Воскресенье, 08.12.2019, 00:22
Приветствую Вас Гость | RSS

Платёжные системы интернета

Портал электронных денег

уникальная ковка Укладка плитки Недвижимость ЗАКЛЕПКИ - Сибирский крепеж арендовать склад http://sergo-torrent.info Сайдинг ціна - віниловий Сайдинг dax.if.ua. люстры для больших помещений.
Реальный заработок
Web-moneta.com
Реальный заработок в Интернете
Меню сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Google
Maxiad.de
WMlink.ru
Payment systems
Репутация сайта - moneyint.ru Auto Web Pinger
moneyint.ru Webutation
Статистика
позиция в рейтинге BestPersons.ru Push 2 Check Проверка тиц Траст. Анализ сайта moneyint.ru Счетчик PR-CY.Rank Web Optimizator Каталог@Mail.ru - каталог ресурсов интернет Ожидаемый PageRank для moneyint.ru - 4.46 Уровень доверия для moneyint.ru - 0.86 ProtoPlex: программы, форум, рейтинг, рефераты, рассылки! Submit Your Site To The Web's Top 50 Search Engines for Free! Занесено в каталог Deport.ru 200stran.ru: показано число посетителей за сегодня, онлайн, из каждой страны и за всё время HitMeter - счетчик посетителей сайта, бесплатная статистика Счетчик цитирования
Яндекс.Метрика
Besucherzahler Dating single russian women
счетчик посещений
RSS feed
Поиск в RSS новостях и блогах
LiveRSS: Каталог русскоязычных RSS-каналов
Яндекс цитирования
Поисковая система - QOOZ. Найти сайт. Качественные сайты
Рейтинг сайтов top.gigmir.net
Каталог ссылок, Top 100.
BlogRider.ru - Каталог блогов Рунета
TBEx
Главная » 2014 » Март » 26 » Правительство предложило ввести наказание за кражу электронных денег
10:51
Правительство предложило ввести наказание за кражу электронных денег

Как отмечается в справке к законогпроекту, он «ориентирован на усиление уголовной ответственности за преступления в банковской сфере, совершаемые в целях хищения денежных средств с использованием высоких технологий, передает РИА «Новости».

В частности, авторы законопроекта предлагают установить ответственность за изготовление на продажу или сбыт электронных устройств и программ для краж или перевода денег по безналичным расчетам.

«Изменения статьи 187 УК РФ связаны с увеличением количества преступлений с незаконным оборотом указанных устройств, а также с введением в российское законодательство определения электронного средства платежа», - поясняется в сообщении комиссии.

По оценке авторов документа, такие новшества будут способствовать улучшению ситуации на рынке дистанционных услуг и снизят риски, которым подвергаются россияне при использовании электронных платежей. Этот законопроект будет рассмотрен на заседании правительства.

Напомним, что в январе депутаты Госдумы выступили с инициативой ужесточить требования к электронным платежам. Законопроект предполагал, что операции на сумму от 100 тыс. рублей будут подлежать обязательному контролю. Ограничения касались всех платежей наличными деньгами через платежные терминалы Qiwi и других сетей, а также большинство интернет-платежей с помощью сервисов вроде «Яндекс.Деньги», PayPal и им подобных.

Источник: http://vz.ru/news/2014/3/25/678799.html

Взлом и защита WebMoney

Вопреки всем заверениям разработчиков, система WebMoney катастрофически ненадежна и вскрывается буквально ногтем. Существует множество червей, троянов и хакерских групп, специализирующихся на похищении электронных кошельков, кражи которых приняли массовый характер.

Начнем с того, чего не может быть. Никаких "генераторов WebMoney" не существует и не может существовать. Вся наличность хранится на центральном сервере оператора, а электронные кошельки представляют собой лишь средство доступа к ней. Грубо говоря, если ты сгенерируешь комбинацию цифр для кодового замка, деньги и драгоценности в сейфе от этого не появятся. И хотя существует возможность подобрать шифр к чужому сейфу, вероятность открыть его без помощи владельца настолько мала, что об этом даже не стоит и говорить!

Украсть же чужую комбинацию вполне реально! Именно этим и занимаются "генераторы WebMoney", которые либо делают дубликат электронного кошелька и передают его злоумышленнику, либо скрыто вызывают Keeper и осуществляют перевод на свой счет. Аналогичным образом действуют вирусы и троянские программы. Можно ли защититься от них?

Система WebMoney, разработанная неспециалистами, изначально проектировалась без оглядки на безопасность. Несмотря на то, что в последнее время появился целый комплекс "противопожарных" мер, приляпанных задним числом, положение остается критическим. Пользователи путаются в системах защиты, служба поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр и т.д.), а тем временем кражи электронных кошельков продолжаются.

Мы не ставим перед собой задачу научить кого бы то ни было воровать, мы просто хотим показать и доказать (!), что система WebMoney действительно очень ненадежна и проектировалась даже не задницей (к ней все-таки примыкает спинной мозг), а неизвестно чем. Здесь не будет ни расплывчатых слов (чтобы нас не обвинили в клевете), ни конкретных рекомендаций. Мы не даем готовых атакующих программ и не говорим, какие именно байтики нужно хакнуть, но гарантируем, что весь необходимый хакерский инструментарий может быть создан с нуля за одну ночь - святое для хакеров время!
Начало, или классическая миссионерская

Система WebMoney - своеобразный аналог обыкновенных банковских чеков, следовательно, для совершения платежей в обязательном порядке необходимо предварительно зарегистрироваться на центральном сервере оператора и открыть счет, что уже является огромной неприятностью…

Идем на www.webmoney.ru, скачиваем программу Keeper Classic, запускам ее (так и не удалось заставить это чудо научно-инженерной мысли работать через Proxy-сервер, пришлось поднимать NAT и маппить 2802-й порт), заполняем регистрационные данные (от фонаря или честно), придумываем себе любой пароль по вкусу, после чего программа приступает к генерации секретного ключа и просит подергать мышь и понажимать клавиши. Все это проделано ради получения действительно случайных данных - как будто псевдослучайный генератор на основе таймера здесь не годится. На фоне общей незащищенности системы бравировать словами RSA, RC5, MD4, MD5 и SSL просто глупо. Впрочем, психологический расчет разработчиков вполне понятен. Если секретный ключ будет генерироваться за доли секунды, какой пользователь в него поверит?

По завершении регистрации нам присваивается уникальный 12-значный идентификатор WMID (Web Money ID) и пара сгенерированных ключей. Открытый ключ передается на центральный сервер оператора WebMoney, а секретный сохраняется в файле с расширением *.kwm (Key of Web Money), который может быть расположен на жестком диске, сменном носителе или смарт-карте. Как видишь, обыкновенная несимметричная криптография типа PGP.

Плюс ко всему создается файл *.pwm, хранящий сведения о кошельках (текущий баланс, история операций и т.д.). В принципе он необязателен, так как вся информация расположена на центральном сервере оператора. Keeper может работать и без PWM-файла, автоматически подгружая данные из Сети, правда, только за последние три дня. Собственно, KWM-файл тоже необязателен и его можно восстановить, для чего необходимо знать пароль, иметь доступ к почтовому ящику, указанному при регистрации, а также нотариально заверенное заявление, что ты не лось (подробнее об этом по ссылке www.owebmoney.ru/returnkey.shtml). Чисто теоретически, хакер может хакнуть твои денежки только на основе пароля, но практически – для него это слишком хлопотно и небезопасно.

Секретной информацией, регламентирующей доступ к кошельку, является один лишь kwm-ключ. WMID везде публикуется открыто, и это нормально. Зная WMID, можно узнать регистрационные данные пользователя, которые он пометил "открытыми", но нельзя определить номер его кошелька (кошельков).

Номер кошелька - это условно-секретная информация. Зная номер кошелька, ты не сможешь вытащить из него деньги, но сможешь выставить счет, заполнив поле "описание покупки" как можно более правдоподобно. Конечно, дурацкий способ, но есть некоторый шанс, что он пройдет. Пользователи, регулярно оплачивающие множество мелких счетов, постепенно привыкают не обращать внимания на них и проверяют графу "от кого" только при возникновении сомнений.

Кража KWM-файлов процветает. По умолчанию ключи сохраняются в keys.kwm, но в принципе имя файла может быть любым, как, впрочем, и расширение. Большинство хакеров и троянских программ производит тупой поиск по маске *.kwm, поэтому переименование файла ключей в dontreadme.txt до некоторой степени увеличивает защищенность. Однако продвинутые хакеры могут залезть в реестр, где Keeper хранит свои настройки, и подсмотреть путь к файлу. Еще можно искать по его содержимому, сканируя все файлы (правда, это займет много времени и вызовет подозрительную дисковую активность). Гурманы наверняка перехватят вызов API-функции CreateFile, показывающей, какие файлы открывает Keeper. И даже если формат настроек реестра в последующих версиях будет изменен, вариант с CreateFile продолжит работать. Хинт: если бы разработчики не были идиотами, они бы создали несколько файлов с ключами: один подлинный, все остальные - сторожевые датчики, при обращении к которым раздается сигнал тревоги :).

По умолчанию размер файла ключей составляет 1,2 Мб (на дискету), но при желании его можно увеличить вплоть до 100 Мб, что затруднит кражу ключа с передачей по интернету и не создаст никаких непреодолимых неудобств. 100 Мб - это половина mini CD-R, один Zip-100M или два CD-R в формате бизнес-карты. Конечно, быстродействие системы в некоторой степени упадет (огромный файл так сразу и не прочтешь), но безопасность стоит того. Или не стоит? Утащить 100 Мб по локальной сети - не проблема, по DSL-модему или кабельному интернету - тоже. И даже позорный по нынешним меркам модем на 33600 передаст этот файл за ~70 часов. Не так уж и много, если вспомнить, что практически никто из пользователей не перегенерирует ключи каждый день. Разрезав файл на мелкие кусочки, передаваемые в фоновом режиме, вполне реально утащить его за две-три недели, хотя это будет самый тупой и неперспективный путь.

Если хакер внедрился в чужую систему (а внедриться в нее можно разными путями), ему ничего не стоит загрузить файл в память, открыть кошелек, перевести деньги на свой счет и грохнуть жесткий диск, чтобы жертва не смогла войти в интернет и пожаловаться кому следует. Кстати, насчет "пожаловаться". Вариантов не так уж много, и помощи ждать неоткуда. Если у тебя еще есть доступ к WMID (что за тупой хакер попался?), можно определить WMID, на который были переведены деньги, зайти на сайт Арбитражного Сервиса (http://arbitrage.webmoney.ru), оплатить арбитражный сбор (а для этого необходимо иметь WebMoney, которых у нас подчистую умыкнул злоумышленник) и заблокировать хакерский кошелек.

Только если хакер не лось, деньги за считанные минуты будут переброшены на e-gold или выведены из системы любым другим путем, так что на его кошельке их не окажется и блокировать будет особо нечего. Кстати, кошельки с начальным или персональным аттестатом блокируются только по решению арбитражной комиссии, то есть достаточно взять аттестат и... Только не надо думать, что владельцы аттестатов не занимаются воровством, поскольку сообщают свои паспортные данные. Выдачей аттестатов сейчас занимаются все кому не лень, и просто наивно надеяться, что все они люди честные, добросовестные и неподкупные. Тем более когда речь идет о деньгах, пусть даже электронных. Человек, который вознамерился похитить $100 000 (а почему бы и нет?), без проблем получит не только фиговый аттестат, но еще и фальшивый паспорт в придачу. Даже если сотрудники МВД подделывают паспорта на потоке, о чем не раз говорило TV (а это уже криминал), то что говорить об "аттестатах", у которых вообще нет никакого юридического статуса.

Впрочем, разработчики все-таки рассмотрели ситуацию с переброской ворованных денег через несколько кошельков, и поэтому усердно позаботились о... злоумышленниках! Суди сам. После подачи уже упомянутого иска жертве следует обратиться к Администратору Арбитражного Сервиса (WMID 937717494180, arbitrage@webmoney.ru) и попросить его проследить цепочку. Вся "прелесть" в том, что Администратор работает только с понедельника по пятницу и с 10 до 18 часов по Москве, причем вывод денег из системы осуществляется практически мгновенно, поэтому счет идет на минуты.

Кстати, еще один вопрос: "Это студенческая общага или серьезная платежная система?" Что стоило при миллионных оборотах (о которых не перестает упоминать реклама) нанять несколько человек для круглосуточной поддержки? Речь в данном случае идет о деньгах! Естественно, для хакеров безопаснее всего совершать кражи либо в полночь, либо в выходные дни.
Что внутри у Keeper'а

Некоторые восхищаются тем, как разработчикам удалось втиснуть в объем Keeper'a так много (опусы есть на www.owebmoney.ru/clashistory.shtml). А что они, собственно, в него вместили? Конечно, в наш век, когда Hello World с трудом вмещается на лазерный диск, программы, занимающие "всего" несколько мегабайт, уже вызывают уважение :).

Основной объем (~2,2 Мб) занимает WMClient.dll, который, собственно, и есть Keeper, он же DCOM-объект, написанный на Microsoft Visual .NET с компиляцией в машинный код, ничем не упакованный и никак не препятствующий своему анализу. Здесь нет ни шифрованного, ни p-кода, ни антиотладочных приемов, ни противодействия дизассемблеру, дамперу, API-шпиону. Ничего! Бери и анализируй. Во всяком случае, версия 2.4.0.3 (на момент написания статьи) ведет себя именно так. Будь разработчики хоть малость поумнее, они либо использовали бы Microsoft Visual C++ 6 (знаменитую "шестерку") плюс любой качественный протектор (например ExeCryptor), либо откомпилировали NET-приложение в p-код, дизассемблировать который намного сложнее.

WebMoney.exe (~180 Кб) - это только "пускалка", и в ней нет ничего интересного. Тем не менее, все-таки стоит дизассемблировать его. Хотя бы затем, чтобы посмеяться над разработчиками и оценить их квалификацию :).
Как ломают Keeper

Будем считать, что на компьютер с установленным Keeper'ом внедрен хакерский код, исполняющийся с пользовательскими привилегиями. То есть условимся, что нам не дали администраторских прав, хотя повысить свои привилегии с "Пользователя" до system в W2K/XP в общем-то не проблема, не говоря уже о 9x, где никакого разделения привилегий отродясь не бывало. Будем действовать в спартанских условиях, приближенным к боевым :). Что мы можем сделать? У нас два пути. Предварительно дизассемблировать Keeper, восстановить протокол обмена с сервером, дождаться, когда будет вставлен носитель, на котором лежит секретный ключ, и... дальше фантазируй сам :).

Но ковыряться в Keeper'е лениво. Дизассемблирование - это кропотливое дело, и на восстановление протокола обмена может уйти не одна неделя. Использование сниферов существенно сокращает этот срок, но меня все равно ломает. Гораздо проще и эффективнее воровать деньги руками самого Keeper'а. Устанавливаешь шпион, который клавиатурный ввод, дожидается ввода WMID или определяет его другими путями: WMID не является секретом ни для кого (первый способ в основном используется вирусами, второй хорош при целенаправленной атаке). Затем в один "прекрасный" момент (после 18 часов или в выходной день) отключается вывод на экран, запускается WebMoney.exe и путем эмуляции клавиатурно-мышиного ввода делается все, что угодно. Например, пополняется кошелек жертвы. А почему бы и нет? Мы же ломаем свой собственный кошелек, верно? Вот его и пополним! Мы же не бандиты, а честные хакеры :).

Техника эмуляции ввода подробно описана в "Записках мыщъх'а", электронную версию которой можно бесплатно сжевать с ftp-сервера nezumi.org.ru (доступен не круглосуточно). Так что не будем разводить демагогию и жевать резину по сто раз. Отметим лишь общий механизм.

Сначала нужно найти окно Keeper'а вызовом функции FindWindow или EnumWindows и определить его дескриптор. Затем, используя EnumWindows, перечислить дочерние окна, принадлежащие элементам управления (кнопкам, строкам редактирования и т.д.). Посылая элементам управления разнообразные сообщения (с помощью функции SendMessage), их легко взять под свой контроль. Для отключения вывода - либо перехватить службы GDI (реализуется сложно, но действует на ура), либо расположить поверх Keeper'а отвлекающее окно, например окно браузера с порнографической картинкой :). Да много всякого тут можно придумать.

Проблема в том, что с некоторого времени тупая эмуляция перестала действовать. Keeper обзавелся так называемыми "летающими цифрами" вроде тех, которые используются для предотвращения автоматической регистрации на многих сайтах. Прежде чем совершить какой-то платеж, необходимо ввести три графических цифры, которые случайным образом появляются на экране. Идея, конечно, интересная, но она позаимствована явно невпопад.

Почему "летающие цифры" действуют на web-серверах? Только потому что, во-первых, защитный код находится вне пределов досягаемости хакера, а во-вторых, потому что защита нацелена исключительно на роботов, а не на людей. Для охраны mail.ru от спамеров и вандалов такой меры более чем достаточно, а для Keeper'а - решительно нет! В существующих версиях Keeper'а летающие цифры элементарно распознаются простейшим OCR, а он свободно умещается в сотню килобайт (при использовании готовых библиотек). Хакерскому коду ничего не стоит захватить кусочек экрана и отправить его дежурящему у монитора хакеру, чтобы тот распознал их самостоятельно.

В-третьих, эта защита отключается бит-хаком, то есть правкой машинного кода Keeper'а.

В-четвертых, летающие цифры можно вырубить через реестр (если попытаться отключить их средствами самого Keeper'а, он запросит подтверждение на легитимность этой операции).

В-пятых, даже если защита будет ужесточена, в запасе у хакеров останется расшифровка протокола обмена и создание своих собственных клиентов без всяких там цифр.

В-шестых... Способов взлома очень и очень много, и никакой пользы от защиты "летающими цифрами" нет, не говоря уже о том, что многие пользователи до сих пор сидят на старых версиях без летающих цифр или отключают их за ненадобностью.

Еще одна широко разрекламированная фишка - подтверждение авторизации по мылу. На неискушенный взгляд, все выглядит железно: прежде чем сделать что-либо со счетом, вводишь код, код приходит на твое мыло. Если хакер упрет KWM-файл, он останется с носом, а владелец - с деньгами, так как злоумышленник не получил доступа к почтовому ящику. Логика железная, но неправильная :). Почтовые ящики ломаются (конкретные приемы взлома приведены во множестве книг и статей), к тому же хакер, утащивший KWM-файл, утащит и пароль на e-mail. Исключение составляет, пожалуй, лишь кража смарт-карт и сменных носителей с ключами. Но такая кража, как правило, осуществляется либо близкими людьми, которые могут поиметь и e-mail, либо грабителями, получившими физический доступ к сменному носителю, хранимому, как правило, в непосредственной близости от компьютера.

А как насчет блокировки всех IP-адресов, кроме своего? В локальных сетях захват чужого адреса не является непреодолимой проблемой. Тот же, кто сидит на Dial-Up'е, как правило, получает динамические IP-адреса, выделяемые из общего пула. Прописывать их развяжется пупок, да и любой клиент того же провайдера будет авторизован без проблем. И никакому хакеру не нужно хранить у себя чужой кошелек – проще снять деньги руками Keeper'а, запущенного на компьютере жертвы, который наверняка имеет правильный IP, и никакая "блокировка" тут не спасет.

Защитные меры, предлагаемые разработчиками, можно перечислять очень долго. Практически все они ориентированы на воровство KWM-файла с последующей передачей по Сети. Почему-то разработчики думают, что это единственный способ взлома, и ошибаются. Еще они советуют "правильно" настроить брандмауэр, чтобы предотвратить утечку информации, и регулярно латать систему, чтобы не проникли ни хакеры, ни черви. Ну, насчет брандмауэров они явно погорячились. Достаточно сходить на популярный сайт www.firewallleaktester.com, чтобы убедиться в существовании атак, пробивающих все персональные брандмауэры.

Теперь разберемся с обновлениями. Многие сайты, принимающие оплату через WebMoney, работают только с IE, так как используют ActiveX. И хотя для альтернативных браузеров типа Opera и FireFox выпущены плагины, они работают кое-как, и в реальности приходится использовать именно IE, количество дыр в котором достойно книги рекордов Гиннеса - создатели WebMoney сами подсаживают нас на дырявый браузер. Так что проблема коренится не в пользователях. Проблема в мозгах разработчиков (точнее, в их полном отсутствии) и в концепции всей системы. Проблема в принципиальной уязвимости протокола передачи денег и незащищенности Keepеr'а. Сколько лет уже существуют алгоритмы генерации "одноразовых" ключей, при котором воровать просто нечего и нечем? Но почему о них не знают разработчики платежной системы?
Защищенность Keeper Light

Если небезопасность классического Keeper'а - общеизвестный факт, то Light считается достаточно защищенным. "В Keeper Classic файл с ключами можно по частям перетаскать, почту можно взломать и т.д. Ключи, хранящиеся на сменном носителе, троян может переписать на винчестер в момент, когда дискета или CD вставлены. То есть теоретически возможно добраться до денег, хотя при соблюдении всех мер предосторожности - крайне сложно. Но Light с неэкспортируемым сертификатом дает 100% гарантию безопасности", - взято с http://owebmoney.ru/cafe/index.php?showtopic=108.

Звучит заманчиво, но как обстоят дела на практике? Попробуем разобраться. Начнем с вопроса о том, как все-таки работает Keeper Light. Очень просто. Секретный ключ теперь хранится не в KWM-файле, а в специальном сертификате, а все управление идет через web-интерфейс по специальным криптографическим протоколам.

Где браузер хранит сертификаты? Это зависит от браузера. Например, Mozilla – в каталоге "./mozilla/defaul/<blahblahblah>/cert8.db", а IE, запущенный под управлением Windows XP Professional, использует довольно навороченную систему. Сертификаты с открытыми ключами хранятся в персональном (personal) хранилище, расположенном в каталоге Documents-n-Settings\<username>\Application-Data\Microsoft\SystemCertificates\My\Certificates. Эта информация открыта и доступна всем желающим. Сертификаты пользователя расположены в его профиле. Закрытые ключи хранятся в каталоге Documents-n- Settings\<username>\Application Data\Microsoft\Crypto\RSA. Все файлы, расположенные здесь, автоматически шифруются случайным симметричным ключом - основным ключом пользователя (user's master key) длиной в 64 символа. Основной ключ генерируется по алгоритму Triple DES на основе пользовательского пароля, с которым он входит в систему.

Что значит вся эта теоретическая бодяга в практическом плане? Стащить сертификат с закрытым ключом из-под Windows XP не удастся! То есть удастся, но толку от этого будет ноль, поскольку на чужом компьютере он просто не заработает (на то он и закрытый сертификат). Правда, его можно экспортировать даже не обладая никакими особенными привилегиями. Распотроши программу Менеджера Сертификатов, если не знаешь как. Собственно говоря, для переноса сертификатов с компьютера на компьютер Keeper Light использует экспортируемый сертификат, который хранится в файлах с расширением .pfx, которые можно встретить как на внешних носителях, так и на жестких дисках.

Здесь есть одно "но". Экспортируемый сертификат закрыт паролем, который был назначен пользователем, и чтобы импортировать его в свою систему, необходимо либо закинуть клавиатурный шпион, либо попробовать вскрыть пароль методом перебора. Первое слишком заметно, второе - долго, поэтому кража сертификатов не получила большого распространения.

Означает ли это, что Keeper Light защищен? Нет и еще раз нет. Если Keeper Classic можно защитить хотя бы теоретически (установить драйвер, обеспечивающий прямой клавиатурный ввод, отсекающий эмуляторы и следящий за целостностью Keeper'а и самого себя), то Keeper Light работает через браузер, "целостность" которого невозможно контролировать в принципе!

Первое, что приходит на ум, - это упомянутая эмуляция. Говоришь "start https://light.webmoney.ru", тем или иным способом прячешь окно браузера (достаточно получить его дескриптор - и уже рисуешь поверх него что попало) и эмулируешь последовательность нажатия клавиш для пополнения электронного кошелька. Действует железно и неотвратимо. Единственный минус кроется в том, что каждый тип браузера (и, возможно, версия) требует особого подхода, но можно остановиться только на IE 5/6, как на самом популярном.

С остальными браузерами еще проще. Берешь исходники FireFox и создаешь хакерский мини-браузер на их основе, который ничего не выводит на экран, но с кошельками работает только так. Правда, среди пользователей WebMoney не так уж много поклонников FireFox, но это все же лучше, чем совсем ничего :). Кстати, пусть приверженцы IE не чувствуют себя в безопасности: исходные тексты W2K были украдены уже давно, и создать свой клон IE на их основе вполне реально, не говоря уже о том, что IE - это просто набор DCOM-объектов - собрать свой браузер на их основе сможет даже начинающий.

А что если импортировать сертификат перед каждым открытием кошелька, а затем удалять его из хранилища? Действительно, это до некоторой степени увеличит защищенность. Однако хакерская программа может либо дожидаться появления окна "WebMoney Keeper :: Light Edition" (сигнализирует о том, что пользователь вошел в систему), либо шпионить за клавишами, передавая секретный пароль вместе с сертификатом по Сети. Так что электронные деньги все равно остаются в щекотливой ситуации...
Надежность авторизации по сотовому телефону

Последним писком моды стала система авторизации с помощью сотового телефона. При регистрации в службе ENUM (http://enum.ru) на твой мобильник устанавливается специальное Java-приложение (мидлет). Приложение называет себя Enum Client, принимает пятизначные числа (например 09652) и генерирует на их основе ответ, причем алгоритм генерации уникален для каждого пользователя. Если у владельца кошелька нет сотового телефона, подойдет Pocket PC или любое другое устройство с поддержкой Java.

Служба ENUM позволяет совершать покупки через сервис Merchant (https://merchant.webmoney.ru), вообще не прибегая к Keeper'у (ни к классическому, ни к облегченному). Считается, что взломать электронный кошелек и похитить наличность в этом случае уже не удастся. "Мошенники и вирусописатели используют интернет для кражи ценной информации с наших компьютеров. Но какую бы защиту мы ни изобрели - файрволы, антивирусы, антикейлоггеры, антитрояны, сертификаты - всегда есть теоретическая вероятность ее обхода и кражи паролей с компьютера, потому что и хакеры, и защитные инструменты используют ОДИН И ТОТ ЖЕ канал - интернет. И проблема интернета состоит в том, что не существует альтернативного канала хранения-передачи информации. ENUM решает эту проблему, предоставляя нам тот самый другой канал. Хакер может влезть на компьютер, "подсадить" троянский вирус, но он не сможет влезть в мобильный телефон. Угадать же, по какому уникальному для каждого пользователя алгоритму Enum Client из одного числа получает другое, тоже нельзя", - взято с http://owebmoney.ru/enum.shtml.

Действительно ли это так? Как говорится, если нельзя, но очень хочется, то все-таки можно :). Дополнительный "канал связи" и в самом деле многократно усиливает безопасность, но говорить о принципиальной невозможности взлома преждевременно. Начнем с того, что алгоритм генерации номеров для всех пользователей все-таки един (дизассемблируй мидлет, если не веришь), но ключ генерации разный и подобрать его вполне можно. Достаточно перехватить один-единственный отклик для данной комбинации цифр. Восстановление ключа не займет много времени, и оно вполне по силам троянской программе.

К тому же сотовые телефоны содержат кучу дыр, ИК-протоколы и Голубой Зуб буквально кишат ими. Если жертва имеет сотовый телефон или КПК, то, возможно, пользуется и адаптером Голубого Зуба или ИК, который держит постоянно включенным. Злоумышленник может передавать телефону любые AT-команды, выполнять мидлеты или считывать их содержимое. Можно написать вирус, похищающий электронные кошельки и передающий их через сотовый телефон. В обход всех брандмауэров! Вот тебе и дополнительный канал связи...

Впрочем, если смотреть правде в глаза, необходимо признать, что хакнуть ENUM очень сложно. Но это не значит, что можно заводить электронный кошелек и смело класть на него $100 000. Тогда точно взломают!
Кровавая война продолжается

Взлом WebMoney - это не миф, а суровая реальность. Обезопасить себя на 100% нельзя, даже если ты эксперт по безопасности. Всегда существует риск подхватить вирус через еще не известную дыру в операционной системе или браузере. Если от потери оперативных данных на винчестере спасает резервирование, от раскрытия конфиденциальных данных - физическое отключение интранета от Сети, то от кражи электронных денег не спасает ничто!
Что можно и что нельзя

Экспериментировать (в образовательных целях) можно только со своим собственным электронным кошельком или с кошельками лиц, предоставивших соответствующее письменное разрешение :). Несанкционированное вмешательство в чужие системы и кошельки категорически недопустимо!
Как ломают обменники

Взлом обменников не входит в наши планы (собственный обменник имеет далеко не каждый, а ломать чужие - незаконно), поэтому отметим лишь основное. С хакерской точки зрения обменник представляет собой сайт, правильно управляемый PHP и работающий под LINUX/BSD/NT. Именно через ошибки в PHP-скриптах их чаще всего и ломают. Также некоторые web-программисты оставляют "черный ход" на тот случай, если им вдруг захочется кушать, а кушать будет нечего. Реже ломают ось. Наибольшее количество дыр, естественно, имеет NT и все производные от нее системы (в том числе хваленый Windows 2003 Server). Чуть сложнее сломать LINUX и BSD, но... если взять сканер безопасности (например X-Spider), то можно обнаружить, что на многих из них стоит корявый SendMail или проржавевший Apache. Переполнение буфера, засылка shell-кода - и сервер в твоих руках!

Система WebMoney очень помогает по жизни в Сети, но не стоит недооценивать ее уязвимость.

Всевозможные генераторы WebMoney в Сети - абсолютный блеф или чужие трояны.

После регистрации кошелька ему присваивается 12-значный идентификатор WMID (Web Money ID).

Секретный ключ хранится в файле *.kwm (Key of Web Money).

Если увели деньги, остается еще один шанс - обратиться к Администратору Арбитражного Сервиса.

Подтверждение авторизации по e-mail защищает, но доступ к почте тоже можно добыть.

Keeper Light защищен хорошо, но плохо защищены браузеры, через которые он работает.

Источник: http://www.xakep.ru/magazine/xs/061/064/1.asp

Просмотров: 1308 | Добавил: max46280 | Теги: paypal, Яндекс.Деньги, QIWI, webmoney, кража электронных денег | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск по порталу
Cityads.ru
Cityads.ru
Cityads.ru
SAPE.RU
Solomono.ru
MainLink.RU

Propage.ru
.
Друзья сайта
Статистика UCOZ

Meta tags
Мета тэги
Платёжные системы
Блогун
Setlinks.ru

Copyright MyCorp © 2019