This page has been robot translated, sorry for typos if any. Original content here.

Piratage et protection de WebMoney

Contrairement à toutes les assurances des développeurs, le système WebMoney est catastrophiquement incertain et s’ouvre littéralement avec un ongle. Il y a beaucoup de vers, de chevaux de Troie et de groupes de pirates informatiques, spécialisés dans le vol de portefeuilles électroniques, dont le vol a pris une ampleur considérable. Voulez-vous savoir comment cela se fait et comment vous protéger?

Introduction

Commençons par quelque chose qui ne peut pas être. Aucun "générateur WebMoney" n'existe et ne peut exister en principe. Tout l'argent est stocké sur le serveur central de l'opérateur et les portefeuilles électroniques ne sont qu'un moyen d'y accéder. En gros, du fait que vous allez générer une combinaison de chiffres pour le code verrou, l’argent et les bijoux n’apparaîtront pas dans le coffre-fort. Et bien qu'il soit possible de sélectionner un chiffrement pour quelqu'un d'autre, la probabilité de l'ouvrir sans l'aide du propriétaire (nous nous souvenons du hussard!, Mais nous sommes silencieux) à propos du fer à souder est si petite qu'il n'en vaut pas la peine!

Mais voler la combinaison de quelqu'un d'autre est bien réel! C'est ce que font les "générateurs WebMoney". Ils font soit un duplicata du porte-monnaie électronique et le transmettent à l'attaquant, soit ils appellent secrètement Keeper et transfèrent sur leur compte. De même, il existe des virus et des chevaux de Troie. Attaques ciblées et ciblées sur une victime spécifique. Puis-je me protéger d'eux? Le système WebMoney, mis au point par des non-spécialistes, a été conçu à l’origine sans tenir compte de la sécurité. Les utilisateurs sont désorientés dans les systèmes de sécurité, le service de support donne des recommandations plutôt vagues et vagues (mettre à jour Windows, configurer le pare-feu, etc.) et, en attendant, le vol des portefeuilles électroniques se poursuit.

Nous ne nous donnons pas pour tâche d'enseigner à qui que ce soit à voler, nous voulons juste montrer et prouver (!) Que le système WebMoney est vraiment très peu fiable et qu'il n'a même pas été projeté (il est néanmoins joint par la moelle). . Il n'y aura pas de mots vagues (pour que nous ne soyons pas accusés de diffamation), mais il n'y aura pas de recommandations concrètes. Nous ne donnons pas de programmes d'attaque prêts et ne disons pas quels baitics vous devez pirater, mais croyez-moi - tous les outils de piratage nécessaires peuvent être créés à partir de zéro en une nuit - un temps sacré pour les pirates!

Mais à propos de tout dans l'ordre. Nous ne nous précipiterons pas et ne pointerons pas le disque laser dans le lecteur, d'autant plus que ce dernier sera toujours nécessaire.

Ils sortent de l'obscurité, enlèvent tout l'argent électronique et ne vont nulle part

Figure 1. Ils sortent de l’obscurité, enlèvent tout l’argent électronique et ne vont nulle part.

CE QUI EST POSSIBLE ET CE QUI NE PEUT PAS (REVIVAL)

L'expérimentation (à des fins éducatives) n'est possible qu'avec votre propre porte-monnaie électronique ou avec les bourses des personnes qui ont donné une autorisation écrite. Les interférences non autorisées dans les systèmes et les portefeuilles d'autres personnes sont absolument inacceptables !

Ils attrapent ceux qui viennent des ténèbres et les emmènent au monde d'où il n'y a pas de retour

Figure 2. Ils attrapent ceux qui viennent de l’obscurité et sont emmenés au monde d’où il n’ya pas de retour.

Début commencé ou le missionnaire classique

Le système WebMoney est une sorte d'analogue des chèques bancaires ordinaires, ce qui signifie que pour effectuer des paiements, nous devons nous inscrire au préalable sur le serveur central de l'opérateur et ouvrir un compte, ce qui constitue déjà un inconvénient majeur.

Nous allons à www.webmoney.ru , téléchargez le programme Keeper Classic, exécutez-le (en passant, faites fonctionner via le serveur proxy, ce miracle scientifique et d'ingénierie pensait que je n'ai pas réussi, je devais soulever port NAT et mapp 2802), remplissez les données d'enregistrement lanterne ou honnête), nous trouvons un mot de passe à notre goût, après quoi le programme procède à la génération d'une clé secrète et nous demande de tirer la souris et d'appuyer sur les touches. Ceci est nécessaire pour obtenir des données vraiment aléatoires, comme si le générateur pseudo-aléatoire basé sur une minuterie ne convenait pas ici. Dans le contexte de l'insécurité générale du système, courageux avec les mots RSA, RC5, MD4, MD5, SSL est tout simplement idiot. Cependant, le calcul psychologique des développeurs est compréhensible pour moi. Si la clé secrète est générée en une fraction de seconde - quel utilisateur y croit?

Elle n'apparaît nulle part, n'attrape personne, mais s'assoit et soude

Figure 3. Il n'apparaît nulle part, n'attrape personne, mais s'assoit et soude simplement.

Quoi qu'il en soit, à la fin de l'enregistrement, un identifiant WMID (Web Money ID) à 12 chiffres unique nous est attribué et une paire de clés est générée. La clé publique est transférée sur le serveur central de l'opérateur WebMoney et la clé secrète est stockée dans un fichier portant l'extension * .kwm (Clé de Web Money), qui peut se trouver sur le disque dur, un support amovible ou une carte à puce. En bref, la cryptographie asymétrique ordinaire telle que PGP.

Un autre fichier est créé * .pwm, qui stocke des informations sur nos portefeuilles (solde actuel, historique des transactions, etc.). En principe, ce n'est pas nécessaire, car toutes les informations se trouvent sur le serveur central de l'opérateur. Keeper peut fonctionner sans fichier * .pwm, en téléchargeant automatiquement les données du réseau, mais seulement pour les trois derniers jours. Strictement parlant, le fichier * .kwm est également facultatif et peut être restauré. Pour ce faire, vous devez connaître le mot de passe, avoir accès à la boîte aux lettres spécifiée lors de l'inscription, ainsi qu'une déclaration notariée indiquant que vous n'êtes pas un orignal (plus d'informations à ce sujet: http://www.owebmoney.ru/returnkey.shtml ). Théoriquement, un pirate informatique ne peut pirater notre argent que sur la base d'un mot de passe, mais en pratique, cela est trop gênant et dangereux.

L'information secrète qui régit l'accès au portefeuille n'est qu'une clé kwm. WMID est publié partout ouvertement et c'est normal. Connaissant WMID, vous pouvez trouver les données d'enregistrement de l'utilisateur, qu'il a marqué "ouvert", mais vous ne pouvez pas déterminer le numéro de son portefeuille (sacs à main).

Le numéro de bourse est une information confidentielle conditionnelle. Connaissant le numéro de bourse, nous ne pouvons pas en retirer d’argent, mais nous pouvons le facturer en remplissant le champ "description de l’achat" de manière aussi plausible que possible. Le chemin bien sûr, bête, mais il y a une chance que ça passe. Les utilisateurs payant régulièrement un grand nombre de petits comptes s'habituent progressivement à ne pas y prêter attention et à vérifier la colonne "de qui" uniquement en cas de doute. Bien sûr, il n'y a pas de buzz dans cette façon de pirater, de plus, un intrus peut très gravement se faire brûler et aller à la compagnie d'un oncle qui va déchirer son cul, alors il n'a jamais trouvé de popularité appréciable.

Nous exposons la victime à une gauche, mais compte plausible

Figure 4. Nous exposons la victime à la gauche, mais avec un compte plausible - soudainement et payez?

Mais voler des fichiers kwm est en plein essor. Par défaut, les clés sont stockées dans keys.kwm, mais, en principe, le nom du fichier peut être n'importe quoi, voire l’extension. La plupart des hackers et des chevaux de Troie effectuent une recherche idiote sur le masque * .kwm. Renommer le fichier de clés dans dontreadme.txt augmente donc notre sécurité. Cependant, les pirates peuvent entrer dans le registre où Keeper conserve ses paramètres et affiche le chemin du fichier. Vous pouvez également effectuer une recherche par son contenu, en analysant tous les fichiers (bien que cela prenne beaucoup de temps et provoque une activité de disque suspecte). Les gourmets intercepteront probablement l'appel à l'API CreateFile, qui affiche les fichiers ouverts par Keeper. Et même si le format des paramètres de registre dans les versions ultérieures est modifié, l'option avec CreateFile continuera à fonctionner (conseil: si les développeurs n'étaient pas des idiots, ils créeraient plusieurs fichiers avec les clés - une authentique, tout le reste - des capteurs de surveillance, anxiété).

Masquer le fichier kwm loin des pirates

Figure 5. Cacher le fichier kwm loin des pirates.

Par défaut, la taille du fichier de clé est de 1,2 Mo (dans l'ordre exact, sur une disquette), mais vous pouvez l'augmenter à 100 Mo si vous le souhaitez. Cela rend difficile de voler la clé avec la transmission sur Internet, et, en général, ne crée aucun inconvénient insurmontable. 100 Mo correspond à la moitié d'un mini CD-R, l'un est un Zip-100M ou deux CD-R au format carte de visite. Bien sûr, la vitesse du système diminuera dans une certaine mesure (un gros fichier ne lit pas immédiatement), mais la sécurité en vaut la peine. Ou est-ce que ça ne vaut pas la peine? Sur le réseau local, faire glisser 100 Mo n'est pas un problème, selon le modem DSL ou Internet par câble. Et même une honte selon les normes actuelles, le modem pour 33600 donnera ce fichier dans environ 70 heures. Pas tellement, si vous vous rappelez que pratiquement aucun utilisateur ne régénérera les clés tous les jours. Couper le fichier en petits morceaux transférés en arrière-plan, le faire glisser en deux ou trois semaines est tout à fait possible, bien que ce soit la façon la plus terne et la moins prometteuse.

Si un pirate informatique a infiltré le système de quelqu'un d'autre (et que vous pouvez le pénétrer de différentes manières), il n'a pas besoin de télécharger le fichier en mémoire, d'ouvrir le portefeuille, de transférer de l'argent sur son compte et de saisir le disque dur. . Au fait, au détriment de "se plaindre". Il n'y a pas beaucoup d'options et il n'y a aucun moyen d'aider. Eh bien, peut-être du Seigneur Dieu (si vous êtes un vrai dieu, retournez mon argent, vous êtes sic fuck) et les frères. Si nous avons toujours accès à WMID (qui est un pirate stupide!), Vous pouvez déterminer le WMID vers lequel l'argent a été transféré, allez sur le site Web du service d'arbitrage ( http://arbitrage.webmoney.ru/ ), payez les frais d'arbitrage (un pour cela, vous devez avoir WebMoney, que nous avons nettoyé par un intrus) et bloquer le porte-monnaie des pirates. Seulement si le pirate n'est pas un wapiti, l’argent pour quelques minutes sera transféré à e-gold ou par tout autre moyen retiré du système, de sorte que sur son porte-monnaie ils ne seront pas et seront bloqués spécialement et il n’ya rien. Soit dit en passant, les portefeuilles avec passeport initial ou personnel ne sont bloqués que par la décision de la commission d’arbitrage, c’est-à-dire qu’il suffit de prendre le certificat et de ne pas dire que les propriétaires des certificats ne volent pas. Agashchazblin! Taki le tien? La délivrance des certificats est maintenant prise en charge par tous ceux qui ne sont pas trop paresseux et espèrent qu'ils sont tous des gens honnêtes, consciencieux et incorruptibles, simplement naïfs, surtout en ce qui concerne l'argent, même la monnaie électronique. Une personne déterminée à voler 100 000 dollars (et pourquoi pas) obtiendra sans problème non seulement un certificat de figue, mais aussi un faux passeport. Eh bien, qui sur ce certificat cherche alors? Même si les employés de MVD forgent des passeports sur le flux, dont la télévision a souvent parlé (ce qui est criminel), alors qu'en est-il des "certificats" qui n'ont aucun statut légal?

Cependant, la situation avec le transfert d’argent volé à travers plusieurs portefeuilles était toujours considérée par les développeurs, et ils ont soigneusement asservi les ... intrus! Jugez par vous-même. La victime, après avoir déposé la réclamation susmentionnée, doit contacter l’administrateur du service d’arbitrage (WMID 937717494180, arbitrage@webmoney.ru) et lui demander de suivre toute la chaîne. Tout le "charme" est que l'administrateur ne travaille que du lundi au vendredi de 10 à 18 heures à Moscou. Nous disons qu'ils ne sont pas un service de secours et nous voulons aussi dormir. Très bon système de paiement, je vous le dis! Le retrait de l'argent du système étant quasi instantané et le compte continu pendant quelques minutes, l'administrateur, vous voyez, veut du bainki. Je ne comprends pas, est-ce une auberge de jeunesse ou un système de paiement?! Qu'est-ce qui valait la peine au millionième de révolution (dont la publicité ne cesse de parler) d'embaucher plusieurs personnes pour une assistance 24h / 24?! Après tout, il s'agit d'argent dans ce cas! Naturellement, il est plus sûr pour les pirates de commettre un vol à minuit ou le week-end. Mais ça va, laissez des mots vides et apprenez à connaître Keeper de près.

Gardien à l'extérieur et à l'intérieur

Ici, certains admirent comment le développeur a réussi à pénétrer autant dans le volume de Keeper (" Je ne sais pas pour vous, mais j'admire sincèrement ceux qui, avec 2 Mo de la distribution Keeper Classic, ont réussi à les emballer c'est le cas de l'extérieur ", http://www.owebmoney.ru/clashistory.shtml ). Et que contiennent-ils en fait? Bien sûr, à cet âge, quand "Bonjour, Monde!" va difficilement interférer avec le disque laser, les programmes qui prennent "juste" quelques mégaoctets provoquent déjà le respect ...

Le volume principal (~ 2,2 Mo) est occupé par WMClient.dll qui, en fait, est Keeper lui-même. Ceci est un objet DCOM écrit en Microsoft Visual .NET avec une compilation en code machine, décompressé et rien, je le répète, n'interfère avec son analyse. Il n'y a pas de cryptage, pas de p-code, pas de techniques anti-débogage, pas de contre-opération au désassembleur, au dumper, à l'API espion. Rien! Prenez et analysez! Dans tous les cas, la version 2.4.0.3 (la plus récente au moment de la rédaction de ce document) se comporte exactement comme cela. Si les développeurs au moins un peu plus intelligents, ils utiliseraient Microsoft Visual C ++ 6 (le fameux "six"), plus un protecteur de haute qualité (par exemple, ExeCryptor), ou compileraient l'application NET en code p, beaucoup plus difficile à démonter.

WebMoney.exe (~ 180 kilo-octets) est seulement un "puskalka" et il n'y a rien d'intéressant, néanmoins cela vaut toujours le démontage. Au moins plus tard, rire des développeurs et évaluer leurs qualifications.

Keeper Classic en désassembleur

Figure 6. Keeper Classic dans le désassembleur.

Donc, supposons qu'un ordinateur avec Keeper installé est incorporé avec un code pirate qui s'exécute avec des privilèges d'utilisateur (convenons que nous n'avons pas obtenu de droits d'administrateur et, bien que nous augmentions nos privilèges de l'utilisateur sur W2K / XP, en général) pas un problème, encore moins 9x, où il n'y avait pas de division des privilèges, nous agirons dans des conditions spartiates, proches des combats. Que pouvons-nous faire? Nous avons deux façons. Pré-désassembler Keeper'a, restaurer le protocole d'échange avec le serveur, attendre que le média soit inséré, qui est la clé secrète et ... vous fantasmer. Personnellement, je fouine dans la paresse de Keeper'e. Le démontage est une affaire laborieuse et la restauration du protocole d'échange peut prendre plus d'une semaine. L'utilisation de renifleurs raccourcit de manière significative cette fois, mais toujours "cassé". Il est beaucoup plus facile et plus efficace de voler l'argent des mains de Keeper lui-même. Nous installons un espion interceptant les entrées du clavier, attendons l'entrée WMID ou définissons-le autrement, car WMID n'est pas un secret (la première méthode est principalement utilisée par les virus, la seconde est bonne pour les attaques ciblées) après 18 heures ou un jour de repos, nous désactivons la sortie à l'écran, lance WebMoney.exe et en émulant l'entrée clavier-souris, tout ce que nous voulions. Par exemple, nous remplissons la bourse de la victime. Et pourquoi pas?! Nous brisons notre propre portefeuille, non? Ça y est, remplissez-le! Nous ne sommes pas des gangsters, mais des hackers honnêtes!

La technique de l’émulation en entrée est décrite en détail dans "Notes of myshh'a", dont la version électronique peut être grattée gratuitement sur le serveur ftp://nezumi.org.ru/ de myshh'inogo ftp-server (pour rappeler qu’elle n’est pas disponible tout le temps), pour le même dans la salle 67 Hacker a été publié un article "Breaking WebMoney" dans lequel tout cela est décrit. Ainsi, nous ne produirons pas de démagogie et ne mâcherons pas le caoutchouc cent fois. Nous notons uniquement le mécanisme général. Nous trouvons d'abord la fenêtre Keeper en appelant FindWindow ou EnumWindows et en définissant son handle. Ensuite, en utilisant EnumWindows, énumérez les fenêtres enfants appartenant aux contrôles (boutons, lignes d'édition, etc.). Envoi de divers messages pour contrôler les éléments (cela peut être fait en utilisant la fonction SendMessage), nous les prenons facilement sous notre contrôle. La désactivation de la sortie à l'écran s'effectue soit par l'interception des services GDI (implémentée de manière compliquée, mais aussi par la hâte) ou en plaçant une fenêtre distrayante sur le Keeper, par exemple une fenêtre de navigateur avec une image pornographique. Oui, beaucoup de choses peuvent être inventées ici!

Le problème est que, à partir de quelque temps, l'émulation terne a cessé de fonctionner. Keeper a acquis des soi-disant "figures volantes". Comme ceux utilisés pour empêcher l'enregistrement automatique sur de nombreux sites. Avant d'effectuer un paiement, vous devez saisir trois numéros graphiques qui apparaissent aléatoirement à l'écran. L'idée, bien sûr, est intéressante, mais ici, elle est évidemment empruntée à sa place. Enfance lourde, mauvaises habitudes, gueule de bois profonde. Et ta tête est bo-bo. Cependant, la tête ici pas et. Cependant, elle n'a personne à qui penser. Les développeurs n'ont évidemment pas appris les techniques de sécurité. Une connaissance sommaire dans le style de «ici bourré, puis la fille a dansé, puis j'ai déplacé une brique» et une baguette de tous les côtés.

Protection du gardien

Figure 7. Protection Keeper'a "figures volantes".

Pourquoi les "numéros volants" agissent-ils sur les serveurs Web (où ils sont apparus pour la première fois)? En effet , premièrement, le code de sécurité est hors de la portée du pirate et, deuxièmement, parce que la protection vise uniquement les robots, mais pas les personnes. Pour protéger mail.ru des spammeurs et des vandales, cette mesure est plus que suffisante, mais pas pour Keeper! Premièrement, dans les versions actuelles de Keeper, les personnages volants sont facilement reconnaissables par une simple reconnaissance optique des caractères, qui peut facilement contenir une centaine de kilo-octets (en utilisant des bibliothèques prêtes à l'emploi). il les a reconnus lui-même, troisièmement, cette protection est désactivée bit-hack, c'est-à-dire éditer le code machine Keeper, quatrièmement, les numéros volants peuvent être coupés dans le registre (si vous essayez de les déconnecter à l'aide des outils de Keeper, cela vous demandera confirmation de la légitimité de cette opération); les hackers resteront le décryptage du protocole d'échange et la création de leurs propres clients sans aucun chiffre là, au sixième ... Bref, les méthodes de piratage sont très, très nombreuses et il n'y a pas d'avantage de protection. Anciennes versions sans chiffres volants ou les désactiver comme inutiles.

Et voici une autre puce largement annoncée: la confirmation de l'autorisation par courrier électronique. Sur un aspect peu sophistiqué, tout a l'air de fer - avant de pouvoir faire quelque chose avec notre compte, il est nécessaire d'entrer le code qui viendra par e-mail. Si le pirate réprouve le fichier * .kwm, il restera avec le nez, et nous - avec l'argent. Après tout, il n’aura pas accès à notre boîte aux lettres. La logique est le fer, mais c'est faux. Les boîtes aux lettres ne sont pas si difficiles à casser (des méthodes spécifiques de piratage sont listées dans divers livres et articles, donc je ne le répéterai pas). L'exception est peut-être le vol de cartes à puce et de supports amovibles avec des clés, mais ... en règle générale, ce type de vol est effectué par des personnes proches qui peuvent baiser et envoyer des messages électroniques ou par des voleurs ayant un accès physique au support amovible. , généralement à proximité immédiate de l'ordinateur. Eh bien aussi qu'est-ce qu'il leur faut voler encore et le mot de passe sur une boîte?

Ok, mais qu'en est-il de bloquer toutes les adresses IP, sauf la vôtre? Commençons par le fait que dans les réseaux locaux, la saisie de l'adresse de quelqu'un d'autre n'est pas un problème insurmontable. Le même utilisateur assis sur le Dial-Up reçoit généralement des adresses IP dynamiques attribuées à partir du pool partagé. Les prescrire - vous vous enlisez, et tout client du même fournisseur sera autorisé sans aucun problème. Mais ce n'est pas grave. Aucun pirate informatique pour garder le portefeuille de quelqu'un d'autre n'est nécessaire. Il va simplement retirer de l'argent avec les mains de Keeper, lancé sur l'ordinateur de la victime, qui a probablement la bonne adresse IP et aucun "blocage", il ne s'arrête pas!

Les mesures de protection proposées par les développeurs peuvent être répertoriées très longtemps. Presque tous se concentrent sur le vol * .kwm avec le transfert ultérieur sur le réseau. Pour une raison quelconque, les développeurs pensent que c'est le seul moyen de pirater, même si c'est loin d'être le cas. Ils conseillent également de configurer "correctement" le pare-feu pour empêcher les fuites d'informations et patcher régulièrement le système afin que ni les pirates ni les vers ne s'infiltrent. Eh bien, au détriment des pare-feu, ils étaient clairement excités. Il suffit de se rendre sur le site populaire http://www.firewallleaktester.com/ pour s’assurer que des attaques transpercent tous les pare-feu personnels. J'ai aussi écrit à ce sujet dans "Notes du chercheur sur les virus informatiques", dont des fragments peuvent être téléchargés à partir de ftp://nezumi.org.ru/ , il y a aussi un code de démonstration prêt.

Maintenant, regardons les mises à jour. De nombreux sites qui acceptent les paiements via WebMoney ne fonctionnent qu'avec IE, car ils utilisent ActiveX. Et bien que les plug-ins soient disponibles pour des navigateurs alternatifs comme Opera et Fox, ils fonctionnent d’une manière ou d’une autre et, en réalité, vous devez utiliser IE, le nombre de trous qui mérite le livre Guinness des disques. C'est-à-dire, les créateurs de WebMoney eux-mêmes podsazhivayut nous sur un navigateur troué, et toujours recommander soigneusement - ne pas oublier de mettre à jour à temps, disent-ils. Peut-être que je devrais changer de sexe aussi?! Donc, le problème n'est pas avec les utilisateurs. Le problème dans le cerveau du développeur (ou plutôt dans leur absence complète). Le problème est le concept de tout le système. Le problème est la vulnérabilité fondamentale du protocole de transfert d'argent et de la vulnérabilité de Keeper. Heck, combien d’années existe-t-il déjà des algorithmes pour générer des clés «uniques», dans lesquelles il n’ya tout simplement rien à voler et rien à voler. Mais pourquoi est-ce que je les connais - assez loin de la cryptographie et des fraudes financières, mais je ne connais pas les développeurs du système de paiement? Ponaprimanali on ne sait pas qui ...

Gardien de lumière ou lutte contre les certificats

L'insécurité du Keeper classique est un fait commun, mais Light est toujours considéré comme très sécurisé: " Dans Keeper Classic, vous pouvez faire glisser le fichier avec des clés dans des pièces, le courrier électronique peut être piraté, etc. le moment où une disquette ou un CD est inséré. Autrement dit, il est théoriquement possible d'obtenir de l'argent, mais avec toutes les précautions, c'est extrêmement difficile. Mais Light avec un certificat non exporté offre une garantie de sécurité à 100%. cafe / index.php? showtopic = 108 ).

Cela semble tentant, mais comment cela fonctionne-t-il dans la pratique? Essayons de comprendre. Commençons par la question: comment fonctionne Keeper Light? C'est très simple La clé secrète est maintenant stockée non pas dans le fichier * .kwm, mais dans un certificat spécial, et toute la gestion passe par une interface Web utilisant des protocoles cryptographiques spéciaux.

Où le navigateur stocke-t-il les certificats? Dépend du navigateur lui-même. Par exemple, Mozilla - dans le répertoire "./mozilla/defaul/<blahblahblah>/cert8.db", mais IE, fonctionnant sous Windows XP Professionnel, utilise un système très complet. Les certificats avec des clés publiques sont stockés dans un magasin personnel situé dans le répertoire Documents-n-Settings \ <nom d'utilisateur> \ Application-Data \ Microsoft \ SystemCertificates \ My \ Certificates, gratuit pour tous (il s'agit d'informations publiques!) . Les certificats d'utilisateur se trouvent dans son profil. Les clés privées sont stockées dans le répertoire Documents-n-Settings \ <nom d'utilisateur> \ Application Data \ Microsoft \ Crypto \ RSA. Tous les fichiers situés ici sont automatiquement chiffrés avec une clé symétrique aléatoire - la clé principale de l'utilisateur, 64 caractères. La clé principale est générée à l'aide de l'algorithme Triple DES en fonction du mot de passe utilisateur avec lequel elle est connectée.

Que signifie tout ce garde-corps théorique en termes pratiques? Et le fait que vous ne pouvez pas voler un certificat avec une clé privée sous Windows XP! En d'autres termes, il sera possible de voler quelque chose, mais cela ne sera d'aucune utilité, car cela ne fonctionnera tout simplement pas sur l'ordinateur de quelqu'un d'autre! (Sur cela lui et le certificat fermé!). Certes, il peut être exporté sans même avoir de privilèges spéciaux. Distribuez le programme Gestionnaire de certification si vous ne savez pas comment. En fait, pour transférer des certificats d'un ordinateur à un autre, Keeper Light utilise le certificat exporté, qui est stocké dans des fichiers portant l'extension .pfx. Ils peuvent être trouvés à la fois sur des supports externes et sur des disques durs. Ici seulement il y en a un "mais". Le certificat exporté est fermé avec un mot de passe attribué par l'utilisateur, et pour l'importer dans votre système, vous devez soit lancer un enregistreur de frappe, soit essayer d'ouvrir le mot de passe par force brute. Mais le premier est trop perceptible, le second est long et le vol des certificats ne s’est pas généralisé.

Demander un mot de passe lors de l'importation d'un certificat

Figure 8. Demande d'un mot de passe lors de l'importation du certificat.

Est-ce que cela signifie que Keeper Light est protégé? Non et encore une fois non! Si Keeper Classic peut être protégé au moins théoriquement (installez un pilote qui fournit une entrée directe au clavier, coupe les émulateurs et surveille l'intégrité de Keeper), Keeper Light fonctionne via un navigateur dont l'intégrité ne peut pas être contrôlée en principe!

La première chose qui vient à l’esprit est l’émulation déjà mentionnée. Nous disons "démarrer https://light.webmoney.ru", en cachant la fenêtre du navigateur d'une manière ou d'une autre (il suffit de prendre sa poignée et vous pouvez dessiner dessus, ce qui est horrible) et émuler la séquence de touches pour reconstituer le porte-monnaie électronique. Agit ironiquement et inévitablement. Le seul inconvénient - chaque type (et, éventuellement, la version) du navigateur nécessite son approche, mais vous ne pouvez vous concentrer que sur IE 5/6, comme le plus populaire.

Les autres navigateurs sont encore plus faciles. Nous prenons la source de la Fox et créons un mini-navigateur de hackers basé sur eux, qui n'affiche rien sur l'écran, mais il ne fonctionne qu'avec des portefeuilles. Certes, parmi les utilisateurs de WebMoney, Fox n’est pas tellement, mais c’est encore mieux que rien du tout. Soit dit en passant, laissez les adhérents d'IE ne pas se sentir en sécurité. Les textes W2K originaux ont été volés il y a longtemps et il est tout à fait possible de créer votre propre clone IE sur leur base, sans mentionner qu'IE n'est qu'un ensemble d'objets DCOM et même un débutant peut créer un navigateur sur cette base.

Gardien lumière

Figure 9. Keeper Light est simplement une interface Web qui vous permet de travailler avec votre portefeuille via n'importe quel navigateur.

Et si vous importez le certificat avant chaque ouverture du portefeuille, puis le supprimez du référentiel? En effet, cela augmentera la sécurité dans une certaine mesure, cependant, le programme pirate peut attendre que la fenêtre "WebMoney Keeper :: Light Edition" apparaisse, signalant que l'utilisateur s'est connecté ou espionné les clés en transmettant un mot de passe secret sur le réseau. La monnaie électronique est donc toujours dans une situation délicate!

Autorisation par téléphone portable - fiable?

Le dernier cri de la mode était le système d'autorisation à l'aide d'un téléphone portable. Lors de l'enregistrement avec le service ENUM ( http://enum.ru/ ), une application Java spéciale (également appelée MIDlet) qui s'appelle le client Enum est installée sur le téléphone mobile. Il prend des nombres à cinq chiffres (par exemple, 09652) et génère une réponse basée sur eux, et l'algorithme de génération est unique pour chaque utilisateur. S'il n'y a pas de téléphone portable, Pocket PC ou tout autre appareil compatible Java (par exemple, un ordinateur de bureau, cela aura du sens).

Séquence d'opérations lors de l'activation d'un paiement via un téléphone portable ou un PDA

Figure 10. Séquence d'opérations lorsque le paiement est activé via un téléphone portable ou un PDA.

Le service ENUM vous permet d'effectuer des achats via le service marchand ( https://merchant.webmoney.ru/ ) sans avoir recours à Keeper - ni au classique, ni au cloné. On pense que casser un porte-monnaie électronique et voler de l'argent dans ce cas ne sera pas possible: "Les escrocs et les auteurs de virus utilisent Internet pour voler des informations précieuses sur nos ordinateurs, mais quelle que soit la protection que nous avons inventée - pare-feu, antivirus, anti-sabotage la probabilité théorique de contourner et de voler des mots de passe (ou des clés de Keeper, par exemple) à partir de l'ordinateur, car les pirates et les outils défensifs utilisent UN SEUL canal - l'Internet. le ENUM résout ce problème, il nous fournit cet autre canal. Le pirate peut se connecter à votre ordinateur, "connecter" le virus de Troie, mais il ne pourra pas entrer dans votre téléphone mobile. quel algorithme unique pour chaque utilisateur Enum Client d'un numéro obtient un autre, aussi, ne peut pas être "( http://owebmoney.ru/enum.shtml ).

Le logo du système ENUM

Figure 11. Logo du système ENUM.

Service marchand

Figure 12. Service marchand.

Est-ce vrai? Comme dit le proverbe, "si vous ne pouvez pas, mais que vous voulez vraiment, vous pouvez toujours le faire." Un "canal de communication" supplémentaire augmente en effet la sécurité à plusieurs reprises, mais il est prématuré de parler de l'impossibilité du piratage. Pour commencer, l' algorithme pour générer des nombres pour tous les utilisateurs est toujours le même (démonter le MIDlet, si vous ne le croyez pas), seule la clé de génération est différente et il est possible de la sélectionner. Il suffit d'intercepter une seule réponse pour cette combinaison de nombres. La restauration de la clé ne prend pas longtemps et le programme Trojan est tout à fait capable. J'espère que vous n'avez pas besoin d'expliquer comment lire une combinaison de chiffres à partir de la zone d'édition.

De plus, les téléphones portables contiennent un tas de trous. Les protocoles IR et Blue Tooth les envahissent littéralement. Le magazine "The Hacker" a écrit à plusieurs reprises à ce sujet. Si la victime possède un téléphone portable ou un assistant numérique personnel, elle dispose peut-être d'un adaptateur Blue Tooth ou IR qui le maintient en permanence. Un attaquant peut envoyer des commandes AT au téléphone, exécuter des midlets ou lire leur contenu. Et quoi?! Vous pouvez écrire un virus qui vole des porte-monnaie électroniques et les envoie à travers un téléphone portable! Contourner tous les pare-feu! Voici un canal supplémentaire pour vous!

Cependant, tout cela est une pioche du vieux pirate myshkhastny. L'ambiance est mauvaise. Il pleut, et seule Sirenia sauve de la dépression (un groupe gothique très puissant de Norvège lointaine - je le recommande). Si vous regardez sobrement la vérité dans vos yeux (dans de tels yeux rouges myshh'inye - petits, comme des perles), vous devez admettre que le piratage ENUM est très difficile, de sorte qu'il y a un sens à cela. Mais cela ne signifie pas que vous pouvez lancer un porte-monnaie électronique et y mettre 100 000 $ en toute sécurité. Alors certainement hack!

Activer le paiementActiver le paiementActiver le paiement

Figure 13. Activation du paiement par téléphone cellulaire via le système ENUM.

Comment casser les échangeurs

Le piratage des échangeurs n'est pas inclus dans nos plans (tout le monde ne possède pas son propre échangeur, et il est illégal de casser les autres »), notons simplement les points principaux. Du point de vue des hackers, l'échangeur représente un site, généralement géré par PHP et fonctionnant sous Linux / BSD / NT.

Ici, à travers des erreurs dans les scripts PHP, ils sont souvent cassés. De plus, certains programmeurs Web quittent la porte dérobée au cas où ils voudraient soudainement manger et il n'y aurait plus rien à manger. Briser rarement l'axe. Le plus grand nombre de trous, bien sûr, est NT et tous ses dérivés (y compris Windows 2003 Server). Linux et BSD sont un peu plus difficiles à casser, mais ... si vous prenez un scanner de sécurité (par exemple, X-Spider), vous pouvez constater que beaucoup d’entre eux sont maladroits SendMail ou Apache rouillés. Buffer overflow, envoi du code shell et du serveur entre nos mains!

Hacker Workplace

Figure 14. Le lieu de travail du pirate.

Conclusion

Hacking WebMoney n'est pas un mythe, mais une dure réalité et vous ne pouvez pas être sécurisé à 100%, même si vous êtes un expert en sécurité. Il y a toujours le risque d'attraper un virus dans un trou inconnu du système d'exploitation ou du navigateur et si la perte de données opérationnelles sur le disque dur sauve la réservation de la divulgation de données confidentielles - la déconnexion physique de l'intranet du réseau, le vol de monnaie électronique ne sauve rien!

Sireina

Figure 15. Sireina - Musique pirate gothique que sausbas myshh'a.