This page has been robot translated, sorry for typos if any. Original content here.

Hacking und Schutz WebMoney

Trotz aller Zusicherungen der Entwickler ist das WebMoney-System katastrophal unzuverlässig und wird buchstäblich mit einem Fingernagel geöffnet. Es gibt viele Würmer, Trojaner und Hackergruppen, die sich auf den Diebstahl elektronischer Geldbörsen spezialisiert haben, deren Diebstähle weit verbreitet sind. Möchten Sie wissen, wie Sie dies tun und wie Sie sich schützen können?

Einführung

Beginnen wir mit dem, was nicht sein kann. Es gibt keine "WebMoney-Generatoren", die grundsätzlich nicht existieren können. Das gesamte Bargeld wird auf dem zentralen Server des Betreibers gespeichert, und elektronische Geldbörsen sind nur ein Mittel, um darauf zuzugreifen. Grob gesagt, aufgrund der Tatsache, dass Sie eine Kombination von Zahlen für ein Zahlenschloss generieren, werden Geld und Schmuck noch nicht im Safe angezeigt. Und obwohl es möglich ist, einen Code für den Safe eines anderen zu wählen, ist die Wahrscheinlichkeit, ihn ohne die Hilfe des Besitzers zu öffnen (Husaren! Wir erinnern uns an den Lötkolben, aber wir schweigen), so gering, dass wir nicht einmal darüber sprechen sollten!

Aber die Kombination eines anderen zu stehlen ist ziemlich real! Dies ist, was die "WebMoney-Generatoren" tun. Sie erstellen entweder ein Duplikat aus der elektronischen Brieftasche und übertragen es an den Angreifer, oder sie rufen Keeper heimlich an und überweisen es auf ihr Konto. Ebenso funktionieren Viren und Trojaner. Gezielte Angriffe auf ein bestimmtes Opfer werden ebenfalls vermerkt. Kannst du dich vor ihnen schützen? Das von Nichtfachleuten entwickelte WebMoney-System wurde ursprünglich ohne Rücksicht auf die Sicherheit entwickelt, und obwohl kürzlich eine ganze Reihe von Maßnahmen zur Brandbekämpfung hinzugefügt wurden, bleibt die Situation nachträglich kritisch. Benutzer sind verwirrt über Sicherheitssysteme, der Support-Service gibt eher vage und vage Empfehlungen (Windows aktualisieren, Firewall konfigurieren usw.), und in der Zwischenzeit werden E-Wallet-Diebstähle fortgesetzt.

Wir haben es uns nicht zur Aufgabe gemacht, jemandem das Stehlen beizubringen, wir wollen nur zeigen und beweisen (!), Dass das WebMoney-System wirklich sehr unzuverlässig ist und nicht einmal vom Arsch entworfen wurde (das Rückenmark grenzt trotzdem daran), aber im Allgemeinen ist nicht bekannt, was . Es wird keine vagen Worte geben (damit wir nicht der Verleumdung beschuldigt werden), aber es wird keine konkreten Empfehlungen geben. Wir geben keine vorgefertigten Angriffsprogramme und sagen nicht, welche Bytes Sie hacken müssen, aber glauben Sie mir - alle notwendigen Hacker-Tools können in einer Nacht von Grund auf neu erstellt werden - heilige Zeit für Hacker!

Aber das Wichtigste zuerst. Lassen Sie uns nicht vorwärts eilen und die Laserscheibe in das Laufwerk einlegen, zumal wir letztere noch benötigen.

Sie tauchen aus der Dunkelheit auf, ziehen alles elektronische Geld ab und gehen nirgendwo hin.

Abbildung 1. Sie erscheinen aus der Dunkelheit, ziehen alles elektronische Geld ab und gehen nirgendwo hin.

WAS IST MÖGLICH UND WAS IST UNMÖGLICH (HAFTUNGSAUSSCHLUSS)

Sie können (zu Bildungszwecken) nur mit Ihrer eigenen elektronischen Geldbörse oder mit den Geldbörsen von Personen experimentieren, die eine schriftliche Genehmigung erteilt haben. Unerlaubte Eingriffe in Systeme und Geldbörsen anderer Personen sind strengstens inakzeptabel !

Sie fangen diejenigen, die aus der Dunkelheit erscheinen, und führen in eine Welt, in der es keine Rückkehr gibt

Abbildung 2. Sie fangen diejenigen, die aus der Dunkelheit erscheinen, und führen in die Welt, von der es keine Rückkehr gibt.

Beginn der Anfänge oder klassischer Missionar

Das WebMoney-System ist eine Art Analogon zu normalen Bankschecks. Um Zahlungen zu tätigen, müssen wir uns zunächst auf dem zentralen Server des Betreibers registrieren und ein Konto eröffnen, was bereits ein großer Nachteil ist.

Wir gehen zu www.webmoney.ru , laden das Keeper Classic-Programm herunter, starten es (ich konnte übrigens immer noch nicht über den Proxyserver arbeiten, ich musste NAT erhöhen und den 2802-Port zuordnen), geben die Registrierungsdaten ein (von Laterne oder ehrlich), wir erfinden jedes Passwort nach unseren Wünschen. Danach generiert das Programm einen geheimen Schlüssel und fordert uns auf, die Maus zu zucken und die Tasten zu drücken. Dies ist notwendig, um wirklich zufällige Daten zu erhalten, als ob der Pseudozufalls-Timer-basierte Generator hier nicht geeignet wäre. Inmitten der allgemeinen Unsicherheit des Systems ist es einfach dumm, mit den Worten RSA, RC5, MD4, MD5, SSL zur Schau zu stellen. Die psychologische Berechnung der Entwickler ist mir jedoch durchaus verständlich. Wenn der geheime Schlüssel in Sekundenbruchteilen generiert wird - welcher Benutzer wird daran glauben?

Sie erscheint nicht von irgendwoher, fängt niemanden, sondern sitzt und lötet einfach

Abbildung 3. Sie erscheint nicht von irgendwoher, fängt niemanden, sondern sitzt und lötet einfach.

Wie auch immer, nach Abschluss der Registrierung wird uns eine eindeutige 12-stellige Kennung WMID (Web Money ID) zugewiesen und ein Schlüsselpaar generiert. Der öffentliche Schlüssel wird an den zentralen Server des WebMoney-Betreibers übertragen, und der geheime Schlüssel wird in einer Datei mit der Erweiterung * .kwm (Key of Web Money) gespeichert, die sich auf der Festplatte, dem Wechselmedium oder der Smartcard befindet. Kurz gesagt, gewöhnliche asymmetrische Kryptographie wie PGP.

Außerdem wird eine * .pwm-Datei erstellt, in der Informationen zu unseren Brieftaschen (aktueller Kontostand, Transaktionsverlauf usw.) gespeichert sind. Im Prinzip ist dies optional, da sich alle Informationen auf dem zentralen Server des Betreibers befinden. Keeper kann ohne * .pwm-Datei arbeiten und automatisch Daten aus dem Netzwerk laden, allerdings nur in den letzten drei Tagen. Tatsächlich ist eine * .kwm-Datei auch optional und kann wiederhergestellt werden. Dazu müssen Sie das Passwort kennen, Zugriff auf das bei der Registrierung angegebene Postfach sowie eine notariell beglaubigte Erklärung haben, die Sie nicht erstellt haben (mehr dazu finden Sie hier: http://www.owebmoney.ru/returnkey.shtml ). Rein theoretisch kann ein Hacker unser Geld nur auf der Grundlage eines Passworts hacken, aber in der Praxis ist dies zu mühsam und unsicher.

Die geheimen Informationen für den Zugriff auf die Brieftasche sind nur ein Kwm-Schlüssel. WMID wird überall offen veröffentlicht und das ist normal. Wenn Sie die WMID kennen, können Sie die Registrierungsdaten des Benutzers herausfinden, den er als "offen" markiert hat, aber Sie können die Nummer seiner Brieftasche (n) nicht bestimmen.

Brieftaschennummer - dies ist eine geheime Information. Wenn wir die Brieftaschennummer kennen, können wir kein Geld daraus erhalten, aber wir können eine Rechnung erstellen, indem wir das Feld "Kaufbeschreibung" so plausibel wie möglich ausfüllen. Die Methode ist natürlich dumm, aber es besteht die Möglichkeit, dass sie erfolgreich ist. Benutzer, die regelmäßig eine große Anzahl kleiner Rechnungen bezahlen, gewöhnen sich allmählich daran, sie nicht zu beachten und die Spalte "von wem" nur im Zweifelsfall zu überprüfen. Natürlich gibt es bei dieser Methode des Hackens kein Summen, außerdem kann ein Angreifer sehr gut darin sein, sich zu verbrennen und zur Gesellschaft von Onkeln zu gehen, die ihm den Arsch reißen, so dass er nie eine merkliche Popularität gefunden hat.

Wir setzen das Opfer einem linken, aber plausiblen Konto aus

Abbildung 4. Wir setzen das Opfer links, aber plausibel aus - was ist, wenn er bezahlt?

Aber der Diebstahl von Kwm-Dateien boomt. Standardmäßig werden die Schlüssel in keys.kwm gespeichert, aber im Prinzip kann der Dateiname beliebig sein, ebenso wie die Erweiterung. Die meisten Hacker und Trojaner führen eine dumme Suche mit der * .kwm-Maske durch, sodass das Umbenennen der Schlüsseldatei in dontreadme.txt unsere Sicherheit in gewissem Maße erhöht. Fortgeschrittene Hacker können jedoch in die Registrierung gelangen, in der Keeper ihre Einstellungen speichert und den Dateipfad ausspioniert. Sie können auch nach dem Inhalt suchen und alle Dateien scannen (obwohl dies viel Zeit in Anspruch nimmt und verdächtige Festplattenaktivitäten verursacht). Feinschmecker werden wahrscheinlich den CreateFile-API-Aufruf abfangen, der anzeigt, welche Dateien Keeper öffnet. Und selbst wenn das Format der Registrierungseinstellungen in zukünftigen Versionen geändert wird, funktioniert die Option "CreateFile" weiterhin (Hinweis: Wenn die Entwickler keine Idioten wären, würden sie beim Zugriff über ein Signal mehrere Dateien mit Schlüsseln erstellen - einen echten, alle anderen - Watchdog-Sensoren Angst).

Verstecken Sie die Kwm-Datei vor Hackern

Abbildung 5. Verstecken Sie die Kwm-Datei vor Hackern.

Standardmäßig beträgt die Größe der Schlüsseldatei 1,2 MB (genau auf einer Diskette). Sie können sie jedoch auf Wunsch auf 100 MB erhöhen. Dies macht es schwierig, einen Schlüssel bei der Übertragung über das Internet zu stehlen, und verursacht im Allgemeinen keine unüberwindlichen Unannehmlichkeiten. 100 MB sind eine halbe Mini-CD-R, eine Zip-100M oder zwei CD-Rs im Visitenkartenformat. Natürlich wird die Systemleistung bis zu einem gewissen Grad sinken (Sie werden die große Datei nicht sofort lesen), aber die Sicherheit ist es wert. Oder nicht wert? Das Löschen von 100 MB in einem lokalen Netzwerk ist kein Problem, auch nicht in einem DSL-Modem oder Kabel-Internet. Und selbst das nach heutigen Maßstäben beschämende Modem mit 33600 wird diese Datei in ~ 70 Stunden übertragen. Nicht so sehr, wenn Sie sich daran erinnern, dass fast keiner der Benutzer die Schlüssel jeden Tag neu generiert. Nachdem Sie die Datei in kleine Stücke geschnitten haben, die im Hintergrund übertragen wurden, ist es durchaus möglich, sie in zwei oder drei Wochen herauszuziehen, obwohl dies der dümmste und vielversprechendste Weg ist.

Wenn ein Hacker ein fremdes System infiltriert hat (und Sie können es auf verschiedene Arten infiltrieren), kostet es nichts, eine Datei in den Speicher zu laden, eine Brieftasche zu öffnen, Geld auf Ihr Konto zu überweisen und eine Festplatte zum Absturz zu bringen, damit das Opfer nicht ins Internet gelangen und sich beschweren kann, wer sollte . Übrigens auf das Konto "beschweren". Es gibt nicht so viele Optionen und es gibt keine Hilfe, wo Sie warten müssen. Nun, vielleicht vom Herrn Gott (wenn du ein echter Gott bist, gib mein Geld zurück, du Scheißkerl) ja zu den Brüdern. Wenn wir immer noch Zugriff auf WMID haben (was für ein dummer Hacker ich habe!), Können Sie die WMID bestimmen, an die das Geld überwiesen wurde, auf die Website des Arbitration Service ( http://arbitrage.webmoney.ru/ ) gehen, die Schiedsgebühr bezahlen (und Dazu benötigen Sie WebMoney (das wir von einem Angreifer aufgeräumt haben) und die Hacker-Brieftasche blockieren. Nur wenn der Hacker innerhalb weniger Minuten kein Geld gesendet hat, wird er auf E-Gold übertragen oder auf andere Weise aus dem System entfernt, sodass es nicht in seiner Brieftasche ist und nichts Besonderes zu blockieren ist. Geldbörsen mit einem anfänglichen oder persönlichen Zertifikat werden übrigens nur durch Entscheidung des Schiedsgerichts blockiert, das heißt, es reicht aus, ein Zertifikat zu nehmen und ... Sagen Sie nur nicht, dass Zertifikatsinhaber nicht an Diebstahl beteiligt sind, da sie ihre Passdaten angeben. Agashchazblin! Taki deine? Jeder, der nicht faul ist, stellt jetzt Zertifikate aus und hofft, dass sie alle ehrliche, gewissenhafte und unbestechliche Menschen sind, nur naiv, besonders wenn es um Geld geht, sogar elektronisch. Eine Person, die beabsichtigt, 100.000 US-Dollar zu stehlen (und warum nicht), erhält ohne Probleme nicht nur ein Feigenzertifikat, sondern auch einen gefälschten Reisepass. Nun, und wen sollte man dann auf diesem Zertifikat suchen ?! Selbst wenn die Beamten des Innenministeriums im Stream Pässe gefälscht haben, über die das Fernsehen wiederholt gesprochen hat (und dies ist bereits ein Verbrechen), was können wir über "Zertifikate" sagen, die im Allgemeinen keinen rechtlichen Status haben ?!

Die Situation mit der Überweisung von gestohlenem Geld durch mehrere Geldbörsen wurde jedoch von den Entwicklern berücksichtigt, und sie arbeiteten sorgfältig über ... Eindringlinge aus! Überzeugen Sie sich selbst. Nach Einreichung des oben genannten Anspruchs sollte sich das Opfer an den Administrator des Schiedsgerichtsdienstes (WMID 937717494180 ,bitrage@webmoney.ru) wenden und ihn bitten, die gesamte Kette zu verfolgen. Der ganze "Reiz" ist, dass der Administrator nur von Montag bis Freitag von 10 bis 18 Stunden in Moskau arbeitet. Wir sind angeblich kein Rettungsdienst und wollen auch schlafen. Sehr gutes Zahlungssystem, sage ich dir !!! Trotz der Tatsache, dass das Abheben von Geld aus dem System fast sofort erfolgt und das Konto minutenlang läuft, möchte der Administrator, wie Sie sehen, kaufen. Ich verstehe nicht, ist es ein Studentenheim oder ein Zahlungssystem ?! Was war es bei einem millionsten Umsatz wert (der in der Werbung immer wieder erwähnt wird), mehrere Personen für die Unterstützung rund um die Uhr einzustellen?! Immerhin geht es in diesem Fall um Geld! Natürlich ist es für Hacker am sichersten, Diebstähle entweder um Mitternacht oder am Wochenende zu begehen. Aber das ist okay, lassen wir leere Worte und lernen Keeper besser kennen.

Keeper innen und außen

Hier bewundern einige, wie der Entwickler es geschafft hat, so viel in das Keeper-Volumen zu drücken (" Ich weiß nichts über Sie, aber ich verneige mich aufrichtig vor denen, die es geschafft haben, eine so" leckere "Füllung in 2 Megabyte der Keeper Classic-Distribution zu stecken und sie sogar wunderschön zu verpacken Dies ist außerhalb der Fall ", http://www.owebmoney.ru/clashistory.shtml ). Und was haben sie tatsächlich hineingesteckt? Natürlich in unserer Zeit, als "Hallo Welt!" greift kaum auf die Laserscheibe ein, Programme, die "nur" ein paar Megabyte belegen, respektieren schon ...

Das Hauptvolumen (~ 2,2 MB) wird von WMClient.dll belegt, was eigentlich Keeper selbst ist. Dies ist ein in Microsoft Visual .NET geschriebenes DCOM-Objekt mit Kompilierung in Maschinencode, das in keiner Weise gepackt ist und, wie ich wiederhole, meine Analyse nicht beeinträchtigt. Es gibt keinen verschlüsselten, keinen P-Code, keine Anti-Debugging-Techniken, keine Gegenwirkung gegen den Disassembler, Dumper, API-Spion. Nichts! Take-and-Analyse! In jedem Fall verhält sich Version 2.4.0.3 (die neueste zum Zeitpunkt dieses Schreibens) einfach so. Wenn die Entwickler noch ein bisschen schlauer wären, würden sie entweder Microsoft Visual C ++ 6 (die berühmte „Sechs“) plus einen hochwertigen Protektor (zum Beispiel ExeCryptor) verwenden oder die NET-Anwendung in P-Code kompilieren, was viel schwieriger zu zerlegen ist.

WebMoney.exe (~ 180 KB) ist nur ein Launcher und es ist nichts Interessantes daran, dennoch lohnt es sich, es zu zerlegen. Zumindest dann, um die Entwickler auszulachen und ihre Qualifikationen zu bewerten.

Keeper Classic im Disassembler

Abbildung 6. Keeper Classic im Disassembler.

Wir gehen daher davon aus, dass Hacker-Code, der mit Benutzerrechten ausgeführt wird, auf dem Computer installiert ist, auf dem Keeper installiert ist (wir sind uns einig, dass wir keine Administratorrechte erhalten haben, und obwohl wir unsere Privilegien vom Benutzer auf das System in W2K / XP im Allgemeinen erhöhen). Kein Problem, ganz zu schweigen von 9x, wo es keine Trennung der Privilegien gab, werden wir unter spartanischen Bedingungen handeln, kurz vor dem Kampf. Was können wir tun? Wir haben zwei Möglichkeiten. Zerlegen Sie Keeper vorab, stellen Sie das Kommunikationsprotokoll mit dem Server wieder her, warten Sie, bis das Medium eingelegt ist, auf dem der geheime Schlüssel liegt, und ... und fantasieren Sie sich dann. Persönlich stöbere ich in Keeper's Faulheit herum. Das Zerlegen ist eine mühsame Aufgabe und es kann mehr als eine Woche dauern, bis das Austauschprotokoll wiederhergestellt ist. Die Verwendung von Schnüfflern verkürzt diesen Zeitraum erheblich, ist aber immer noch "kaputt". Es ist viel einfacher und effizienter, Geld mit den Händen von Keeper selbst zu stehlen. Wir installieren einen Spion, der Tastatureingaben abfängt, auf die Eingabe der WMID wartet oder sie auf andere Weise ermittelt, da die WMID für niemanden ein Geheimnis ist (die erste Methode wird hauptsächlich von Viren verwendet, die zweite ist für gezielte Angriffe geeignet), und dann in einem „guten“ Moment ( Schalten Sie nach 18 Stunden oder an einem freien Tag die Bildschirmausgabe aus, führen Sie WebMoney.exe aus und emulieren Sie durch Emulieren von Tastatur- und Mauseingaben alles, was wir wollten. Zum Beispiel füllen wir die Brieftasche des Opfers auf. Warum nicht ?! Wir brechen unsere eigene Brieftasche, oder? Hier füllen wir es auf! Wir sind keine Gangster, sondern ehrliche Hacker!

Die Technik der Eingabeemulation wird ausführlich in Notes of Mysh beschrieben, dessen elektronische Version kostenlos von meinem Maus-FTP-Server ftp://nezumi.org.ru/ gekaut werden kann (ich erinnere Sie nur daran, dass sie nicht immer verfügbar ist) Darüber hinaus wurde in Hackers 67-Ausgabe ein Artikel "Breaking WebMoney" veröffentlicht, der all dies beschreibt. Wir werden also nicht hundertmal Demagogie züchten und Gummi kauen. Wir stellen nur den allgemeinen Mechanismus fest. Zuerst finden wir das Keeper-Fenster, indem wir die FindWindow- oder EnumWindows-Funktion aufrufen und deren Handle definieren. Anschließend listen wir mit EnumWindows die untergeordneten Fenster auf, die zu den Steuerelementen gehören (Schaltflächen, Bearbeitungszeilen usw.). Durch das Senden einer Vielzahl von Nachrichten an Kontrollnachrichten (dies kann mithilfe der SendMessage-Funktion erfolgen) können wir diese problemlos steuern. Das Deaktivieren der Ausgabe auf dem Bildschirm erfolgt entweder durch Abfangen von GDI-Diensten (es ist schwierig zu implementieren, funktioniert aber mit einem Knall) oder durch Platzieren eines ablenkenden Fensters über Keeper, beispielsweise eines Browserfensters mit einem pornografischen Bild. Ja, Sie können sich viele Dinge einfallen lassen!

Das Problem ist, dass die langweilige Emulation ab einiger Zeit nicht mehr funktioniert. Keeper erwarb die sogenannten "Flugnummern". Wie diejenigen, die verwendet werden, um die automatische Registrierung auf vielen Websites zu verhindern. Bevor Sie eine Zahlung vornehmen, müssen Sie drei Grafiknummern eingeben, die zufällig auf dem Bildschirm angezeigt werden. Die Idee ist natürlich interessant, aber sie ist offensichtlich fehl am Platz entlehnt. Harte Kindheit, schlechte Ausbildung, tiefer Kater. Und der Kopf ist Bo-Bo. Der Kopf hat jedoch nichts damit zu tun. Trotzdem hat sie niemanden zum Nachdenken. Die Sicherheitstechniken der Entwickler wurden eindeutig nicht vermittelt. Sketchy Wissen im Stil von "hier vollgestopft, und dann tanzte das Mädchen, und dann bewegten sie mich mit einem Ziegelstein" und der Stange von allen Seiten.

Verteidigung des Bewahrers

Abbildung 7. Schutz des Bewahrers mit Flugnummern

Warum wirken fliegende Zahlen auf Webservern (wo sie zuerst erschienen sind)? Ja, und nur, weil zum einen der Sicherheitscode außerhalb der Reichweite des Hackers liegt und zum anderen der Schutz ausschließlich für Roboter, nicht aber für Menschen bestimmt ist. Um mail.ru vor Spammern und Vandalen zu schützen, ist eine solche Maßnahme mehr als genug, aber nicht für Keeper! Erstens werden in den aktuellen Versionen von Keeper Flugnummern leicht von der verzeihenden OCR erkannt, die bis zu hundert Kilobyte groß sein kann (wenn vorgefertigte Bibliotheken verwendet werden), und zweitens muss der Hacker-Code kein Stück des Bildschirms erfassen und an den diensthabenden Hacker senden, um dies zu tun dass man sie unabhängig erkennt, drittens wird dieser Schutz durch einen kleinen Hack deaktiviert, d.h. Durch die Bearbeitung des Maschinencodes von Keeper können viertens Flugnummern durch die Registrierung ausgeschnitten werden (wenn Sie versuchen, sie mit den eigenen Tools von Keeper zu deaktivieren, wird er um Bestätigung der Legitimität dieses Vorgangs bitten), fünftens, selbst wenn der Schutz verschärft wird. Hacker müssen das Austauschprotokoll entschlüsseln und dort ihre eigenen Clients ohne Ziffern erstellen, sechster ... Kurz gesagt, es gibt viele Hacking-Methoden, und dieser Schutz bietet keinen Nutzen, ganz zu schweigen von der Tatsache, dass viele Benutzer immer noch darauf sitzen ältere Versionen ohne Flugnummern oder deaktivieren Sie sie als unnötig.

Und hier ist eine weitere weit verbreitete Funktion - Bestätigung der Autorisierung per E-Mail. Für einen unerfahrenen Look sieht alles eisern aus - bevor Sie etwas mit unserem Konto tun können, müssen Sie den Code eingeben, der per E-Mail kommt. Wenn der Hacker die * .kwm-Datei bricht, bleibt er mit der Nase und wir mit Geld. Schließlich erhält er keinen Zugang zu unserer Mailbox. Die Logik ist Eisen, aber falsch. Das Aufteilen von Postfächern ist nicht so schwierig (bestimmte Hacking-Techniken sind in vielen Büchern und Artikeln enthalten, daher werde ich sie nicht wiederholen). Sobald der Hacker die * .kwm-Datei entfernt hat, entfernt er außerdem das Kennwort per E-Mail. Die Ausnahme ist vielleicht nur der Diebstahl von Smartcards und Wechselmedien mit Schlüsseln, aber ... ein solcher Diebstahl wird normalerweise entweder von nahen Personen durchgeführt, die auch E-Mails haben können, oder von Räubern, die physischen Zugriff auf Wechselmedien erhalten normalerweise in unmittelbarer Nähe eines Computers. Nun, was sollen sie auch das Passwort für die Box stehlen?

Okay, was ist mit dem Blockieren aller IP-Adressen außer Ihrer? In lokalen Netzwerken ist das Erfassen der Adresse eines anderen zunächst kein unüberwindbares Problem. Derjenige, der in der Regel auf DFÜ sitzt, erhält dynamische IP-Adressen, die aus dem allgemeinen Pool zugewiesen wurden. Um sie zu registrieren, werden Sie ein wenig krank und jeder Kunde desselben Anbieters wird ohne Probleme autorisiert. Aber es spielt keine Rolle. Kein Hacker muss die verdammte Brieftasche eines anderen behalten. Er wird das Geld einfach mit den Händen des Bewahrers abheben, der auf dem Computer des Opfers läuft, der wahrscheinlich die richtige IP hat und kein "Blockieren" ihn aufhalten wird!

Die von den Entwicklern vorgeschlagenen Schutzmaßnahmen können sehr lange aufgelistet werden. Fast alle konzentrieren sich auf den Diebstahl einer * .kwm-Datei mit ihrer anschließenden Übertragung über das Netzwerk. Aus irgendeinem Grund denken Entwickler, dass dies der einzige Weg ist, um zu hacken, obwohl dies weit davon entfernt ist. Sie empfehlen Ihnen außerdem, die Firewall korrekt zu "konfigurieren", um Informationslecks zu vermeiden, und das System regelmäßig zu patchen, damit weder Hacker noch Würmer eindringen. Nun, auf Kosten der Firewalls waren sie offensichtlich aufgeregt. Es reicht aus, die beliebte Website http://www.firewallleaktester.com/ aufzurufen , um sicherzustellen, dass es Angriffe gibt, die alle persönlichen Firewalls durchdringen. Ich habe darüber auch in Notes of a Computer Virus Researcher geschrieben, von denen Fragmente von ftp://nezumi.org.ru/ heruntergeladen werden können , und es gibt einen vorgefertigten Demo-Code.

Jetzt werden wir uns um die Updates kümmern. Viele Websites, die Zahlungen über WebMoney akzeptieren, funktionieren nur mit dem Internet Explorer, da sie ActiveX verwenden. Obwohl Plugins für alternative Browser wie Opera und Fox veröffentlicht wurden, funktionieren sie irgendwie und in Wirklichkeit muss man IE verwenden, die Anzahl der Löcher, in denen sich das Guinness-Buch der Rekorde lohnt. Das heißt, die Entwickler von WebMoney selbst haben uns in einen undichten Browser gestellt und gleichzeitig sorgfältig empfohlen - vergessen Sie nicht, rechtzeitig zu aktualisieren, sagen sie. Oder muss ich vielleicht auch den Boden wechseln ?! Das Problem liegt also nicht bei den Benutzern. Das Problem liegt im Gehirn des Entwicklers (genauer gesagt in dessen völliger Abwesenheit). Das Problem ist das Konzept des gesamten Systems. Das Problem ist die grundlegende Verwundbarkeit des Geldtransferprotokolls und die Unsicherheit des Bewahrers. Heck, wie viele Jahre gibt es Algorithmen zum Generieren von "einmaligen" Schlüsseln, in denen es einfach nichts zu stehlen und nichts gibt. Aber warum weiß ich über sie Bescheid - weit entfernt von Kryptographie und finanziellem Betrug der Maus - aber die Entwickler des Zahlungssystems wissen es nicht ?! Es war niemandem klar ...

Torwartlicht oder Zertifikatskampf

Die Unsicherheit von Classic Keeper ist eine allgemein anerkannte Tatsache, aber Light gilt immer noch als ziemlich sicher: „ In Keeper Classic kann die Schlüsseldatei in Teilen gezogen, E-Mails gehackt usw. werden. Die auf Wechselmedien gespeicherten Schlüssel können auf die Festplatte übertragen werden Sobald die Diskette oder CD eingelegt ist, ist es theoretisch möglich, an das Geld zu gelangen, obwohl es äußerst schwierig ist, die Vorsichtsmaßnahmen zu befolgen. Light mit einem nicht exportierten Zertifikat bietet jedoch eine 100% ige Sicherheitsgarantie "( http://owebmoney.ru/) cafe / index.php? showtopic = 108 ).

Es klingt verlockend, aber wie ist das in der Praxis? Versuchen wir es herauszufinden. Beginnen wir mit der Frage: Wie funktioniert Keeper Light noch? Sehr einfach. Der geheime Schlüssel wird jetzt nicht in der * .kwm-Datei, sondern in einem speziellen Zertifikat gespeichert, und die gesamte Steuerung erfolgt über die Webschnittstelle unter Verwendung spezieller kryptografischer Protokolle.

Wo speichert der Browser Zertifikate? Kommt auf den Browser an. Mozilla befindet sich beispielsweise im Verzeichnis "./mozilla/defaul/ <blahblahblah> /cert8.db", aber der IE unter Windows XP Professional verwendet ein ziemlich ausgeklügeltes System. Zertifikate mit öffentlichen Schlüsseln werden in einem persönlichen Repository im Verzeichnis Documents-n-Settings \ <Benutzername> \ Application-Data \ Microsoft \ SystemCertificates \ My \ Certificates gespeichert, das für alle kostenlos ist (dies sind öffentliche Informationen!). . Benutzerzertifikate befinden sich in seinem Profil. Private Schlüssel werden im Verzeichnis Documents-n-Settings \ <Benutzername> \ Application Data \ Microsoft \ Crypto \ RSA gespeichert. Alle hier befindlichen Dateien werden automatisch mit einem zufälligen symmetrischen Schlüssel verschlüsselt - dem Hauptschlüssel des Benutzers (dem Hauptschlüssel des Benutzers) mit einer Länge von 64 Zeichen. Der Primärschlüssel wird mithilfe des Triple DES-Algorithmus basierend auf dem Benutzerkennwort generiert, mit dem er in das System eingegeben wird.

Was bedeutet all dieser theoretische Tramp in der Praxis? Und Sie können unter Windows XP kein Zertifikat mit einem privaten Schlüssel stehlen! Das heißt, es wird möglich sein zu stehlen, aber es wird keinen Sinn haben, da es einfach nicht auf dem Computer eines anderen funktioniert! (Deshalb ist er ein geschlossenes Zertifikat!). Es ist wahr, es kann exportiert werden, ohne spezielle Berechtigungen zu haben. Machen Sie das Certificate Manager-Programm gut, wenn Sie nicht wissen, wie. Um Zertifikate von Computer zu Computer zu übertragen, verwendet Keeper Light ein exportiertes Zertifikat, das in Dateien mit der Erweiterung .pfx gespeichert ist. Sie befinden sich sowohl auf externen Medien als auch auf Festplatten. Aber hier gibt es ein "aber". Das exportierte Zertifikat wird mit einem vom Benutzer zugewiesenen Kennwort geschlossen. Um es in Ihr System zu importieren, müssen Sie entweder den Keylogger löschen oder versuchen, das Kennwort mit brutaler Gewalt zu öffnen. Aber das erste ist zu auffällig, das zweite ist lang, so dass der Diebstahl von Zertifikaten nicht weit verbreitet ist.

Passwortanfrage beim Importieren des Zertifikats

Abbildung 8. Kennwortanforderung beim Importieren eines Zertifikats.

Bedeutet dies, dass Keeper Light geschützt ist? Nein und wieder nein !!! Wenn Keeper Classic zumindest theoretisch geschützt werden kann (installieren Sie einen Treiber, der direkte Tastatureingaben bietet, Emulatoren abschneidet und die Integrität von Keeper und sich selbst überwacht), funktioniert Keeper Light über einen Browser, dessen Integrität im Prinzip nicht gesteuert werden kann!

Das erste, was mir in den Sinn kommt, ist die bereits erwähnte Emulation. Wir sagen "start https://light.webmoney.ru", verstecken auf die eine oder andere Weise das Browserfenster (nehmen Sie einfach den Griff und Sie können darauf zeichnen, was auch immer) und emulieren die Folge von Tastenanschlägen, um die elektronische Brieftasche aufzufüllen. Es wirkt ironisch und unvermeidlich. Das einzige Minus ist, dass jeder Typ (und möglicherweise jede Version) des Browsers einen eigenen Ansatz erfordert, aber Sie können nur auf IE 5/6 als dem beliebtesten stoppen.

Mit anderen Browsern noch einfacher. Wir nehmen die Quellen von Fox und erstellen darauf basierend einen Hacker-Mini-Browser, der nichts auf dem Bildschirm anzeigt, sondern nur mit solchen Geldbörsen funktioniert. Es gibt zwar nicht so viele Fox-Fans unter WebMoney-Benutzern, aber das ist immer noch besser als gar nichts. Übrigens, lassen Sie die Anhänger des IE sich nicht sicher fühlen. W2K-Quellen wurden lange Zeit gestohlen und es ist durchaus möglich, einen eigenen IE-Klon darauf zu erstellen, ganz zu schweigen davon, dass der IE nur eine Reihe von DCOM-Objekten ist und sogar Anfänger ihren Browser basierend darauf zusammenstellen können.

Keeper Licht

Abbildung 9. Keeper Light ist nur eine WEB-Oberfläche, mit der Sie über einen beliebigen Browser mit Ihrer Brieftasche arbeiten können.

Was aber, wenn Sie ein Zertifikat importieren, bevor jede Brieftasche geöffnet wird, und es dann aus dem Geschäft löschen? Dies erhöht zwar die Sicherheit in gewissem Maße, aber ein Hacker-Programm kann entweder warten, bis das Fenster WebMoney Keeper :: Light Edition angezeigt wird, um anzuzeigen, dass der Benutzer angemeldet ist, oder die Schlüssel ausspionieren und das geheime Kennwort zusammen mit dem Zertifikat über das Netzwerk übertragen. E-Geld bleibt also immer noch in einer heiklen Situation!

Ist die Autorisierung von Mobiltelefonen zuverlässig?

Die neueste Mode war das Autorisierungssystem mit einem Handy. Bei der Registrierung im ENUM-Dienst ( http://enum.ru/ ) wird auf unserem Mobiltelefon eine spezielle Java-Anwendung (auch Midlet genannt) installiert, die sich Enum Client nennt. Es verwendet fünfstellige Zahlen (z. B. 09652) und generiert darauf basierend eine Antwort. Darüber hinaus ist der Generierungsalgorithmus für jeden Benutzer eindeutig. Wenn es kein Mobiltelefon, keinen Pocket PC oder ein anderes Gerät mit Java-Unterstützung gibt (z. B. ein Desktop-PC).

Die Abfolge der Vorgänge beim Aktivieren einer Zahlung über ein Mobiltelefon oder einen PDA

Abbildung 10. Die Abfolge der Vorgänge beim Aktivieren einer Zahlung über ein Mobiltelefon oder einen PDA.

Mit dem ENUM-Service können Sie Einkäufe über den Merchant-Service ( https://merchant.webmoney.ru /) tätigen, ohne auf Keeper zurückgreifen zu müssen - weder klassisch noch investiert. Es wird angenommen, dass es in diesem Fall nicht möglich sein wird, in eine elektronische Geldbörse einzudringen und Bargeld zu stehlen: " Betrüger und Virenschreiber nutzen das Internet, um wertvolle Informationen von unseren Computern zu stehlen. Aber welchen Schutz wir auch erfinden - Firewalls, Virenschutzprogramme, Anti-Keylogger, Anti-Malware, Zertifikate - gibt es immer Die theoretische Wahrscheinlichkeit, dass Passwörter (oder beispielsweise Keeper-Schlüssel) von einem Computer umgangen und gestohlen werden, weil sowohl Hacker als auch Sicherheitstools den gleichen Kanal verwenden - das Internet. Und das Problem mit dem Internet ist, dass es keine andere Alternative gibt Ein guter Kanal zum Speichern und Übertragen von Informationen. ENUM löst dieses Problem. Es bietet uns denselben anderen Kanal. Ein Hacker kann in Ihren Computer eindringen, einen Trojaner-Virus "einbinden", aber nicht in Ihr Mobiltelefon. Es ist auch unmöglich, welchen eindeutigen Enum Client-Algorithmus für jeden Benutzer von einer Nummer eine andere erhält .

ENUM-Systemlogo

Abbildung 11. Logo des ENUM-Systems.

Händlerservice

Abbildung 12. Händlerservice.

Ist das wirklich so? Wie das Sprichwort sagt: "Wenn du nicht kannst, aber wirklich willst, kannst du es trotzdem." Ein zusätzlicher „Kommunikationskanal“ erhöht die Sicherheit tatsächlich um ein Vielfaches, aber es ist verfrüht, über die grundsätzliche Unmöglichkeit des Hackens zu sprechen. Zunächst ist der Algorithmus zum Generieren von Zahlen für alle Benutzer immer noch derselbe (zerlegen Sie das MIDlet, wenn Sie es nicht glauben), nur der Generierungsschlüssel ist unterschiedlich und es ist durchaus möglich, ihn auszuwählen. Es reicht aus, eine einzelne Antwort für eine bestimmte Zahlenkombination abzufangen. Die Wiederherstellung von Schlüsseln dauert nicht lange und der Trojaner kann dies tun. Hoffentlich müssen Sie nicht erklären, wie Sie die Zahlenkombination aus dem Bearbeitungsfenster lesen.

Darüber hinaus enthalten Mobiltelefone eine Reihe von Löchern. IR-Protokolle und Blue Tooth wimmeln buchstäblich von ihnen. Das Hacker-Magazin hat wiederholt darüber geschrieben. Wenn das Opfer ein Handy oder einen PDA hat, hat es möglicherweise auch einen Blue Tooth- oder IR-Adapter, der es ständig eingeschaltet hält. Ein Angreifer kann beliebige AT-Befehle an das Telefon senden, Midlets ausführen oder deren Inhalt lesen. Und was?! Sie können einen Virus scherzen und schreiben, der elektronische Geldbörsen stiehlt und sie über ein Handy überträgt! Alle Firewalls umgehen! Hier haben Sie einen zusätzlichen Kommunikationskanal!

All dies ist jedoch das Nit-Picking eines alten Maus-Hackers. Die Stimmung ist einfach schlecht. Es regnet und nur Sirenia rettet vor Depressionen (eine sehr mächtige gotische Gruppe aus dem fernen Norwegen - ich empfehle). Wenn Sie der Wahrheit nüchtern gegenüberstehen (in solchen roten Mausaugen, die klein sind, wie Perlen), müssen Sie zugeben, dass das Hacken von ENUM sehr schwierig ist, also gibt es immer noch einen Sinn darin. Dies bedeutet jedoch nicht, dass Sie eine elektronische Geldbörse starten und mutig 100.000 US-Dollar darauf setzen können. Dann auf jeden Fall hacken!

ZahlungsaktivierungZahlungsaktivierungZahlungsaktivierung

Abbildung 13. Aktivierung der Zahlung per Handy über das ENUM-System.

Wie man Austauscher bricht

Das Hacken von Austauschern ist nicht Teil unserer Pläne (nicht jeder hat seinen eigenen Austauscher, aber das Brechen anderer ist illegal), daher werden wir nur die wichtigsten Punkte erwähnen. Aus Hacker-Sicht stellt der Austauscher eine Site dar, die normalerweise von PHP verwaltet wird und unter Linux / BSD / NT ausgeführt wird.

Durch Fehler in PHP-Skripten werden sie am häufigsten beschädigt. Außerdem verlassen einige Webprogrammierer die Hintertür, falls sie plötzlich etwas essen möchten, aber es gibt nichts zu essen. Brechen Sie seltener die Achse. Die größte Anzahl von Löchern hat natürlich NT und alle seine abgeleiteten Systeme (einschließlich des gepriesenen Windows 2003-Servers). Linux und BSD sind etwas schwieriger zu brechen, aber ... wenn Sie einen Sicherheitsscanner (zum Beispiel X-Spider) verwenden, werden Sie feststellen, dass viele von ihnen ungeschickte SendMail oder verrosteten Apache haben. Pufferüberlauf, Shell-Code-Versand und Server in unseren Händen!

Hacker Arbeitsplatz

Abbildung 14. Hacker-Arbeitsplatz.

Fazit

Das Hacken von WebMoney ist kein Mythos, sondern eine harte Realität, und Sie können nicht 100% sicher sein, selbst wenn Sie ein Sicherheitsexperte sind. Es besteht immer das Risiko, dass der Virus durch eine noch unbekannte Lücke im Betriebssystem oder Browser abgefangen wird. Wenn die Rettung durch den Verlust von Betriebsdaten auf der Festplatte und die physische Trennung des Intranets vom Netzwerk von der Offenlegung sensibler Daten erspart, wird nichts durch den Diebstahl von elektronischem Geld gespart!

Sireina

Abbildung 15. Sireina - Gothic Hacker Musik, die die Maus Wurst macht.