This page has been robot translated, sorry for typos if any. Original content here.

Brechen und Schützen von WebMoney

Entgegen aller Zusicherungen der Entwickler ist das WebMoney-System katastrophal unzuverlässig und wird buchstäblich mit einem Fingernagel geöffnet. Es gibt viele Würmer, Trojaner und Hacker-Gruppen, die sich auf den Diebstahl elektronischer Geldbörsen spezialisiert haben, deren Diebstahl weit verbreitet ist. Möchten Sie wissen, wie es geht und wie Sie sich schützen können?

Einleitung

Beginnen wir mit dem, was nicht sein kann. Es gibt keine "WebMoney-Generatoren", die grundsätzlich nicht existieren können. Das gesamte Geld wird auf dem zentralen Server des Betreibers gespeichert, und E-Wallets stellen nur die Zugangsmöglichkeiten dar. Grob gesagt: Wenn Sie eine Zahlenkombination für eine Codesperre generieren, erscheinen Geld und Wertsachen noch nicht im Safe. Und obwohl es möglich ist, die Chiffre zu einem anderen in Sicherheit zu bringen, ist die Wahrscheinlichkeit, sie ohne die Hilfe des Besitzers zu öffnen (Husaren! Wir erinnern uns an den Lötkolben, aber wir schweigen), so gering, dass es nicht einmal das Gespräch wert ist!

Aber die Kombination eines anderen zu stehlen, ist durchaus real! Das machen die "WebMoney Generators". Sie machen entweder ein Duplikat aus der elektronischen Geldbörse und übertragen sie an den Angreifer, oder sie rufen heimlich den Keeper an und übertragen sie auf ihr Konto. Viren und Trojaner arbeiten auf dieselbe Weise. Auch markante und gezielte Angriffe auf ein bestimmtes Opfer. Kann man sich vor ihnen schützen? Das von Nichtspezialisten entwickelte WebMoney-System wurde ursprünglich ohne Berücksichtigung der Sicherheit entwickelt. Obwohl in letzter Zeit ein ganzer Komplex von rückwirkend angebrachten "Brandschutzmaßnahmen" aufgetaucht ist, bleibt die Situation kritisch. Die Benutzer sind in den Sicherheitssystemen verwirrt, der Support-Service gibt ziemlich vage und vage Empfehlungen ab (Windows aktualisieren, eine Firewall konfigurieren usw.), und in der Zwischenzeit geht der Diebstahl elektronischer Geldbörsen weiter.

Wir stellen uns nicht die Aufgabe, jemandem das Stehlen beizubringen, wir wollen nur zeigen und beweisen (!), Dass das WebMoney-System wirklich sehr unzuverlässig ist und nicht einmal von einem Esel entworfen wurde (das Rückenmark grenzt daran), aber im Allgemeinen ist es nicht bekannt . Es wird keine vagen Worte geben (um uns nicht der Verleumdung vorzuwerfen), aber es gibt keine spezifischen Empfehlungen. Wir geben keine vorgefertigten Angriffsprogramme und sagen nicht genau, welche Baitics gehackt werden sollen, aber glauben Sie mir - alle notwendigen Hacker-Tools können in einer Nacht von Grund auf neu erstellt werden - eine heilige Zeit für Hacker!

Aber zuerst die ersten Dinge. Lassen Sie uns nicht nach vorne stürzen und die Laserdisk in das Laufwerk stecken, zumal wir das letztere noch brauchen.

Sie erscheinen aus der Dunkelheit, entfernen das gesamte elektronische Geld und gehen nirgendwohin

Abbildung 1. Sie tauchen aus der Dunkelheit auf, entfernen das gesamte elektronische Geld und gehen nirgendwohin.

WAS MÖGLICH UND WAS UNMÖGLICH IST (DISKUSSION)

Experimentieren (zu Bildungszwecken) ist nur mit Ihrer eigenen elektronischen Geldbörse oder mit der Geldbörse von Personen möglich, die eine schriftliche Erlaubnis erteilt haben. Unbefugte Eingriffe in Systeme und Geldbörsen anderer Personen sind absolut inakzeptabel !

Sie fangen diejenigen, die aus der Dunkelheit auftauchen, und führen zu dieser Welt, von der es keine Rückkehr gibt

Abbildung 2. Sie fangen diejenigen auf, die aus der Dunkelheit auftauchen, und führen sie in die Welt, aus der es keine Rückkehr gibt.

Erste Schritte oder klassischer Missionar

Das WebMoney-System ist eine Art Analogie zu normalen Bankschecks. Das heißt, um Zahlungen zu tätigen, müssen wir uns zunächst auf dem zentralen Server des Betreibers registrieren und ein Konto eröffnen, was bereits ein großer Nachteil ist, aber na ja.

Wir gehen auf www.webmoney.ru , laden das Programm Keeper Classic herunter, starten es (übrigens, ich habe es nicht geschafft, über den Proxy-Server zu arbeiten, es war ein Wunder des wissenschaftlichen und technischen Denkens, ich musste NAT und Kartenport 2802 erhöhen), die Registrierungsdaten eingeben (von Taschenlampe oder ehrlich), denken wir an ein beliebiges Passwort, woraufhin das Programm den geheimen Schlüssel generiert und uns auffordert, die Maus zu ziehen und die Tasten zu drücken. Dies ist notwendig, um wirklich zufällige Daten zu erhalten, als wäre der auf dem Timer basierende Pseudozufallsgenerator hier nicht geeignet. Vor dem Hintergrund der allgemeinen Verwundbarkeit des Systems ist es einfach dumm, die Wörter RSA, RC5, MD4, MD5, SSL zu deflationieren. Die psychologische Berechnung der Entwickler ist mir jedoch ziemlich klar. Wenn der geheime Schlüssel in Sekundenbruchteilen generiert wird - welcher Benutzer wird daran glauben?

Es erscheint nirgendwo, fängt niemanden, sondern sitzt und lötet einfach

Abbildung 3. Es erscheint nirgendwo, fängt niemanden ein, sondern sitzt und lötet nur.

Was auch immer es war, nach Abschluss der Registrierung wird uns eine eindeutige 12-stellige WMID (Web Money ID) zugewiesen, und ein Schlüsselpaar wird generiert. Der öffentliche Schlüssel wird an den zentralen Server des WebMoney-Operators übermittelt, und das Geheimnis wird in einer Datei mit der Erweiterung * .kwm (Key of Web Money) gespeichert, die sich auf einer Festplatte, einem Wechseldatenträger oder einer Chipkarte befinden kann. Kurz gesagt, gewöhnliche asymmetrische Kryptographie wie PGP.

Es wird eine weitere Datei * .pwm erstellt, in der Informationen zu unseren Brieftaschen (aktueller Kontostand, Operationsverlauf usw.) gespeichert werden. Grundsätzlich ist dies optional, da sich alle Informationen auf dem zentralen Server des Betreibers befinden. Keeper kann ohne * .pwm-Datei arbeiten und lädt automatisch Daten aus dem Netzwerk hoch, allerdings nur in den letzten drei Tagen. Tatsächlich ist die * .kwm-Datei auch optional und kann wiederhergestellt werden. Dazu müssen Sie das Passwort kennen, Zugriff auf das bei der Registrierung angegebene Postfach sowie eine notariell beglaubigte Erklärung haben, dass Sie nicht berechtigt sind (weitere Informationen hierzu finden Sie hier: http://www.owebmoney.ru/returnkey.shtml ). Theoretisch kann ein Hacker unser Geld nur mit einem Passwort hacken, aber in der Praxis ist das zu lästig und unsicher.

Die geheimen Informationen, die den Zugriff auf die Brieftasche regeln, sind nur ein kwm-Schlüssel. WMID wird überall veröffentlicht und das ist normal. Wenn Sie die WMID kennen, können Sie die Registrierungsdaten des Benutzers herausfinden, die er als "offen" markiert hat. Sie können jedoch nicht die Nummer seiner Brieftasche (Brieftaschen) ermitteln.

Die Geldbörsennummer ist eine unter Umständen geheime Information. Wenn wir die Geldbörsennummer kennen, können wir kein Geld daraus erhalten, aber wir können die Rechnung über das Feld "Beschreibung des Kaufs" so plausibel wie möglich ausfüllen. Die Methode ist natürlich dumm, aber es besteht eine gewisse Chance, dass sie durchkommt. Benutzer, die regelmäßig eine große Anzahl kleiner Rechnungen bezahlen, gewöhnen sich allmählich daran, sie nicht zu beachten, und überprüfen die Spalte "von wem" nur im Zweifel. Natürlich gibt es bei dieser Art von Hacking keinen Trubel, außerdem kann der Angreifer sehr robust sein und zur Firma seines Onkels gehen, der sich den Arsch reißen wird, so dass er keine nennenswerte Popularität fand.

Machen Sie das Opfer auf der linken Seite sichtbar, aber plausibel

Abbildung 4. Machen Sie das Opfer auf der linken Seite, aber eine plausible Rechnung - was ist, wenn es bezahlt?

Der Diebstahl von kwm-Dateien gedeiht jedoch. Standardmäßig werden Schlüssel in keys.kwm gespeichert, der Dateiname kann jedoch im Prinzip ein beliebiger Dateiname wie die Erweiterung sein. Die meisten Hacker und Trojaner führen eine stumpfe Suche mit der * .kwm-Maske durch. Die Umbenennung der Schlüsseldatei in dontreadme.txt erhöht jedoch unsere Sicherheit in gewissem Maße. Fortgeschrittene Hacker können jedoch in die Registry gelangen, in der Keeper seine Einstellungen speichert und den Pfad zur Datei anhebt. Sie können auch nach dem Inhalt suchen, indem Sie alle Dateien prüfen (dies dauert jedoch sehr lange und führt zu verdächtiger Festplattenaktivität). Gourmets werden höchstwahrscheinlich den Aufruf der CreateFile-API-Funktion abfangen, die anzeigt, welche Dateien von Keeper geöffnet werden. Und selbst wenn das Format der Registrierungseinstellungen in zukünftigen Versionen geändert wird, funktioniert die Option mit CreateFile weiterhin (Hinweis: Wenn die Entwickler keine Idioten wären, würden sie beim Zugriff auf das Signal mehrere Dateien mit Schlüsseln erstellen - eine authentische, alle anderen Watchdog-Sensoren) Alarme).

Verstecken Sie die kwm-Datei vor Hackern

Abbildung 5. Verbergen Sie die kwm-Datei vor Hackern.

Standardmäßig beträgt die Größe der Schlüsseldatei 1,2 MB (genau auf einer Diskette). Wenn Sie möchten, können Sie sie auf bis zu 100 MB erhöhen. Dies macht es schwierig, einen Schlüssel bei der Übertragung über das Internet zu stehlen, und verursacht im Allgemeinen keine unüberwindlichen Unannehmlichkeiten. 100 MB ist eine halbe Mini-CD-R, ein Zip-100M oder zwei CD-Rs im Visitenkartenformat. Natürlich wird die Geschwindigkeit des Systems bis zu einem gewissen Grad abnehmen (Sie werden nicht sofort eine riesige Datei lesen), aber die Sicherheit ist es wert. Oder es nicht wert? Im lokalen Netzwerk ist das Ziehen von 100 MB kein Problem, auch bei einem DSL-Modem oder Kabel-Internet. Und selbst ein nach heutigen Maßstäben abschreckendes Modem des 33600 überträgt diese Datei in ~ 70 Stunden. Nicht so sehr, wenn Sie daran denken, dass fast keiner der Benutzer die Schlüssel jeden Tag neu generiert. Das Schneiden der Datei in kleine Stücke, die im Hintergrund übertragen werden, und das Ziehen in zwei oder drei Wochen ist ziemlich realistisch, auch wenn dies der langweiligste und unkomplizierteste Weg ist.

Wenn ein Hacker das System einer anderen Person infiltriert hat (und es ist möglich, auf verschiedene Arten in das System einzudringen), sollte er keine Dateien in den Speicher laden, die Brieftasche öffnen, Geld auf sein Konto überweisen und die Festplatte anstoßen, damit das Opfer nicht ins Internet gehen und sich beschweren kann, wer . Übrigens über die "Beschwerde". Es gibt nicht so viele Optionen und es gibt keine Wartezeiten. Nun, abgesehen von Gott, dem Herrn (wenn Sie ein echter Gott sind, geben Sie mein Geld zurück, Sie ficken), ja zu den Brüdern. Wenn wir immer noch Zugriff auf die WMID haben (was für ein dummer Hacker erwischt wurde!), Können Sie die WMID bestimmen, auf die das Geld überwiesen wurde. Gehen Sie zur Arbitration Service-Website ( http://arbitrage.webmoney.ru/ ) und zahlen Sie die Schiedsgebühr (und Dazu benötigen Sie WebMoney, das der Angreifer sauber anschnupft) und die Hacker-Geldbörse blockieren. Nur wenn der Hacker kein Elch ist, wird das Geld in wenigen Minuten an E-Gold übertragen oder auf andere Weise aus dem System entfernt, so dass sich keine auf der Brieftasche befinden und nichts blockiert wird. Brieftaschen mit einem primären oder persönlichen Zertifikat werden übrigens nur durch die Entscheidung der Schiedskommission blockiert, dh es reicht aus, ein Zertifikat mitzunehmen und ... Aber Sie sollten nicht sagen, dass die Inhaber des Zertifikats nicht an dem Diebstahl beteiligt sind, weil sie ihre Passdaten melden. Agashazblin! Taki dein? Alle, die nicht zu faul sind, sind jetzt damit beschäftigt, Zertifikate auszustellen und zu hoffen, dass sie alle ehrliche, ehrliche und unbestechliche Menschen sind, einfach naiv, vor allem wenn es um Geld geht, auch wenn es elektronisch ist. Eine Person, die beabsichtigt, 100.000 Dollar zu kidnappen (und warum nicht), erhält ohne Probleme nicht nur ein Feigenzertifikat, sondern auch einen gefälschten Reisepass. Wer sucht denn dieses Zertifikat? Selbst wenn die Beamten des Innenministeriums Pässe für den Fluss fälschen, was oft im Fernsehen erwähnt wurde (und dies ist bereits ein Verbrechen), was ist dann mit „Zertifikaten“, die im Allgemeinen keinen rechtlichen Status haben?!

Die Situation mit der Überweisung gestohlenen Geldes durch mehrere Geldbörsen wurde jedoch von den Entwicklern berücksichtigt, und sie versklaven gründlich über ... Eindringlinge! Urteile für dich selbst. Das Opfer muss sich nach Einreichung der bereits erwähnten Forderung an den Administrator des Schiedsgerichtsdienstes (WMID 937717494180, arbitrage@webmoney.ru) wenden und ihn auffordern, die gesamte Kette zu verfolgen. Der ganze "Charme" ist, dass der Administrator in Moskau nur von Montag bis Freitag von 10 bis 18 Stunden arbeitet. Wir sind angeblich kein Rettungsdienst und wollen auch schlafen. Sehr gutes Zahlungssystem, ich sage Ihnen !!! Da der Abzug von Geld aus dem System fast augenblicklich erfolgt und das Konto minutenlang läuft, will der Administrator bainki. Ich habe es nicht verstanden, ist das ein Studentenheim oder ein Zahlungssystem?! Was kostete es in Millionen von Runden (von denen die Werbung nicht aufhört zu erwähnen), mehrere Personen für Unterstützung rund um die Uhr einzustellen?! Immerhin sprechen wir in diesem Fall von Geld! Natürlich ist es für Hacker am sichersten, Diebstahl entweder um Mitternacht oder am Wochenende zu begehen. Aber es ist in Ordnung, lassen wir leere Worte und lernen wir Keeper näher kennen.

Hüter innen und außen

Einige bewundern hier, wie der Entwickler es geschafft hat, so viel in Keeper'a einzugreifen (" Ich weiß nicht, wie es Ihnen geht), aber ich verbeuge mich aufrichtig vor denen, die es geschafft haben, eine solche" leckere "Füllung in 2 Megabytes des Keeper Classic-Distributionspakets zu packen und auch gut zu packen Dies ist ein äußerer Fall ", http://www.owebmoney.ru/clashistory.shtml ). Und was enthalten sie eigentlich? Natürlich in unserem Alter, wenn "Hallo, Welt!" Kaum auf der Laserscheibe interveniert, sind die Programme, die "nur" mehrere Megabyte belegen, schon eine Frage des Respekts ...

Der Hauptdatenträger (~ 2,2 MB) wird von WMClient.dll belegt, was eigentlich Keeper selbst ist. Dies ist ein DCOM-Objekt, das in Microsoft Visual .NET mit Kompilierung in Maschinencode geschrieben wurde. Es ist unverpackt und in keiner Weise wiederhole ich, ohne meine Analyse zu beeinträchtigen. Es gibt keinen verschlüsselten, keinen P-Code, keine Anti-Debugging-Techniken, keinen Widerstand gegen den Disassembler, den Dumper oder den API-Spion. Nichts Nimm es und analysiere es! In jedem Fall verhält sich Version 2.4.0.3 (die letzte zum Zeitpunkt der Erstellung dieses Dokuments) genauso. Wenn die Entwickler noch ein bisschen schlauer wären, würden sie entweder Microsoft Visual C ++ 6 (die berühmten "Sechs") plus einen hochwertigen Protector (beispielsweise ExeCryptor) verwenden, oder die NET-Anwendung in P-Code kompilieren, was viel schwieriger zu zerlegen ist.

WebMoney.exe (~ 180 Kbytes) ist nur ein "Startup" und es gibt nichts Interessantes darin, aber es lohnt sich, es zu zerlegen. Zumindest dann, um über die Entwickler zu lachen und ihre Qualifikationen einzuschätzen.

Keeper Classic im Disassembler

Abbildung 6. Keeper Classic im Disassembler.

Wir gehen also davon aus, dass auf dem Computer mit dem installierten Keeper ein Hackercode ausgeführt wird, der mit Benutzerrechten ausgeführt wird (wir sind uns darüber einig, dass wir keine Administratorrechte erhalten haben. Obwohl wir unsere Berechtigungen nicht vom Benutzer auf das System in W2K / XP erhöht haben, im Allgemeinen: Kein Problem, ganz zu schweigen von 9x, wo keine Privilegierungsteilung stattgefunden hat, wir werden unter spartanischen Bedingungen operieren (kampfnah). Was können wir tun Wir haben zwei Möglichkeiten. Demontieren Sie den Keeper, stellen Sie das Austauschprotokoll mit dem Server wieder her, warten Sie, bis die Medien mit dem geheimen Schlüssel eingefügt werden, und ... fantasieren Sie sich weiter. Persönlich störe ich in Keeper'e Faulheit herum. Die Demontage ist ein mühsames Geschäft und es kann mehr als eine Woche dauern, das Austauschprotokoll wiederherzustellen. Die Verwendung von Schnüfflern verkürzt diese Zeitspanne erheblich, ist jedoch immer noch "kaputt". Es ist viel einfacher und effizienter, mit den Händen von Keeper selbst Geld zu stehlen. Wir installieren eine Spy-Intercepting-Tastatureingabe, warten auf die Eingabe der WMID oder definieren sie auf andere Weise, da die WMID für niemanden ein Geheimnis ist (die erste Methode wird hauptsächlich von Viren verwendet, die zweite ist für gezielte Angriffe geeignet), dann in einem "wunderbaren" Moment ( Deaktivieren Sie nach 18 Stunden oder einem freien Tag die Anzeige auf dem Bildschirm, starten Sie WebMoney.exe und emulieren Sie durch Eingabe von Tastatur und Maus alles, was wir wollten. Zum Beispiel füllen wir die Geldbörse des Opfers auf. Und warum nicht?! Wir brechen unsere eigene Geldbörse, richtig? Hier füllen wir es auf! Wir sind keine Gangster, sondern ehrliche Hacker!

Die Eingabe-Emulationstechnik ist ausführlich in den Notes of the Mysh'ha beschrieben, deren elektronische Version kostenlos von meinem ftp://nezumi.org.ru/ ftp http://nezumi.org/ heruntergeladen werden kann. In der 67. Ausgabe von Hacker wurde auch ein Artikel mit dem Titel "Breaking WebMoney" veröffentlicht, in dem dies alles beschrieben wird. Lassen Sie uns also nicht hundertmal Demagogie züchten und Gummi kauen. Wir erwähnen nur den allgemeinen Mechanismus. Zuerst finden wir das Keeper-Fenster, indem wir die FindWindow- oder die EnumWindows-Funktion aufrufen und deren Handle definieren. Anschließend listen wir mit EnumWindows die zu den Steuerelementen gehörenden untergeordneten Fenster auf (Schaltflächen, Bearbeitungszeilen usw.). Durch das Senden verschiedener Meldungen an Steuerelemente (dies kann mithilfe der SendMessage-Funktion erfolgen), können wir sie leicht unter unserer Kontrolle übernehmen. Das Deaktivieren der Ausgabe auf dem Bildschirm wird entweder durch Abfangen von GDI-Diensten (es ist schwierig zu implementieren, aber mit einem Knall) oder durch Platzieren eines ablenkenden Fensters über Keeper, z. B. eines Browserfensters mit einem pornographischen Bild, durchgeführt. Ja, viele Dinge können Sie sich vorstellen!

Das Problem ist, dass ab einer bestimmten Zeit die stumpfe Emulation nicht mehr gültig ist. Keeper bekam die sogenannten "fliegenden Zahlen". Wie die, die verwendet werden, um die automatische Registrierung auf vielen Websites zu verhindern. Bevor Sie eine Zahlung vornehmen, müssen Sie drei Grafiknummern eingeben, die zufällig auf dem Bildschirm angezeigt werden. Die Idee ist natürlich interessant, aber sie wurde offensichtlich fehl am Platz geliehen. Schwere Kindheit, Meerrettichunterricht, tiefer Kater. Und der Kopf ist etwas Bo-Bo. Der Kopf hat jedoch nichts damit zu tun. Sie hat immer noch niemanden, an den sie denken muss. Die Sicherheitstechniken der Entwickler wurden offensichtlich nicht gelehrt. Fragmentarisches Wissen im Stil "hier vollgestopft, und dann tanzte das Mädchen, und hier wurde ich von einem Ziegelstein bewegt" und so die Rute von allen Seiten.

Bewahrer Schutz

Abbildung 7. Hüterschutz mit fliegenden Nummern.

Warum agieren fliegende Nummern auf Webservern (wo sie zuerst erschienen)? Ja, und deshalb nur, weil der Sicherheitscode zum einen für den Hacker unerreichbar ist und zum anderen, weil der Schutz ausschließlich auf Roboter abzielt, nicht auf Menschen. Zum Schutz von mail.ru vor Spammern und Vandalen ist eine solche Maßnahme mehr als ausreichend, nicht aber für Keeper! In den aktuellen Versionen von Keeper können fliegende Nummern leicht durch eine einfache OCR erkannt werden, die leicht in einhundert Kilobyte passt (wenn Sie vorgefertigte Bibliotheken verwenden), und zweitens kostet der Hacker-Code nichts, um ein Teil des Bildschirms zu erfassen und an einen Monitor am Monitor zu senden er hat sie selbst erkannt, drittens wird dieser Schutz durch Bit-Hack deaktiviert, d.h. durch Bearbeiten des Maschinencodes von Keeper können viertens fliegende Nummern durch die Registrierung reduziert werden (wenn Sie versuchen, sie mit den Mitteln von Keeper auszuschalten, fordert er die Bestätigung der Legitimität dieser Operation auf) fünftens, auch wenn der Schutz verstärkt wird, Hacker werden das Protokoll des Austauschs und die Erstellung eigener Clients ohne Nummern dort entschlüsseln, in der sechsten ... Kurz gesagt, die Hacking-Methoden sind sehr, sehr groß und es gibt keinen Vorteil von diesem Schutz, ganz zu schweigen von der Tatsache, dass viele Benutzer immer noch sitzen alte Versionen ohne fliegende Nummern oder deaktivieren Sie sie als unnötig.

Und hier ist ein weiteres weithin bekanntes Feature - Bestätigung der Autorisierung per E-Mail. Auf den unschuldigen Look wirkt alles sehr eckig - bevor Sie mit unserem Konto etwas anfangen können, müssen Sie einen Code eingeben, der per E-Mail gesendet wird. Wenn der Hacker die * .kwm-Datei anhält, bleibt er mit der Nase und wir - mit dem Geld. Immerhin erhält er keinen Zugang zu unserer Mailbox. Die Logik ist Eisen, aber falsch. Mailbox-Break ist nicht so schwierig (in vielen Büchern und Artikeln werden bestimmte Hackertechniken angegeben, daher werde ich mich nicht wiederholen), da der Hacker die * .kwm-Datei heruntergezogen hat, würde er das Passwort an die E-Mail-Adresse ziehen. Die einzige Ausnahme ist wahrscheinlich der Diebstahl von Chipkarten und Wechseldatenträgern mit Schlüsseln, aber ... dieser Diebstahl wird normalerweise entweder von nahen Personen, die eine E-Mail erhalten können, oder von Räubern, die physischen Zugriff auf die gespeicherten Wechseldatenträger erhalten haben, durchgeführt normalerweise in unmittelbarer Nähe zum Computer. Nun, dass sie mehr stehlen sollen und das Passwort auf der Box?

Okay, was ist mit dem Blockieren aller IP-Adressen außer Ihrer? Zunächst einmal ist es in lokalen Netzwerken kein unüberwindbares Problem, die Adresse einer anderen Person zu erfassen. Derjenige, der bei DFÜ sitzt, erhält normalerweise dynamische IP-Adressen, die vom allgemeinen Pool zugewiesen werden. Um sie zu registrieren, werden Sie sich langweilen, und jeder Kunde desselben Anbieters wird ohne Probleme autorisiert. Aber es spielt keine Rolle. Es ist kein Hacker erforderlich, um die Brieftasche eines anderen zu behalten. Er wird einfach Geld abheben, während Keepers Hände auf dem Computer des Opfers laufen, der wahrscheinlich die richtige IP hat und kein "Blockieren" ihn aufhält!

Die Schutzmaßnahmen der Entwickler können sehr lange aufgeführt werden. Fast alle konzentrieren sich darauf, eine * .kwm-Datei zu stehlen und sie dann über das Netzwerk zu übertragen. Aus irgendeinem Grund glauben die Entwickler, dass dies die einzige Art des Hackens ist, obwohl dies bei weitem nicht der Fall ist. Sie empfehlen Ihnen außerdem, die Firewall richtig zu konfigurieren, um das Durchsickern von Informationen zu verhindern, und das System regelmäßig patchen, sodass weder Hacker noch Würmer eindringen. Nun, auf Kosten von Firewalls wurden sie offensichtlich aufgeregt. Genug, um die beliebte Website http://www.firewallleaktester.com/ aufzurufen , um sicherzustellen, dass es Angriffe gibt, die alle persönlichen Firewalls durchdringen. Ich habe darüber auch in den Notes eines Computer Virus Researcher geschrieben, deren Fragmente von ftp://nezumi.org.ru/ heruntergeladen werden können , und es gibt auch einen vorgefertigten Demo-Code.

Lassen Sie uns jetzt mit Updates umgehen. Viele Websites, die Zahlungen über WebMoney akzeptieren, funktionieren nur mit IE, da sie ActiveX verwenden. Und obwohl Plug-Ins für alternative Browser wie Opera und Fox veröffentlicht werden, funktionieren sie irgendwie und in der Realität muss IE verwendet werden, dessen Anzahl der Löcher das Guinness-Buch der Rekorde verdient. Das heißt, die Entwickler von WebMoney selbst sitzen uns in einem undichten Browser und empfehlen gleichzeitig trotzdem sorgfältig - vergessen Sie nicht, rechtzeitig aktualisiert zu werden, sagen sie. Oder wechsele ich vielleicht noch den Boden? Das Problem liegt also nicht bei Benutzern. Das Problem liegt im Gehirn des Entwicklers (genauer gesagt in seiner Abwesenheit). Das Problem liegt im Konzept des gesamten Systems. Das Problem liegt in der grundlegenden Sicherheitsanfälligkeit des Geldtransferprotokolls und der Sicherheitsanfälligkeit von Keeper. Verdammt, für wie viele Jahre gibt es schon die Algorithmen zur Erzeugung "einmaliger" Schlüssel, bei denen es einfach nichts und nichts zu stehlen gibt. Aber warum weiß ich davon - ziemlich weit weg von Kryptographie und Finanzbetrug bei Mäusen -, aber die Entwickler des Zahlungssystems wissen es nicht? Wir verstehen unverständlich ...

Keeper light oder kämpfe mit Zertifikaten

Die Unsicherheit des klassischen Keepers ist eine allgemein anerkannte Tatsache, aber Light gilt immer noch als ziemlich sicher: " In Keeper Classic kann die Schlüsseldatei gezogen, die E-Mail gehackt werden usw. Die auf Wechselmedien gespeicherten Schlüssel können auf die Festplatte kopiert werden Wenn eine Diskette oder CD eingelegt wird, ist es theoretisch möglich, an das Geld zu kommen, obwohl dies mit allen Vorsichtsmaßnahmen äußerst schwierig ist. Aber Licht mit einem nicht exportierten Zertifikat gibt eine 100% ige Sicherheitsgarantie "( http://owebmoney.ru/ cafe / index.php? showtopic = 108 ).

Es klingt verlockend, aber wie steht es in der Praxis? Versuchen wir es herauszufinden. Beginnen wir mit der Frage - wie funktioniert Keeper Light? Sehr einfach. Der geheime Schlüssel wird jetzt nicht in einer * .kwm-Datei gespeichert, sondern in einem speziellen Zertifikat. Alle Steuerelemente werden über eine Webschnittstelle mit speziellen kryptographischen Protokollen ausgeführt.

Wo speichert der Browser Zertifikate? Kommt auf den Browser selbst an. Beispielsweise befindet sich Mozilla im Verzeichnis "./mozilla/defaul/<blahblahblah>/cert8.db", aber der unter Windows XP Professional ausgeführte IE verwendet ein recht cleveres System. Zertifikate mit öffentlichen Schlüsseln werden in einem persönlichen (persönlichen) Repository gespeichert, das sich im Verzeichnis Documents-n-Settings \ <Benutzername> \ Application-Data \ Microsoft \ SystemCertificates \ My \ Certificates befindet und für jeden frei zugänglich ist (da dies öffentliche Informationen sind!). . Benutzerzertifikate befinden sich in seinem Profil. Private Schlüssel werden im Verzeichnis Documents-n-Settings \ <Benutzername> \ Application Data \ Microsoft \ Crypto \ RSA gespeichert. Alle hier befindlichen Dateien werden automatisch mit einem zufälligen symmetrischen Schlüssel - dem Hauptschlüssel des Benutzers (64 Zeichen) - verschlüsselt. Der Primärschlüssel wird mit dem Triple-DES-Algorithmus basierend auf dem Benutzerkennwort generiert, mit dem er in das System eingeht.

Was bedeutet all diese theoretische Bodyaga in praktischer Hinsicht? Und die Tatsache, dass ein Zertifikat mit einem privaten Schlüssel unter Windows XP gestohlen wird, wird fehlschlagen! Das heißt, es wird möglich sein, etwas zu stehlen, aber es ist völlig sinnlos, da es auf dem Computer eines anderen Benutzers einfach nicht funktioniert! (Deshalb ist es ein geschlossenes Zertifikat!). Es kann zwar auch ohne besondere Privilegien exportiert werden. Gut für das Certificate Manager-Programm, wenn Sie nicht wissen, wie Um Zertifikate von Computer zu Computer zu übertragen, verwendet Keeper Light ein exportiertes Zertifikat, das in Dateien mit der Erweiterung .pfx gespeichert wird. Sie können sowohl auf externen Medien als auch auf Festplatten gefunden werden. Hier gibt es nur ein "aber". Das exportierte Zertifikat wird durch das vom Benutzer zugewiesene Kennwort geschlossen. Damit Sie es in Ihr System importieren können, müssen Sie entweder einen Keylogger werfen oder versuchen, das Kennwort durch Brute Force zu öffnen. Das erste ist jedoch zu auffällig, das zweite - für eine lange Zeit, so dass der Diebstahl von Zertifikaten nicht weit verbreitet ist.

Passwortabfrage beim Import des Zertifikats

Abbildung 8. Anfordern eines Kennworts beim Importieren eines Zertifikats

Bedeutet das, dass Keeper Light geschützt ist? Nein und nein wieder !!! Wenn Keeper Classic zumindest theoretisch geschützt werden kann (einen Treiber installieren, der direkte Tastatureingaben vornimmt, die Emulatoren schneidet und die Integrität von Keeper und von Ihnen überwacht), funktioniert Keeper Light über einen Browser, dessen "Integrität" nicht prinzipiell gesteuert werden kann!

Das erste, was mir einfällt, ist die bereits erwähnte Emulation. Wir sagen "start https://light.webmoney.ru" auf die eine oder andere Weise, blenden das Browserfenster aus (Sie müssen nur den Griff bekommen und können darüber zeichnen) und emulieren die Tastenfolge, um die elektronische Geldbörse aufzufüllen. Wirkt Eisen und unvermeidlich. Der einzige Nachteil ist, dass für jeden Typ (und möglicherweise auch für die Version) des Browsers ein eigener Ansatz erforderlich ist. Sie können jedoch nur den IE 5/6 als den beliebtesten verwenden.

Mit anderen Browsern noch einfacher. Wir nehmen die Quelle des Fox und erstellen einen Hacker-Mini-Browser, der nichts auf dem Bildschirm anzeigt, aber nur mit Brieftaschen funktioniert. Es gibt zwar nicht so viele Fox-Fans unter WebMoney-Benutzern, aber das ist immer noch besser als gar nichts. Übrigens, lassen Sie sich die Anhänger des IE nicht sicher fühlen. W2K-Quellcodes wurden lange Zeit gestohlen, und es ist ziemlich realistisch, einen eigenen IE-Klon zu erstellen, ganz zu schweigen davon, dass der IE nur eine Gruppe von DCOM-Objekten ist und sogar ein Anfänger seinen Browser darauf aufbauen kann.

Keeper Licht

Abbildung 9. Keeper Light ist nur eine WEB-Schnittstelle, über die Sie mit der Brieftasche über einen beliebigen Browser arbeiten können.

Was aber, wenn Sie das Zertifikat vor jedem Öffnen der Brieftasche importieren und es dann aus dem Laden entfernen? Dies erhöht zwar die Sicherheit in gewissem Maße, aber das Hackerprogramm kann entweder warten, bis das Fenster "WebMoney Keeper :: Light Edition" erscheint, das anzeigt, dass der Benutzer angemeldet ist, oder die Schlüssel ausspionieren, indem das geheime Kennwort zusammen mit dem Zertifikat über das Netzwerk übergeben wird. Das elektronische Geld ist also immer noch in einer heiklen Situation!

Ist die Autorisierung des Mobiltelefons sicher?

Die neueste Ausgabe der Mode war das Autorisierungssystem mit einem Handy. Bei der Registrierung beim ENUM-Dienst ( http://enum.ru/ ) wird unserem Mobiltelefon eine spezielle Java-Anwendung (auch Midlet genannt) zugewiesen, die sich Enum-Client nennt. Es benötigt fünfstellige Zahlen (z. B. 09652) und generiert eine darauf basierende Antwort. Der Generierungsalgorithmus ist für jeden Benutzer eindeutig. Wenn kein Mobiltelefon, ein Pocket-PC oder ein anderes Java-fähiges Gerät (z. B. ein Desktop-PC) vorhanden ist, ist dies nur wenig sinnvoll.

Die Reihenfolge der Vorgänge, wenn Sie eine Zahlung über ein Mobiltelefon oder einen PDA aktivieren

Abbildung 10. Die Reihenfolge der Vorgänge, wenn Sie eine Zahlung über ein Mobiltelefon oder einen PDA aktivieren.

Mit dem ENUM-Service können Sie über den Merchant-Service ( https://merchant.wmtransfer.com/ ) Einkäufe tätigen, ohne auf Keeper zurückgreifen zu müssen - weder klassisch noch gekleidet. Es wird davon ausgegangen, dass das Hacken einer elektronischen Geldbörse und das Stehlen von Bargeld in diesem Fall keinen Erfolg haben wird: " Betrüger und Virenschreiber nutzen das Internet, um wertvolle Informationen von unseren Computern zu stehlen. Aber egal, welchen Schutz wir erfinden, Firewalls, Antiviren, Anti-Keylogger, Anti-Trojaner, Zertifikate - es gibt immer Die theoretische Wahrscheinlichkeit der Umgehung und des Diebstahls von Passwörtern (oder beispielsweise von Keeper-Schlüsseln) von einem Computer aus, da sowohl Hacker als auch Sicherheitstools den ONE AND SAME-Kanal, das Internet und das Problem des Internets verwenden, besteht keine andere Alternative Es ist ein Enum, das dieses Problem löst und uns den gleichen Kanal bietet: Ein Hacker kann auf Ihren Computer zugreifen, einen Trojaner-Virus anstecken, aber nicht auf Ihr Mobiltelefon. Es ist auch nicht möglich, den Enum Client-Algorithmus von einer für jeden Benutzer eindeutigen Nummer zu erhalten "( http://owebmoney.ru/enum.shtml ).

ENUM Systemlogo

Abbildung 11. Logo des ENUM-Systems.

Händler-Service

Abbildung 12. Händlerdienst.

Ist es wirklich so? Wie das Sprichwort sagt, "wenn Sie nicht können, aber wirklich wollen, dann können Sie es trotzdem." Der zusätzliche "Kommunikationskanal" erhöht zwar die Sicherheit um ein Vielfaches, es ist jedoch verfrüht, über die Unmöglichkeit des Brechens zu sprechen. Beginnen wir mit der Tatsache, dass der Algorithmus zum Generieren von Zahlen für alle Benutzer immer noch derselbe ist (wenn Sie nicht glauben, das MIDlet zu demontieren), ist nur der Generierungsschlüssel unterschiedlich und es ist durchaus möglich, ihn zu übernehmen. Es reicht aus, eine einzelne Antwort für eine gegebene Zahlenkombination abzufangen. Die Wiederherstellung des Schlüssels dauert nicht lange und das Trojaner-Programm ist durchaus in der Lage. Ich hoffe nicht, dass Sie erklären müssen, wie eine Zahlenkombination aus dem Bearbeitungsfenster gelesen wird.

Darüber hinaus enthalten Handys eine Reihe von Löchern. IR-Protokolle und Blue Tooth wimmeln buchstäblich mit ihnen. Die Zeitschrift "Hacker" hat wiederholt darüber geschrieben. Wenn das Opfer ein Mobiltelefon oder einen PDA hat, hat es vielleicht auch einen Blue Tooth- oder IR-Adapter, der es ständig eingeschaltet hält. Ein Angreifer kann beliebige AT-Befehle an das Telefon senden, Midlets ausführen oder deren Inhalt lesen. Und was?! Sie können einen Virus anheften und schreiben, der E-Wallets stiehlt und per Handy überträgt! Alle Firewalls umgehen! Hier haben Sie einen zusätzlichen Kommunikationskanal!

All dies ist jedoch ein quälender alter Hacker von myshh'astnogo. Die Stimmung ist einfach schlecht. Es regnet und nur Sirenia rettet vor Depressionen (eine sehr mächtige Gothic-Band aus dem fernen Norwegen - ich empfehle es). Wenn Sie es ernst nehmen (in solchen roten Augen sind die Augen klein wie Perlen), müssen Sie erkennen, dass ENUM sehr schwer zu hacken ist, daher besteht ein gewisser Sinn darin. Dies bedeutet jedoch nicht, dass Sie eine elektronische Geldbörse starten und 100.000 US-Dollar sicher darauf legen können. Dann einfach gehackt!

ZahlungsaktivierungZahlungsaktivierungZahlungsaktivierung

Abbildung 13. Aktivierung der Zahlung per Mobiltelefon über das ENUM-System.

Wie tausche ich aus?

Das Hacken von Austauschern ist nicht in unseren Plänen enthalten (nicht jeder hat einen eigenen Tauscher, und es ist illegal, andere zu brechen), daher beachten wir nur die wichtigsten Punkte. Aus Sicht eines Hackers ist der Tauscher in der Regel eine von PHP verwaltete Site, die unter Linux / BSD / NT läuft.

Hier werden sie durch Fehler in PHP-Skripten meistens beschädigt. Einige Web-Programmierer verlassen die "Hintertür", falls sie plötzlich etwas essen wollen, aber es gibt nichts zu essen. Brechen Sie selten die Achse. Die meisten Löcher haben natürlich NT und alle davon abgeleiteten Systeme (einschließlich des gelobten Windows 2003 Servers). Linux und BSD sind etwas schwieriger zu brechen, aber ... wenn Sie einen Sicherheitsscanner (z. B. X-Spider) verwenden, stellen Sie möglicherweise fest, dass viele von ihnen eine ungeschickte SendMail oder einen verrosteten Apache haben. Pufferüberlauf, Shellcode-Versand und Server in unseren Händen!

Hacker-Arbeitsplatz

Abbildung 14. Der Arbeitsplatz des Hackers.

Fazit

WebMoney zu hacken ist kein Mythos, sondern eine harte Realität, und Sie können nicht zu 100% sicher sein, selbst wenn Sie ein Sicherheitsexperte sind. Es besteht immer die Gefahr, dass ein Virus durch ein noch unbekanntes Loch im Betriebssystem oder Browser eingeklemmt wird. Wenn ein Backup den Verlust von Betriebsdaten auf der Festplatte speichert, werden durch die physische Trennung des Intranets vom Netzwerk die Weitergabe vertraulicher Daten nicht gesichert.

Sireina

Abbildung 15. Sireina - gotische Hackermusik, die Mysh'ha wurstig macht.