This page has been robot translated, sorry for typos if any. Original content here.

Piratage et protection de WebMoney

Contrairement à toutes les assurances des développeurs, le système WebMoney est catastrophiquement peu fiable et s'ouvre littéralement avec un ongle. Il y a beaucoup de vers, de chevaux de Troie et de groupes de hackers, spécialisés dans le vol de portefeuilles électroniques, dont le vol a pris une nature massive. Voulez-vous savoir comment cela est fait et comment vous protéger?

Introduction

Commençons par quelque chose qui ne peut pas être. Aucun "Générateur WebMoney" n'existe et ne peut exister en principe. Tout l'argent est stocké sur le serveur central de l'opérateur, et les portefeuilles électroniques ne sont qu'un moyen d'accès à celui-ci. Grosso modo, du fait que vous allez générer une combinaison de chiffres pour le verrouillage du code, l'argent et les bijoux n'apparaîtront pas dans le coffre-fort. Et bien qu'il soit possible de sélectionner un chiffre à quelqu'un d'autre, la probabilité de l'ouvrir sans l'aide du propriétaire (on se souvient du hussard!, Mais on se tait) du fer à souder est si petite qu'il ne vaut même pas la peine de parler!

Mais voler la combinaison de quelqu'un d'autre est tout à fait réel! C'est ce que font les "générateurs WebMoney". Ils font soit une copie du portefeuille électronique et les transfèrent à l'attaquant, ou ils appellent secrètement Keeper et transférer à leur compte. De même, il existe des virus et des chevaux de Troie. Aussi des attaques ciblées et ciblées sur une victime spécifique. Puis-je me protéger d'eux? Le système WebMoney, développé par des non-spécialistes, a été conçu à l'origine sans égard à la sécurité et, bien qu'il soit apparu récemment tout un ensemble de mesures «de lutte contre l'incendie», la situation reste critique. Les utilisateurs sont confus dans les systèmes de sécurité, le service de support donne des recommandations plutôt vagues et vagues (mise à jour de Windows, configuration du pare-feu, etc.), et pendant ce temps le vol de portefeuilles électroniques se poursuit.

Nous ne nous donnons pas la tâche d'enseigner à quelqu'un à voler, nous voulons juste montrer et prouver (!) Que le système WebMoney est vraiment très peu fiable et a été projeté même par un âne (il est néanmoins contigu par la moelle épinière), et on ne sait pas . Il n'y aura pas de mots vagues (de sorte que nous ne sommes pas accusés de diffamation), mais il n'y aura pas de recommandations concrètes. Nous ne donnons pas de programmes d'attaque prêts et ne disons pas quels outils vous devez pirater, mais croyez-moi - tous les outils de piratage nécessaires peuvent être créés à partir de zéro en une nuit - un temps sacré pour les pirates informatiques!

Mais à propos de tout dans l'ordre. Nous ne nous précipiterons pas et ne ferons pas pénétrer le disque laser dans le lecteur, d'autant plus que ce dernier sera toujours nécessaire.

Ils émergent de l'obscurité, enlèvent tout l'argent électronique et vont nulle part

Figure 1. Ils émergent des ténèbres, enlèvent tout l'argent électronique et ne vont nulle part.

CE QUI EST POSSIBLE ET CE QUI NE PEUT PAS (REVIVAL)

Expérimenter (à des fins éducatives) est possible seulement avec votre propre porte-monnaie électronique ou avec les bourses des personnes qui ont donné une autorisation écrite. Une interférence non autorisée dans les systèmes et les portefeuilles d'autres personnes est absolument inacceptable !

Ils attrapent ceux qui viennent des ténèbres, et les emmènent dans le monde d'où il n'y a pas de retour

Figure 2. Ils attrapent ceux qui viennent des ténèbres et sont emmenés dans le monde d'où il n'y a pas de retour.

Début a commencé ou le missionnaire classique

Le système WebMoney est une sorte d'analogue des chèques bancaires ordinaires, ce qui signifie que pour effectuer des paiements, il faut s'inscrire préalablement sur le serveur central de l'opérateur et ouvrir un compte, ce qui est déjà un inconvénient majeur, d'accord.

Nous allons à www.webmoney.ru , téléchargez le programme Keeper Classic, exécutez-le (en passant, le faire fonctionner par le serveur proxy, ce miracle de la pensée scientifique et technique, je n'ai pas réussi, je devais lever NAT et mapp 2802 port), remplir les données d'enregistrement lanterne ou honnête), nous arrivons avec n'importe quel mot de passe à notre goût, après quoi le programme continue à générer une clé secrète et nous demande de tirer la souris et d'appuyer sur les touches. Ceci est nécessaire pour obtenir des données vraiment aléatoires, comme si le générateur pseudo-aléatoire basé sur un temporisateur ne convenait pas ici. Dans le contexte de l'insécurité générale du système, courageux avec les mots RSA, RC5, MD4, MD5, SSL est tout simplement stupide. Cependant, le calcul psychologique des développeurs est compréhensible pour moi. Si la clé secrète est générée en une fraction de seconde - quel utilisateur y croira?

Elle n'apparaît nulle part, n'attrape personne, mais s'assoit et se soudent

Figure 3. Il n'apparaît nulle part, n'attrape personne, mais simplement s'assoit et soude.

Quoi qu'il en soit, à la fin de l'enregistrement, on nous attribue un ID WMID (Web Money ID) à 12 chiffres unique, et une paire de clés est générée. La clé publique est transférée au serveur central de l'opérateur WebMoney et la clé secrète est stockée dans un fichier portant l'extension * .kwm (Key of Web Money), qui peut être situé sur le disque dur, un support amovible ou une carte à puce. En bref, la cryptographie asymétrique ordinaire telle que PGP.

Un autre fichier est créé * .pwm, qui stocke des informations sur nos portefeuilles (solde actuel, historique des transactions, etc.). En principe, ce n'est pas nécessaire, car toutes les informations se trouvent sur le serveur central de l'opérateur. Keeper peut fonctionner sans un fichier * .pwm, en téléchargeant automatiquement des données à partir du réseau, mais seulement pour les trois derniers jours. Strictement parlant, le fichier * .kwm est également facultatif et peut être restauré. Pour ce faire, vous devez connaître le mot de passe, avoir accès à la boîte aux lettres spécifiée lors de l'enregistrement, ainsi qu'une déclaration notariée que vous n'êtes pas orignal (plus à ce sujet, vous pouvez lire ici: http://www.owebmoney.ru/returnkey.shtml ). Théoriquement, un pirate ne peut pirater notre argent que sur la base d'un mot de passe, mais dans la pratique c'est trop gênant et dangereux.

Les informations secrètes qui régulent l'accès au portefeuille ne sont qu'une clé kwm. WMID est publié partout ouvertement et c'est normal. Connaissant WMID, vous pouvez trouver les données d'enregistrement de l'utilisateur, qu'il a marqué "ouvert", mais vous ne pouvez pas déterminer le numéro de son portefeuille (sacs à main).

Le numéro de porte-monnaie est une information conditionnellement confidentielle. Connaissant le nombre de porte-monnaie, nous ne pouvons pas en tirer de l'argent, mais nous pouvons le facturer en remplissant le champ «description de l'achat» aussi plausiblement que possible. Le chemin bien sûr, stupide, mais il y a une chance que ça passe. Les utilisateurs payant régulièrement un grand nombre de petits comptes s'habituent peu à ne plus y prêter attention et ne vérifient la colonne "de qui" qu'en cas de doute. Bien sûr, il n'y a pas de bourdonnement dans cette façon de pirater, d'ailleurs, un intrus peut très mal se faire brûler et aller à la compagnie d'un oncle qui va lui déchirer le cul, donc il n'a jamais trouvé de popularité appréciable.

Nous exposons la victime à gauche, mais compte plausible

Figure 4. Nous exposons la victime à la gauche, mais compte plausible - soudainement et payer?

Mais voler des fichiers kwm est florissant. Par défaut, les clés sont stockées dans keys.kwm, mais, en principe, le nom du fichier peut être quelque chose, comme, en effet, l'extension. La plupart des pirates informatiques et des chevaux de Troie font une recherche stupide pour le masque * .kwm, donc renommer le fichier clé dans dontreadme.txt augmente quelque peu notre sécurité, cependant les pirates peuvent entrer dans le registre où Keeper stocke ses paramètres et affiche le chemin vers le fichier. Vous pouvez également effectuer une recherche par son contenu, en analysant tous les fichiers (bien que cela prenne beaucoup de temps et provoque une activité de disque suspecte). Les gourmets vont probablement intercepter l'appel à l'API CreateFile, qui montre quels fichiers Keeper s'ouvre. Et même si le format des paramètres de registre dans les versions suivantes est modifié, l'option avec CreateFile continuera à fonctionner (indice: si les développeurs n'étaient pas idiots, ils créeraient plusieurs fichiers avec les clés - un authentique, tout le reste - capteurs de surveillance, anxiété).

Cacher le fichier kwm loin des pirates

Figure 5. Cachez le fichier kwm des pirates.

Par défaut, la taille du fichier de clé est de 1,2 Mo (dans l'ordre exact, sur une disquette), mais vous pouvez l'augmenter à 100 Mo si vous le souhaitez. Cela rend difficile de voler la clé avec la transmission sur Internet, et, en général, ne crée pas d'inconvénients insurmontables. 100 Mo est un demi-mini CD-R, un Zip-100M ou deux CD-R sous la forme d'une carte de visite. Bien sûr, la vitesse du système diminuera dans une certaine mesure (un gros fichier ne se lit pas immédiatement), mais la sécurité en vaut la peine. Ou n'en vaut-il pas la peine? Sur le réseau local pour faire glisser 100 Mo n'est pas un problème, selon le modem DSL ou Internet par câble - aussi. Et même une honte par les normes d'aujourd'hui, le modem pour 33600 donnera ce fichier dans environ 70 heures. Pas tellement, si vous vous souvenez que pratiquement aucun utilisateur ne régénérera les clés tous les jours. Couper le fichier en petits morceaux transférés en arrière-plan, le faire glisser en deux ou trois semaines est tout à fait possible, bien que ce soit la manière la plus terne et la moins prometteuse.

Si un pirate a infiltré le système de quelqu'un d'autre, il n'a pas besoin de télécharger le fichier, d'ouvrir le portefeuille, de transférer de l'argent sur son compte et de frapper le disque dur pour que la victime ne puisse pas entrer sur Internet. . En passant, au détriment de "se plaindre". Il n'y a pas beaucoup d'options, et il n'y a aucun moyen d'aider. Eh bien, sauf que du Seigneur Dieu (si vous êtes vrai dieu, retournez mon argent, vous sic baise) oui aux frères. Si nous avons encore accès à WMID (qui est un hacker stupide!), Vous pouvez déterminer le WMID auquel l'argent a été transféré, aller sur le site Web du service d'arbitrage ( http://arbitrage.webmoney.ru/ ), payer les frais d'arbitrage (un pour cela, il est nécessaire d'avoir WebMoney, que nous avons nettoyé proprement l'attaquant) et de bloquer le portefeuille de hacker. Seulement si le hacker n'est pas elk, l'argent pour quelques minutes sera transféré à e-gold ou par toute autre manière retirée du système, de sorte que sur son porte-monnaie ils ne seront pas et seront bloqués surtout et il n'y a rien. D'ailleurs, les portefeuilles avec passeport initial ou personnel ne sont bloqués que par la décision de la commission d'arbitrage, c'est-à-dire qu'il suffit de prendre le certificat et ... Ne dites pas que les détenteurs de certificats ne volent pas. Agashchazblin! Taki votre propre? La délivrance des certificats est maintenant prise en charge par tous ceux qui ne sont pas trop paresseux et espérant qu'ils sont tous honnêtes, consciencieux et incorruptibles, juste naïfs, surtout quand il s'agit d'argent, même d'argent électronique. Une personne qui est déterminée à voler 100 000 $ (et pourquoi pas), obtiendra sans problèmes non seulement un certificat de figue, mais aussi un faux passeport en retour. Eh bien, qui sur ce certificat alors chercher? Même si les employés du MVD falsifient des passeports dans le courant, dont la télévision a souvent parlé (ce qui est criminel), qu'en est-il des «certificats» qui n'ont aucun statut juridique?

Cependant, la situation avec le transfert d'argent volé à travers plusieurs portefeuilles était encore considérée par les développeurs, et ils ont soigneusement asservi les ... intrus! Jugez par vous-même. La victime après avoir déposé la réclamation déjà mentionnée doit contacter l'Administrateur du Service d'Arbitrage (WMID 937717494180, arbitrage@webmoney.ru), et lui demander de suivre toute la chaîne. Tout le "charme" est que l'administrateur ne travaille que du lundi au vendredi de 10 à 18 heures à Moscou. Nous, disons, ne sommes pas un service de secours et nous voulons aussi dormir. Très bon système de paiement, je vous le dis! Avec le fait que le retrait de l'argent du système est presque instantané et le compte continue pendant des minutes, l'administrateur, vous voyez, veut bainki. Je ne comprends pas, est-ce une auberge pour étudiants ou un système de paiement?! Qu'est-ce qui valait la peine lors de millionièmes révolutions (dont la publicité ne cesse de mentionner) d'embaucher plusieurs personnes pour un soutien 24h / 24?! Après tout, il s'agit d'argent dans ce cas! Naturellement, il est plus sûr que les pirates commettent des vols à minuit ou le week-end. Mais c'est bon, laissez des mots vides et apprenez à connaître Keeper de près.

Gardien extérieur et intérieur

Ici, certains admirent comment le développeur a réussi à se faufiler dans le volume de Keeper (" Je ne sais pas pour vous, mais j'admire sincèrement ceux qui, dans 2 mégaoctets de la distribution Keeper Classic, ont réussi à investir une farce si savoureuse c'est le cas de l'extérieur ", http://www.owebmoney.ru/clashistory.shtml ). Et qu'est-ce qu'ils contenaient en fait? Bien sûr, à cet âge, quand "Bonjour, monde!" va difficilement interférer avec le disque laser, les programmes qui prennent "juste" quelques mégaoctets font déjà l'objet de respect ...

Le volume principal (~ 2,2 Mo) est occupé par WMClient.dll qui, en fait, Keeper lui-même est. C'est un objet DCOM écrit en Microsoft Visual .NET avec compilation en code machine, déballé et rien, je le répète, n'interfère avec son analyse. Il n'y a pas de cryptage, pas de code p, pas de techniques anti-débogage, pas de contre-action pour le désassembleur, le dumper, l'API spy. Rien! Prendre et analyser! Dans tous les cas, la version 2.4.0.3 (la plus récente au moment de la rédaction de cet article) se comporte exactement comme ça. Si les développeurs au moins un peu plus intelligents, ils utiliseraient Microsoft Visual C ++ 6 (le fameux "six"), plus tout protecteur de haute qualité (par exemple, ExeCryptor), ou compileraient l'application NET en p-code, ce qui est beaucoup plus difficile à désassembler.

WebMoney.exe (~ 180 kilo-octets) est juste un "puskalka" et il n'y a rien d'intéressant dedans, néanmoins cela vaut toujours la peine de le démonter. Au moins plus tard, se moquer des développeurs et évaluer leurs qualifications.

Keeper Classic dans le désassembleur

Figure 6. Keeper Classic dans le désassembleur.

Ainsi, supposons qu'un ordinateur avec Keeper installé est intégré avec un code pirate qui s'exécute avec les privilèges de l'utilisateur (reconnaissons que nous n'avons pas reçu les droits d'administrateur et, bien que pour augmenter nos privilèges de l'utilisateur au système dans W2K / XP, en général, pas un problème, encore moins 9x, où il n'y avait pas de division des privilèges, nous agirons dans des conditions spartiates, proches des combats). Que pouvons-nous faire? Nous avons deux façons. Pré-désassembler Keeper'a, restaurer le protocole d'échange avec le serveur, attendre l'insertion du média, qui est la clé secrète et ... puis fantasmer. Personnellement, je farfouille dans la paresse Keeper'e. Le démontage est une affaire fastidieuse et la restauration du protocole d'échange peut prendre plus d'une semaine. L'utilisation de renifleurs raccourcit significativement cette fois, mais reste "cassée". Il est beaucoup plus facile et plus efficace de voler de l'argent par Keeper lui-même. Nous installons un espion interceptant le clavier, attendons l'entrée WMID ou le définissons autrement, car WMID n'est un secret pour personne (la première méthode est principalement utilisée par les virus, la deuxième méthode est bonne pour une attaque ciblée), puis un moment "parfait" après 18 heures ou un jour de congé), nous désactivons la sortie à l'écran, lance WebMoney.exe et en émulant l'entrée clavier-souris, tout ce que nous voulions. Par exemple, nous réapprovisionnons la bourse de la victime. Et pourquoi pas?! Nous brisons notre propre portefeuille, n'est-ce pas? C'est tout et réapprovisionnez-le! Nous ne sommes pas des gangsters, mais des hackers honnêtes!

La technique d'émulation d'entrée est décrite en détail dans "Notes of myshh'a", dont la version électronique peut être mâchée gratuitement auprès de mon serveur FTP myshh'inogo ftp://nezumi.org.ru/ (seulement pour rappeler qu'elle n'est pas disponible tout le temps), pour La même chose dans la salle 67 Hacker a été publié un article "Breaking WebMoney" dans lequel tout cela est décrit. Nous ne multiplions donc pas la démagogie et ne mâchons pas le caoutchouc une centaine de fois. Nous notons seulement le mécanisme général. Nous trouvons d'abord la fenêtre Keeper en appelant FindWindow ou EnumWindows et en définissant son handle. Ensuite, en utilisant EnumWindows, énumérez les fenêtres enfants appartenant aux contrôles (boutons, lignes d'édition, etc.). Envoyer divers messages à des éléments de contrôle (ceci peut être fait en utilisant la fonction SendMessage), nous les prenons facilement sous notre contrôle. La désactivation de la sortie à l'écran est effectuée soit par interception de services GDI (implémentée de manière compliquée, mais sur hourra) ou en plaçant une fenêtre gênante sur le Keeper, par exemple, une fenêtre de navigateur avec une image pornographique. Oui, beaucoup de choses peuvent être inventées ici!

Le problème est que, à partir de quelque temps, l'émulation stupide a cessé de fonctionner. Keeper a acquis ce qu'on appelle des «chiffres volants». Comme ceux utilisés pour empêcher l'enregistrement automatique sur de nombreux sites. Avant d'effectuer un paiement, vous devez entrer trois chiffres graphiques, qui apparaissent au hasard sur l'écran. L'idée, bien sûr, est intéressante, mais ici elle est empruntée à l'évidence hors de propos. Enfance lourde, mauvaises habitudes, gueule de bois profonde. Et ta tête est bo-bo. Cependant, la tête ici pas et. Tout de même, elle n'a personne à qui penser. Les développeurs n'ont évidemment pas appris les techniques de sécurité. Sketchy connaissances dans le style de "ici entassés, puis la jeune fille a dansé, et puis j'ai déplacé une brique" et une tige de tous les côtés.

Protection du gardien-a

Figure 7. Protection Keeper'a "figures volantes."

Pourquoi les «numéros volants» agissent-ils sur les serveurs Web (où ils sont apparus pour la première fois)? En effet , d'une part, le code de sécurité est hors de portée du pirate informatique et, d'autre part, parce que la protection vise uniquement les robots, mais pas les personnes. Pour protéger mail.ru contre les spammeurs et les vandales, cette mesure est plus que suffisante, mais pas pour Keeper! Tout d'abord, dans les versions actuelles de Keeper, les figures volantes sont facilement reconnaissables par simple OCR, qui peut facilement prendre une centaine de kilooctets (en utilisant des bibliothèques prêtes à l'emploi), le code hacker ne coûte rien pour saisir un morceau de l'écran. il les a reconnus lui-même, troisièmement, cette protection est désactivée bit-hack, c'est-à-dire modifier le code de la machine Keeper; quatrièmement, les numéros volants peuvent être coupés dans le registre (si vous essayez de les déconnecter en utilisant les propres outils de Keeper, vous demanderez confirmation de la légitimité de cette opération), cinquièmement, même si la protection est renforcée. Les hackers resteront le décryptage du protocole d'échange et la création de leurs propres clients sans aucun chiffre là, au sixième ... Bref, les méthodes de piratage sont très, très nombreuses et il n'y a aucun bénéfice de cette protection, sans compter que de nombreux utilisateurs restent assis Anciennes versions sans figures volantes ou éteignez-les comme inutile.

Et voici une autre puce largement annoncée - la confirmation de l'autorisation par e-mail. À un regard inexpérimenté, tout a l'air de fer - avant que nous puissions faire quelque chose avec notre compte, il est nécessaire d'entrer le code qui viendra par e-mail. Si le pirate réprimande le fichier * .kwm, il restera avec le nez, et nous - avec l'argent. Après tout, il n'aura pas accès à notre boîte aux lettres. La logique est du fer, mais mal. Les boîtes aux lettres ne sont pas si difficiles à casser (des méthodes spécifiques de piratage sont listées dans une variété de livres et d'articles, donc je ne le répéterai pas), dès qu'un pirate tira un fichier * .kwm, il volerait le mot de passe par e-mail. L'exception est, peut-être, seulement le vol de cartes à puce et de supports amovibles avec des clés, mais ... un tel vol est généralement effectué soit par des personnes proches qui peuvent baiser et e-mail, soit par des voleurs ayant un accès physique au support amovible, , généralement dans le voisinage immédiat de l'ordinateur. Eh bien aussi ce qu'il leur faut pour voler encore et le mot de passe sur une boîte?

D'accord, mais qu'en est-il de bloquer toutes les adresses IP sauf la vôtre? Commençons par le fait que dans les réseaux locaux, la saisie de l'adresse de quelqu'un d'autre n'est pas un problème insurmontable. Le même qui est assis sur l'accès à distance recevra généralement des adresses IP dynamiques allouées à partir du pool partagé. Prescrivez-les - vous vous enlisez, et tout client du même fournisseur sera autorisé sans aucun problème. Mais ça n'a pas d'importance. Pas de hacker pour que le portefeuille de quelqu'un d'autre ne soit pas nécessaire. Il va simplement retirer de l'argent avec les mains de Keeper, lancé sur l'ordinateur de la victime, qui a probablement la bonne adresse IP et pas de "blocage" ça ne s'arrête pas!

Les mesures de protection proposées par les développeurs peuvent être répertoriées très longtemps. La quasi-totalité d'entre eux sont concentrés sur le fichier vol * .kwm avec le transfert ultérieur de celui-ci sur le réseau. Pour une raison quelconque, les développeurs pensent que c'est le seul moyen de pirater, bien que ce soit loin d'être le cas. Ils conseillent également de configurer "correctement" le pare-feu pour éviter les fuites d'informations et de corriger régulièrement le système afin que ni les pirates ni les vers ne s'infiltrent. Eh bien, au détriment des pare-feu, ils ont clairement été excités. Il suffit d'aller sur le site populaire http://www.firewallleaktester.com/ pour s'assurer qu'il existe des attaques qui transpercent tous les pare-feu personnels. J'ai également écrit à ce sujet dans "Notes du chercheur de virus informatiques", dont des fragments peuvent être téléchargés à partir de ftp://nezumi.org.ru/ , il y a aussi un code démo prêt.

Maintenant, regardons les mises à jour. De nombreux sites acceptant les paiements via WebMoney ne fonctionnent qu'avec IE, car ils utilisent ActiveX. Et même si les plug-ins sont disponibles pour d'autres navigateurs comme Opera et Fox, ils fonctionnent d'une manière ou d'une autre et en réalité, vous devez utiliser IE, le nombre de trous dans lequel est digne du Guinness Book of Records. Autrement dit, les créateurs de WebMoney eux-mêmes podsazhivayut nous sur un navigateur troué, et toujours soigneusement recommandé - ne pas oublier de mettre à jour à temps, disent-ils. Peut-être que je devrais changer de sexe aussi?! Donc, le problème n'est pas avec les utilisateurs. Le problème dans le cerveau du développeur (ou plutôt, en leur absence complète). Le problème est le concept de l'ensemble du système. Le problème est la vulnérabilité fondamentale du protocole de transfert d'argent et la vulnérabilité de Keeper. Heck, combien d'années déjà il y a des algorithmes pour générer des clés "ponctuelles", dans lesquelles il n'y a simplement rien à voler et rien à voler. Mais pourquoi je sais à leur sujet - assez loin de la cryptographie et des fraudes financières myshh - mais je ne connais pas les développeurs du système de paiement? Ponaprimanali on ne sait pas qui ...

Keeper light ou la lutte contre les certificats

L'insécurité du Keeper classique est un fait commun, mais Light est toujours considéré comme très sécurisé: " Dans Keeper Classic, vous pouvez faire glisser le fichier avec des clés dans les pièces, le courrier électronique peut être piraté, etc. le moment où une disquette ou un CD est inséré. Autrement dit, il est théoriquement possible d'obtenir de l'argent, mais avec toutes les précautions, c'est extrêmement difficile, mais Light avec un certificat non exporté donne une garantie de sécurité de 100% »( http://owebmoney.ru/ café / index.php? showtopic = 108 ).

Cela semble tentant, mais comment cela fonctionne-t-il dans la pratique? Essayons de comprendre. Commençons par la question: comment fonctionne Keeper Light? C'est très simple. La clé secrète est maintenant stockée non dans le fichier * .kwm, mais dans un certificat spécial, et toute la gestion passe par une interface Web utilisant des protocoles cryptographiques spéciaux.

Où le navigateur stocke-t-il les certificats? Cela dépend du navigateur lui-même. Par exemple, Mozilla - dans le répertoire "./mozilla/defaul/<blahblahblah>/cert8.db", mais IE, fonctionnant sous Windows XP Professionnel, utilise un système assez volumineux. Les certificats avec des clés publiques sont stockés dans un magasin personnel situé dans le répertoire Documents-n-Settings \ <nom_utilisateur> \ Application-Data \ Microsoft \ SystemCertificates \ My \ Certificates, qui est gratuit pour tout le monde (il s'agit d'informations publiques!) . Les certificats d'utilisateur sont situés dans son profil. Les clés privées sont stockées dans le répertoire Documents-n- Settings \ <nom d'utilisateur> \ Application Data \ Microsoft \ Crypto \ RSA. Tous les fichiers situés ici sont automatiquement cryptés avec une clé symétrique aléatoire - la clé principale de l'utilisateur, 64 caractères. La clé principale est générée en utilisant l'algorithme Triple DES basé sur le mot de passe utilisateur avec lequel elle est connectée.

Que signifie tout ce garde du corps théorique en termes pratiques? Et le fait que vous ne pouvez pas voler un certificat avec une clé privée sous Windows XP! Autrement dit, il sera possible de voler quelque chose, mais cela ne servira à rien, car il ne fonctionnera tout simplement pas sur l'ordinateur de quelqu'un d'autre! (Sur celui-là et le certificat fermé!). Certes, il peut être exporté sans même avoir de privilèges spéciaux. Dispensez le programme Certification Manager si vous ne savez pas comment. En fait, pour transférer des certificats d'un ordinateur à l'autre, Keeper Light utilise le certificat exporté, qui est stocké dans des fichiers portant l'extension .pfx. Ils peuvent être trouvés sur les médias externes et sur les disques durs. Ici seulement il y a un "mais". Le certificat exporté est fermé avec un mot de passe assigné par l'utilisateur, et pour l'importer dans votre système, vous devez soit lancer un keylogger, soit essayer d'ouvrir le mot de passe par force brute. Mais le premier est trop visible, le second est long, de sorte que le vol de certificats ne s'est pas répandu.

Demander un mot de passe lors de l'importation d'un certificat

Figure 8. Demande d'un mot de passe lors de l'importation du certificat.

Est-ce que cela signifie que Keeper Light est protégé? Non et encore une fois non! Si Keeper Classic peut être protégé au moins théoriquement (installer un pilote qui fournit une entrée clavier directe, coupe les émulateurs et surveille l'intégrité de Keeper et lui-même), Keeper Light fonctionne avec un navigateur dont l'intégrité ne peut être contrôlée en principe!

La première chose qui vient à l'esprit est l'émulation déjà mentionnée. Nous disons "commencer https://light.webmoney.ru", en cachant la fenêtre du navigateur d'une manière ou d'une autre (il suffit d'obtenir son handle et dessiner sur le dessus, ce qui est horrible) et émuler la séquence de touches pour reconstituer le portefeuille électronique. Agit ironiquement et inévitablement. Le seul inconvénient - chaque type (et, éventuellement, la version) du navigateur nécessite son approche, mais vous ne pouvez vous concentrer sur IE 5/6, comme le plus populaire.

Le reste des navigateurs est encore plus facile. Nous prenons la source du Fox et créons un mini-navigateur pirate basé sur eux, qui n'affiche rien à l'écran, mais qui ne fonctionne qu'avec des portefeuilles. Certes, parmi les fans de WebMoney, les fans de Fox ne sont pas si nombreux, mais c'est toujours mieux que rien du tout. En passant, laissez les adhérents de IE ne se sentent pas en sécurité. Le code source de W2K a été volé depuis longtemps et il est tout à fait possible de créer votre clone IE sur leur base, sans compter que IE est juste une collection d'objets DCOM et même un débutant peut construire un navigateur sur sa base.

Keeper Light

Figure 9. Keeper Light est simplement une interface WEB qui vous permet de travailler avec votre portefeuille via n'importe quel navigateur.

Et que se passe-t-il si vous importez le certificat avant chaque ouverture du portefeuille, puis supprimez-le du référentiel? En effet, le programme de piratage peut attendre que la fenêtre "WebMoney Keeper :: Light Edition" apparaisse, signalant que l'utilisateur s'est connecté, ou espionner les clés, en passant un mot de passe secret avec le certificat sur le réseau. Ainsi, l'argent électronique est toujours dans une situation délicate!

Autorisation par téléphone portable - fiable?

Le dernier cri de la mode était le système d'autorisation avec l'aide d'un téléphone portable. Lors de l'inscription au service ENUM ( http://enum.ru/ ), une application Java spéciale (également appelée MIDlet) qui s'appelle le client Enum est installée sur le téléphone mobile. Il prend des nombres à cinq chiffres (par exemple, 09652) et génère une réponse basée sur eux, et l'algorithme de génération est unique pour chaque utilisateur. S'il n'y a pas de téléphone portable, Pocket PC ou tout autre appareil avec support Java (par exemple, un ordinateur de bureau, aura un sens).

Séquence d'opérations lors de l'activation d'un paiement via un téléphone portable ou un PDA

Figure 10. Séquence des opérations lorsque le paiement est activé via un téléphone portable ou un PDA.

Le service ENUM vous permet de faire des achats via le service marchand ( https://merchant.webmoney.ru/ ) sans avoir recours à Keeper - ni au classique, ni au cloné. Les fraudeurs et les auteurs de virus utilisent Internet pour voler de précieuses informations sur nos ordinateurs, mais quelle que soit la protection que nous avons inventée - pare-feu, antivirus, anti-sabots, anti- la probabilité théorique de son contournement et du vol de mots de passe (ou des clés de Keeper, par exemple) de l'ordinateur, parce que les hackers et les outils défensifs utilisent UN SEUL canal: Internet et le problème avec Internet est qu'il n'y en a pas d'autre. l'ENUM résout ce problème, il nous fournit cet autre canal. Le hacker peut se connecter à votre ordinateur, "brancher" le virus cheval de Troie, mais il ne pourra pas entrer dans votre téléphone portable. Quel algorithme unique pour chaque utilisateur Enum Client d'un nombre obtient un autre, aussi, ne peut pas être "( http://owebmoney.ru/enum.shtml ).

Le logo du système ENUM

Figure 11. Logo du système ENUM.

Service marchand

Figure 12. Service marchand.

Est-ce vrai? Comme le dit le proverbe, "si vous ne pouvez pas, mais voulez vraiment, vous pouvez toujours le faire." Un «canal de communication» supplémentaire augmente en effet à plusieurs reprises la sécurité, mais il est prématuré de parler de l'impossibilité fondamentale du piratage. Pour commencer, l' algorithme de génération de nombres pour tous les utilisateurs est toujours le même (démonter le MIDlet, si vous ne le croyez pas), seule la clé de génération est différente et il est possible de la sélectionner. Il suffit d'intercepter une seule réponse pour cette combinaison de nombres. La restauration de la clé ne prend pas longtemps et le programme de Troie est tout à fait capable. J'espère que vous n'avez pas besoin d'expliquer comment lire une combinaison de chiffres de la boîte d'édition.

En outre, les téléphones portables contiennent un tas de trous. Les protocoles IR et Blue Tooth pullulent littéralement avec eux. Le magazine "The Hacker" a écrit à plusieurs reprises à ce sujet. Si la victime a un téléphone cellulaire ou un PDA, alors peut-être qu'elle a à la fois un adaptateur Blue Tooth ou IR qui le maintient constamment. Un attaquant peut envoyer n'importe quelle commande AT au téléphone, exécuter des midlets ou lire leur contenu. Et quoi?! Vous pouvez piquer et écrire un virus qui vole des porte-monnaie électroniques et les envoie à travers un téléphone portable! Contourner tous les pare-feu! Voici une chaîne supplémentaire pour vous!

Cependant, tout cela est un choix de l'ancien myshkhastny hacker. L'ambiance est juste mauvaise. Il pleut, et seul Sirenia sauve de la dépression (un groupe gothique très puissant venant de Norvège lointaine - je recommande). Si vous regardez sobrement la vérité dans vos yeux (dans de tels yeux rouges myshh'inye - petits, comme des perles), vous devez admettre que le piratage ENUM est très difficile, de sorte qu'il y a un sens à cela. Mais cela ne signifie pas que vous pouvez démarrer un porte-monnaie électronique et y mettre sans risque 100 000 $. Alors certainement pirater!

Activer le paiementActiver le paiementActiver le paiement

Figure 13. Activation du paiement par téléphone cellulaire via le système ENUM.

Comment casser les échangeurs

Le piratage des échangeurs n'est pas inclus dans nos plans (tout le monde ne possède pas son propre échangeur, et il est illégal de casser les autres), alors notons simplement les points principaux. Du point de vue des hackers, l'échangeur représente un site, généralement géré par PHP et fonctionnant sous Linux / BSD / NT.

Ici, à travers des erreurs dans les scripts PHP, ils sont souvent cassés. En outre, certains programmeurs Web quittent la porte arrière au cas où ils veulent soudainement manger, et il n'y aura rien à manger. Rompre rarement l'axe. Le plus grand nombre de trous, bien sûr, est NT et tous ses dérivés (y compris le Windows 2003 Server loué). Linux et BSD sont un peu plus difficiles à casser, mais ... si vous prenez un scanner de sécurité (par exemple, X-Spider), vous pouvez trouver que beaucoup d'entre eux sont maladroits SendMail ou Apache rouillé. Débordement de la mémoire tampon, envoi du code shell et du serveur entre nos mains!

Hacker Lieu de travail

Figure 14. Le lieu de travail du hacker.

Conclusion

Hacking WebMoney n'est pas un mythe, mais une dure réalité et vous ne pouvez pas être sûr à 100%, même si vous êtes un expert en sécurité. Si la perte de données opérationnelles sur le disque dur sauve la réservation, de la divulgation de données confidentielles - la déconnexion physique de l'Intranet du Réseau, le vol de monnaie électronique ne sauve rien!

Sireina

Figure 15. Sireina - musique hacker gothique que sausbas myshh'a.