ftp-server ftp://nezumi.org.ru/ gekaut werden kann (nur um daran zu erinnern, dass es nicht ständig verfügbar ist), um das gleiche in der 67 Hacker-Raum wurde ein Artikel "Breaking WebMoney" veröffentlicht, in dem alles beschrieben wird. Wir werden also keine Demagogie züchten und hundertmal kauen. Wir beachten nur den allgemeinen Mechanismus. Zuerst finden wir das Fenster Keeper, indem Sie FindWindow oder EnumWindows aufrufen und dessen Handle definieren. Enumerieren Sie dann die untergeordneten Fenster, die zu den Steuerelementen gehören (Schaltflächen, Bearbeitungslinien usw.), indem Sie EnumWindows verwenden. Senden verschiedener Nachrichten an Steuerelemente (dies kann mit der SendMessage-Funktion geschehen), nehmen wir sie einfach unter unsere Kontrolle. Die Deaktivierung der Ausgabe auf dem Bildschirm erfolgt entweder durch Abfangen von GDI-Diensten (die auf komplizierte Weise implementiert sind, aber auf hurra wirkt) oder indem ein ablenkendes Fenster über dem Keeper platziert wird, beispielsweise ein Browserfenster mit einem pornografischen Bild. Ja, viele Dinge können hier erfunden werden!

Das Problem ist, dass die blöde Emulation ab einiger Zeit aufhörte zu funktionieren. Hüter erwarb so genannte "fliegende Figuren". Wie die, die zur automatischen Registrierung an vielen Standorten verwendet werden. Bevor Sie eine Zahlung ausführen, müssen Sie drei grafische Nummern eingeben, die zufällig auf dem Bildschirm angezeigt werden. Die Idee ist natürlich interessant, aber hier wird sie offensichtlich fehl am Platz ausgeliehen. Schwere Kindheit, schlechte Angewohnheiten, tiefer Kater. Und dein Kopf ist bo-bo. Allerdings ist der Kopf hier nicht und. Trotzdem hat sie niemanden zum Nachdenken. Entwickler haben offensichtlich keine Sicherheitstechniken gelernt. Merkwürdiges Wissen im Stil von "hier vollgestopft, und dann hat das Mädchen getanzt, und dann habe ich einen Ziegelstein" und eine Stange von allen Seiten bewegt.

Schutz des Bewahrers a

Abbildung 7. Schutz Keeper'a "fliegende Figuren."

Warum agieren "fliegende Zahlen" auf Webservern (wo sie zum ersten Mal erschienen sind)? Dies liegt zum einen daran, dass der Sicherheitscode für den Hacker unerreichbar ist und zum anderen, weil der Schutz nur auf Roboter, nicht aber auf Personen ausgerichtet ist. Um mail.ru vor Spammern und Vandalen zu schützen, ist diese Maßnahme mehr als genug, aber nicht für Keeper! Zunächst werden in aktuellen Versionen von Keeper fliegende Figuren elementar durch einfache OCR erkannt, die problemlos in einhundert Kilobyte (unter Verwendung von vorgefertigten Bibliotheken) passen können, und zweitens kostet Hacker-Code nichts, um einen Bildschirm zu erfassen und an einen Hacker auf einem Monitor zu senden, er erkannte sie selbst, drittens, dieser Schutz ist Bit-Hack, d. h. Bearbeiten Sie den Keeper-Maschinencode, viertens können fliegende Zahlen durch die Registrierung geschnitten werden (wenn Sie versuchen, sie mit den eigenen Werkzeugen von Keeper zu trennen), wird die Bestätigung der Legitimität dieser Operation erbeten), fünftens, selbst wenn der Schutz vorgespannt ist, Hacker bleiben die Entschlüsselung des Austauschprotokolls und die Schaffung ihrer eigenen Kunden ohne Zahlen dort, im sechsten ... Kurz gesagt, die Methoden des Hackens sind sehr, sehr, und es gibt keinen Nutzen von diesem Schutz, ganz zu schweigen davon, dass viele Benutzer immer noch sitzen Alte Versionen ohne Flugfiguren oder schalten Sie sie als unnötig aus.

Und hier ist ein weiterer weithin bekannter Chip - Bestätigung der Autorisierung per E-Mail. Auf einem unverfälschten Look sieht alles eisern aus - bevor wir es schaffen, etwas mit unserem Konto zu tun, ist es notwendig, den Code einzugeben, der per E-Mail kommen wird. Wenn der Hacker die * .kwm-Datei zurückweist, bleibt es mit der Nase und wir - mit dem Geld. Immerhin bekommt er keinen Zugang zu unserem Postfach. Logik ist Eisen, aber falsch. Postfächer sind nicht so schwer zu brechen (bestimmte Methoden des Hackens sind in einer Vielzahl von Büchern und Artikeln aufgeführt, also werde ich nicht wiederholen), außerdem würde er das Passwort auch per E-Mail stehlen, sobald ein Hacker eine * .kwm Datei schleppte. Die Ausnahme ist vielleicht nur der Diebstahl von Chipkarten und Wechselmedien mit Schlüsseln, aber ... solcher Diebstahl wird in der Regel entweder von engen Leuten ausgeführt, die ficken und E-Mails senden können, oder Räubern, die physischen Zugang zu den Wechselmedien haben, , normalerweise in unmittelbarer Nähe des Computers. Na ja, was ist es für sie notwendig, still und das Passwort auf einer Box zu stehlen?

Okay, aber was ist mit der Sperrung aller IP-Adressen außer Ihrer eigenen? Beginnen wir mit der Tatsache, dass in lokalen Netzwerken die Beschlagnahme der Adresse eines anderen nicht ein unüberwindbares Problem ist. Die gleiche Person, die auf dem DFÜ-Netzwerk sitzt, empfängt normalerweise dynamische IP-Adressen, die vom freigegebenen Pool zugewiesen werden. Verschreiben Sie sie - Sie werden festgefahren, und jeder Kunde desselben Anbieters wird ohne Probleme autorisiert. Aber es spielt keine Rolle. Kein Hacker, der die Brieftasche von jemand anderem hält, ist nicht notwendig. Er wird einfach Geld mit den Händen des Bewahrers abheben, die auf dem Computer des Opfers gestoßen sind, der wahrscheinlich die korrekte IP hat und kein "Blockieren", es hört nicht auf!

Die von den Entwicklern vorgeschlagenen Schutzmaßnahmen können sehr lange aufgelistet werden. Fast alle von ihnen sind auf Diebstahl * .kwm-Datei mit der anschließenden Übertragung über das Netzwerk konzentriert. Aus irgendeinem Grund denken die Entwickler, dass dies der einzige Weg ist, um zu hacken, obwohl dies weit davon entfernt ist. Sie raten auch, die Firewall "richtig" zu konfigurieren, um Informationslecks zu verhindern und das System regelmäßig zu patchen, damit weder Hacker noch Würmer infiltrieren. Nun, auf Kosten von Firewalls waren sie eindeutig aufgeregt. Es reicht aus, auf die beliebte Website http://www.firewallleaktester.com/ zu gehen, um sicherzustellen, dass es Angriffe gibt, die alle persönlichen Firewalls durchbrechen. Ich schrieb darüber auch in "Notizen des Forschers von Computerviren", von denen Fragmente von ftp://nezumi.org.ru/ heruntergeladen werden können , gibt es auch einen fertigen Demo-Code.

Sehen wir uns nun die Updates an. Viele Websites, die Zahlungen über WebMoney akzeptieren, funktionieren nur mit IE, weil sie ActiveX verwenden. Und obwohl Plug-Ins für alternative Browser wie Opera und Fox veröffentlicht werden, funktionieren sie irgendwie und in Wirklichkeit müssen Sie IE verwenden, dessen Anzahl an Löchern dem Guinness-Buch der Rekorde verdient. Das heißt, die Ersteller von WebMoney selbst podsazhivayut uns auf einem löchrigen Browser, und immer noch vorsichtig zu empfehlen - vergessen Sie nicht, rechtzeitig zu aktualisieren, sagen sie. Vielleicht sollte ich auch Sex ändern? Also, das Problem ist nicht mit Benutzern. Das Problem in den Gehirnen des Entwicklers (oder vielmehr in ihrer völligen Abwesenheit). Das Problem ist das Konzept des gesamten Systems. Das Problem ist die grundsätzliche Verwundbarkeit des Protokolls für Geldtransfer und die Verwundbarkeit von Keeper. Heck, wie viele Jahre gibt es bereits Algorithmen zur Erzeugung von "einmaligen" Schlüsseln, bei denen einfach nichts zu stehlen ist und nichts zu stehlen ist. Aber warum weiß ich über sie - ziemlich weit von Kryptographie und Finanzbetrug myshh - aber kennen die Entwickler des Zahlungssystems nicht? Ponaprimanali es ist nicht klar, wer ...

Keeper Licht oder der Kampf gegen Zertifikate

Die Unsicherheit des klassischen Bewahrers ist eine häufige Tatsache, aber Light gilt weiterhin als ziemlich sicher: " In Keeper Classic können Sie die Datei mit den Schlüsseln in Teilen ziehen, E-Mails können gehackt werden usw. Die auf dem Wechselmedium gespeicherten Schlüssel können auf die Festplatte im in dem Moment, in dem eine Diskette oder eine CD eingelegt wird. Es ist theoretisch möglich, zum Geld zu kommen, obwohl es mit allen Vorkehrungen extrem schwierig ist, aber Licht mit einem nicht exportierten Zertifikat gibt eine 100% ige Sicherheitsgarantie. "( http://owebmoney.ru/ cafe / index.php? showtopic = 108 ).

Es klingt verlockend, aber wie funktioniert das in der Praxis? Lass uns versuchen zu verstehen. Beginnen wir mit der Frage - wie funktioniert Keeper Light? Sehr einfach. Der geheime Schlüssel wird jetzt nicht in der * .kwm-Datei, sondern in einem speziellen Zertifikat gespeichert, und die gesamte Verwaltung durchläuft die Webschnittstelle unter Verwendung spezieller kryptografischer Protokolle.

Wo speichert der Browser Zertifikate? Abhängig vom Browser selbst. Zum Beispiel Mozilla - im Verzeichnis "./mozilla/defaul/<blahblahblah>/cert8.db", aber IE, das unter Windows XP Professional läuft, verwendet ein ziemlich gehäuftes System. Zertifikate mit öffentlichen Schlüsseln werden in einem persönlichen Speicher gespeichert, der sich im Verzeichnis Dokumente-n-Einstellungen \ <Benutzername> \ Anwendungsdaten \ Microsoft \ SystemCertificates \ My \ Certificates befindet und für alle Benutzer kostenlos ist. . Benutzerzertifikate befinden sich in seinem Profil. Private Schlüssel werden im Verzeichnis Dokumente-n-Einstellungen \ <Benutzername> \ Anwendungsdaten \ Microsoft \ Crypto \ RSA gespeichert. Alle Dateien, die sich hier befinden, werden automatisch mit einem zufälligen symmetrischen Schlüssel verschlüsselt. Der Hauptschlüssel des Benutzers ist 64 Zeichen lang. Der Hauptschlüssel wird mithilfe des Triple-DES-Algorithmus basierend auf dem Benutzerpasswort generiert, mit dem es angemeldet ist.

Was bedeutet all diese theoretischen Leibwächter in der Praxis? Und die Tatsache, dass Sie kein Zertifikat mit einem privaten Schlüssel von Windows XP stehlen können! Das heißt, es wird möglich sein, etwas zu stehlen, aber es wird keinen Nutzen haben, da es einfach nicht auf dem Computer eines anderen Computers funktioniert! (Auf dass er und das geschlossene Zertifikat!). Es kann zwar ohne besondere Berechtigungen exportiert werden. Geben Sie das Zertifizierungs-Manager-Programm aus, wenn Sie nicht wissen, wie. Tatsächlich verwendet Keeper Light das exportierte Zertifikat, das in Dateien mit der Erweiterung .pfx gespeichert wird, um Zertifikate vom Computer auf den Computer zu übertragen. Sie sind sowohl auf externen Medien als auch auf Festplatten zu finden. Hier ist nur ein "aber". Das exportierte Zertifikat wird mit einem vom Benutzer zugewiesenen Passwort geschlossen und in Ihr System importiert. Sie müssen entweder einen Keylogger auslösen oder versuchen, das Passwort durch Brute Force zu öffnen. Aber der erste ist zu auffällig, der zweite ist lang, so dass der Diebstahl von Zertifikaten nicht weit verbreitet ist.

Fordern Sie beim Importieren eines Zertifikats ein Passwort an

Abbildung 8. Anfordern eines Passworts beim Importieren des Zertifikats.

Bedeutet dies, dass Keeper Light geschützt ist? Nein und noch einmal nein! Wenn Keeper Classic zumindest theoretisch geschützt werden kann (installieren Sie einen Treiber, der eine direkte Tastatureingabe bereitstellt, Emulatoren schneidet und die Integrität des Keeper überwacht), arbeitet Keeper Light über einen Browser, dessen "Integrität" prinzipiell nicht kontrolliert werden kann!

Das erste, was mir in den Sinn kommt, ist die bereits erwähnte Emulation. Wir sagen "Start https://light.webmoney.ru" und verstecken das Browserfenster auf die eine oder andere Weise (es reicht aus, um den Griff zu bekommen und Sie können darüber zeichnen, was schrecklich ist) und die Tastenkombination zum Nachfüllen der elektronischen Geldbörse emulieren. Handelt ironisch und unausweichlich. Der einzige Nachteil - jeder Typ (und möglicherweise die Version) des Browsers erfordert seinen Ansatz, aber Sie können sich nur auf den IE 5/6 als den populärsten konzentrieren.

Der Rest der Browser ist noch einfacher. Wir nehmen die Quelle des Fuchses und erstellen einen Hacker-Mini-Browser, der auf dem Bildschirm nichts anzeigt, aber nur mit Brieftaschen funktioniert. Es stimmt, unter Fans von WebMoney sind Fox-Fans nicht so viele, aber es ist immer noch besser als gar nichts. Übrigens, die Anhänger des IE fühlen sich nicht sicher. Die ursprünglichen W2K-Texte wurden vor langer Zeit gestohlen, und es ist durchaus möglich, einen eigenen IE-Klon zu erstellen, ganz zu schweigen davon, dass IE nur ein Satz von DCOM-Objekten ist und sogar ein Anfänger einen Browser auf der Basis erstellen kann.

Keeper Light

Abbildung 9. Keeper Light ist einfach eine WEB-Schnittstelle, mit der Sie mit Ihrem Geldbeutel über jeden Browser arbeiten können.

Und was ist, wenn Sie das Zertifikat vor jedem Öffnen der Brieftasche importieren und es dann aus dem Repository löschen? In der Tat wird dies die Sicherheit in gewissem Umfang erhöhen. Das Hacker-Programm kann jedoch entweder darauf warten, dass das Fenster "WebMoney Keeper :: Light Edition" angezeigt wird, dass der Benutzer eingeloggt ist, oder die Schlüssel ausspioniert und ein geheimes Passwort zusammen mit dem Zertifikat über das Netzwerk übermittelt. Also, elektronisches Geld ist immer noch in einer heiklen Situation!

Autorisierung per Handy - zuverlässig?

Das neueste Quietschen der Mode war das Autorisierungssystem mit Hilfe eines Mobiltelefons. Bei der Registrierung beim ENUM-Dienst ( http://enum.ru/ ) ist eine spezielle Java-Anwendung (auch MIDlet genannt), die sich selbst als Enum Client bezeichnet, auf dem Mobiltelefon installiert. Es benötigt fünfstellige Nummern (z. B. 09652) und generiert basierend darauf eine Antwort. Der Generierungsalgorithmus ist für jeden Benutzer eindeutig. Wenn kein Mobiltelefon vorhanden ist, ist Pocket PC oder ein anderes Gerät mit Java-Unterstützung (z. B. ein Desktop-PC) sinnvoll.

Funktionsablauf beim Aktivieren einer Zahlung über ein Mobiltelefon oder PDA

Abbildung 10. Ablauf der Operationen, wenn die Zahlung über ein Mobiltelefon oder PDA aktiviert wird.

Mit dem ENUM-Service können Sie über den Merchant-Service ( https://merchant.webmoney.ru/ ) Einkäufe tätigen, ohne auf Keeper zu verzichten - weder auf klassische noch auf geklonte. Es wird angenommen, dass es nicht möglich ist, eine elektronische Geldbörse zu knacken und Bargeld zu stehlen. " Betrüger und Virenschreiber nutzen das Internet, um wertvolle Informationen von unseren Computern zu stehlen. Aber welchen Schutz auch immer wir haben - Firewalls, Antiviren, die theoretische Wahrscheinlichkeit, dass Kennwörter (oder die Schlüssel des Schlüssels zum Beispiel) von dem Computer umgangen und gestohlen werden, weil sowohl Hacker als auch Defensiv-Werkzeuge EINEN GLEICHEN Kanal benutzen - das Internet und das Problem mit dem Internet ist, dass es keinen anderen alternativen das ENUM löst dieses Problem, es liefert uns diesen anderen Kanal. Der Hacker kann auf Ihren Computer zugreifen, den Trojaner "anstecken", aber er kann nicht in Ihr Mobiltelefon passen. welcher eindeutige Algorithmus für jeden Benutzer Enum Client von einer Nummer bekommt auch ein anderer, kann nicht sein "( http://owebmoney.ru/enum.shtml ).

Das ENUM System Logo

Abbildung 11. ENUM-System-Logo.

Händlerdienst

Abbildung 12. Händlerdienst.

Ist das wahr? Wie das Sprichwort sagt, "wenn Sie nicht können, aber wirklich wollen, können Sie es immer noch tun." Ein zusätzlicher "Kommunikationskanal" erhöht in der Tat die Sicherheit mehrmals, aber es ist verfrüht, über die prinzipielle Unmöglichkeit des Hackens zu sprechen. Zunächst ist der Algorithmus zum Generieren von Zahlen für alle Benutzer immer noch derselbe (zerlegen Sie das MIDlet, wenn Sie es nicht glauben), ist nur der Generierungsschlüssel unterschiedlich und es kann ausgewählt werden. Es reicht aus, eine einzige Antwort für diese Kombination von Zahlen abzufangen. Wiederherstellung des Schlüssels dauert nicht lange und das Trojaner-Programm ist durchaus in der Lage. Ich hoffe, Sie müssen nicht erklären, wie eine Kombination von Zahlen aus dem Bearbeitungsfeld zu lesen ist.

Darüber hinaus enthalten Handys ein paar Löcher. IR-Protokolle und Blue Tooth schwärmen buchstäblich mit ihnen. Das Magazin "The Hacker" hat darüber immer wieder geschrieben. Wenn das Opfer ein Handy oder PDA hat, dann hat sie vielleicht einen blauen Zahn oder einen IR-Adapter, der sie ständig anhält. Ein Angreifer kann beliebige AT-Befehle an das Telefon senden, Midlets ausführen oder deren Inhalt lesen. Und was?! Sie können einen Virus stecken und schreiben, der elektronische Geldbeutel stiehlt und sie durch ein Handy schickt! Alle Firewalls umgehen! Hier ist ein weiterer Kanal für dich!

Dies alles ist jedoch ein Nimmersatt des alten myshkhastny Hacker. Die Stimmung ist einfach schlecht. Es regnet, und nur Sirenia rettet vor Depressionen (eine sehr mächtige Gothic-Band aus dem fernen Norwegen - ich empfehle). Wenn Sie nüchtern die Wahrheit in Ihren Augen sehen (in solchen roten myshh'inye Augen - klein, wie Perlen), müssen Sie zugeben, dass das Hacken von ENUM sehr schwierig ist, so dass es eine Bedeutung darin hat. Dies bedeutet jedoch nicht, dass Sie eine elektronische Geldbörse starten und 100.000 Dollar sicher einzahlen können. Dann hack auf jeden Fall!

Zahlung aktivierenZahlung aktivierenZahlung aktivieren

Abbildung 13. Aktivierung der Zahlung per Mobiltelefon über das ENUM-System.

Wie man Austauscher bricht

Das Hacken der Austauscher ist nicht in unseren Plänen enthalten (nicht jeder besitzt seinen eigenen Wärmetauscher, und es ist illegal, andere zu brechen), also lassen Sie uns nur die Hauptpunkte notieren. Von einem Hacker-Standpunkt aus stellt der Tauscher eine Site dar, die normalerweise von PHP verwaltet wird und unter Linux / BSD / NT läuft.

Hier durch Fehler in PHP-Skripten sind sie oft kaputt. Auch einige Web-Programmierer verlassen die Hintertür, wenn sie plötzlich essen wollen, und es gibt nichts zu essen. Brechen Sie selten die Achse. Die größte Anzahl von Löchern ist natürlich NT und alle seine Derivate (einschließlich des gelobten Windows 2003 Servers). Linux und BSD sind ein bisschen schwieriger zu brechen, aber ... wenn Sie einen Sicherheitsscanner (zB X-Spider) nehmen, können Sie feststellen, dass viele von ihnen ungeschickt SendMail oder verrostet Apache sind. Pufferüberlauf, Senden von Shell-Code und Server in unseren Händen!

Hacker Arbeitsplatz

Abbildung 14. Der Arbeitsplatz des Hackers.

Fazit

Hacking WebMoney ist kein Mythos, sondern eine harte Realität, und Sie können nicht zu 100% sicher sein, selbst wenn Sie ein Sicherheitsexperte sind. Es besteht immer die Gefahr, dass ein Virus durch ein unbekanntes Loch in dem Betriebssystem oder Browser gefangen wird und wenn aus dem Verlust von Betriebsdaten auf der Festplatte die Reservierung wiederhergestellt wird, von der Offenlegung vertraulicher Daten - der physischen Trennung des Intranets vom Netzwerk, dann raubt der Diebstahl von elektronischem Geld nichts!

Sireina

Abbildung 15. Sireina - Gotische Hacker-Musik, die sausbas myshh'a.