Злом і захист WebMoney
Всупереч усім запевненням розробників, система WebMoney катастрофічно ненадійна і розкривається буквально нігтем. Існує безліч черв'яків, троянів і хакерських груп, що спеціалізуються на викраденні електронних гаманців, крадіжки яких набули масового характеру. Хочете дізнатися, як це робиться і як убезпечити себе?
Почнемо з того, чого не може бути. Ніяких "генераторів WebMoney" не існує і не може існувати в принципі. Вся готівка зберігається на центральному сервері оператора, а електронні гаманці представляють лише засіб доступу до неї. Грубо кажучи, від того, що ви сгенеруєте комбінацію цифр для кодового замка, гроші та коштовності в сейфі ще не з'являться. І хоча існує можливість підібрати шифр до чужого сейфу, ймовірність відкрити його без допомоги власника (гусари! про паяльник ми пам'ятаємо, але мовчимо) настільки мала, що про це навіть не варто й говорити!
А от вкрасти чужу комбінацію цілком реально! Саме цим "генератори WebMoney" і займаються. Вони або роблять дублікат з електронного гаманця і передають його зловмисникові, або приховано викликають Keeper'а і здійснюють переказ на свій рахунок. Аналогічним чином діють віруси і троянські програми. Також відзначені і цілеспрямовані атаки на конкретну жертву. Чи можна від них захиститися? Система WebMoney, розроблена неспеціалістами, спочатку проектувалася без огляду на безпеку і, хоча останнім часом з'явився цілий комплекс "протипожежних" заходів, приляпаних заднім числом, ситуація залишається критичною. Користувачі плутаються в системах захисту, служба підтримки дає досить туманні і розпливчасті рекомендації (оновити Windows, налаштувати брандмауер і т.д.), а тим часом крадіжки електронних гаманців тривають.
Ми не ставимо перед собою завдання навчити кого б то не було красти, ми просто хочемо показати і довести (!), Що система WebMoney дійсно дуже ненадійна і проектувалася навіть не дупою (до неї все-таки примикає спинний мозок), а взагалі невідомо чим . Тут не буде розпливчастих слів (щоб нас не звинуватили в наклепі), але не буде і конкретних рекомендацій. Ми не даємо готових атакуючих програм і не говоримо, які саме байти потрібно хакнути, але повірте - весь необхідний хакерський інструментарій може бути створений з нуля за одну ніч - святий для хакерів час!
Але про все по порядку. Не будемо поспішати вперед і сунути лазерний диск в дисковод, тим більше що останній нам ще знадобиться.
ЩО МОЖНА І ЩО НЕ МОЖНА (зречення)
Експериментувати (в освітніх цілях) можна тільки зі своїм власним електронним гаманцем або з гаманцями осіб, які дали письмовий дозвіл. Несанкціоноване втручання в чужі системи і гаманці категорично неприпустимо!
Початок початку або класична місіонерська
Система WebMoney є своєрідним аналогом звичайних банківських чеків, а це означає, що для здійснення платежів нам в обов'язковому порядку необхідно попередньо зареєструватися на центральному сервері оператора і відкрити рахунок, що вже є величезним недоліком.
Йдемо на www.webmoney.ru, завантажуємо програму Keeper Classic, запускаємо її (до речі, змусити працювати через Proxy-сервер це диво науково-інженерної думки мені так і не вдалося, довелося піднімати NAT і мапити 2802 порт), заповнюємо реєстраційні дані (вигадані або чесно), придумуємо собі пароль до смаку, після чого програма приступає до генерації секретного ключа і просить нас посмикати мишкою і натискати клавіші. Це необхідно для того, щоб отримати дійсно випадкові дані, начебто псевдовипадковий генератор на основі таймера тут не годиться. На тлі загальної незахищеності системи хизуватися словами RSA, RC5, MD4, MD5, SSL просто нерозумно. Втім, психологічний розрахунок розробників мені цілком зрозумілий. Якщо секретний ключ буде генеруватися за долі секунди - який користувач в нього повірить?
Як би там не було, по завершенню реєстрації нам присвоюється унікальний 12-значний код WMID (Web Money ID), і генерується пара ключів. Відкритий ключ передається на центральний сервер оператора WebMoney, а секретний зберігається у файлі з розширенням *. kwm (Key of Web Money), який може бути розташований на жорсткому диску, змінному носії або смарт-картці. Коротше, звичайна несиметрична криптографія типу PGP.
Ще створюється файл *. pwm, що зберігає відомості про наші гаманці (поточний баланс, історія операцій і т.д.). В принципі він необов'язковий, адже вся інформація розташована на центральному сервері оператора. Keeper може працювати і без *. pwm файлу, автоматично довантажуючи дані з мережі, правда тільки за останні три дні. Власне кажучи, *. kwm файл теж необов'язковий і його можна відновити. Для цього необхідно знати пароль, мати доступ до поштової скриньки, вказаної при реєстрації, а також нотаріально завірена заява, що ти не лось (докладніше про це можна прочитати тут: http://www.owebmoney.ru/returnkey.shtml). Чисто теоретично, хакер може хакнути наші грошики тільки на основі пароля, але практично це дуже клопітно й небезпечно.
Секретною інформацією, що регламентує доступ до гаманця, є один лише kwm-ключ. WMID скрізь публікується відкрито і це нормально. Знаючи WMID, можна дізнатися реєстраційні дані користувача, які він позначив "відкритими", але не можна визначити номер його гаманця (гаманців). Номер гаманця - це умовно-секретна інформація. Знаючи номер гаманця, ми не можемо витягти з нього гроші, але можемо виставити рахунок, заповнивши поле "опис покупки" як можна більш правдоподібно. Спосіб звичайно, безглуздий, але є певний шанс, що він пройде. Користувачі регулярно оплачують велику кількість дрібних рахунків поступово звикають не звертати на них уваги і перевіряють графу "від кого" тільки при виникненні сумнівів. Зрозуміло, ніякого кайфу в такому способі злому немає, до того ж зловмисник може дуже легко прогоріти і відправитись в компанію дядьків, які розірвуть йому дупу, так що мега-популярності він так і не знайде.
А от крадіжки kwm-файлів процвітають. За замовчуванням ключі зберігаються в keys.kwm, але, в принципі, ім'я файлу може бути будь-яким, як, втім, і розширення. Більшість хакерів і троянських програм виробляє тупий пошук по масці *. kwm, тому перейменування файлу ключів в dontreadme.txt до деякої міри збільшує нашу захищеність, однак просунуті хакери можуть залізти в реєстр, де Keeper зберігає свої налаштування і підглянути шлях до файлу. Ще можна шукати по його вмісту, скануючи всі файли (правда, це займе багато часу і викличе підозрілу дискову активність). Гурмани напевно перехоплять виклик API-функції CreateFile, що показує, які файли відкриває Keeper. І навіть якщо формат налаштувань реєстру в наступних версіях буде змінений, варіант з CreateFile продовжить працювати (hint: якби розробники не були ідіотами, вони б створили декілька файлів з ключами - один справжній, всі інші - сторожові датчики, при зверненні до яких лунає сигнал тривоги).
За замовчуванням розмір файлу ключів складає 1.2 Мбайт (в акурат, на дискету), але при бажанні його можна збільшити аж до 100 Мбайт. Це ускладнює крадіжку ключа з передачею по Інтернет, але загалом-то, не створює ніяких нездоланних незручностей. 100 Мбайт - це половина mini CD-R, один Zip-100M або два CD-R у форматі бізнес-карти. Звичайно, швидкодія системи до певної міри впаде (величезний файл так відразу і не прочитаєш), проте безпека коштує того. Або не варто? За локальної мережі потягти 100 Мбайт не проблема, по DSL модему або кабельному інтернету - теж. І навіть ганебний за нинішніми мірками модем на 33600 передасть цей файл за ~ 70 годин. Не так вже й багато, якщо згадувати, що практично ніхто з користувачів не перегенеровує ключі кожен день. Розрізавши файл на дрібні шматочки, що передаються у фоновому режимі, затягнути його за два-три тижні цілком реально, хоча це буде самий тупий і неперспективний шлях.
Якщо хакер увійшов в чужу систему (а потрапити в неї можна різними шляхами), йому нічого не варто завантажити файл в пам'ять, відкрити гаманець, перевести гроші на свій рахунок і грохнути жорсткий диск, щоб жертва не змогла увійти в Інтернет і поскаржитися, кому слід . До речі, на рахунок "поскаржитися". Варіантів не так вже й багато і допомоги чекати нема звідки. Ну, хіба що від господа бога (if you're real god, return my money, you sic fuck) так на братків. Якщо доступ до WMID у нас ще є (що за тупий хакер попався!), Можна визначити WMID, на який були переведені гроші, зайти на сайт Арбітражного Сервісу (http://arbitrage.webmoney.ru/), сплатити арбітражний збір (а для цього необхідно мати WebMoney, яких у нас дочиста поцупив зловмисник) і заблокувати хакерський гаманець. Тільки якщо хакер не лось, гроші за лічені хвилини будуть перекинуті на e-gold або будь-яким іншим шляхом виведені із системи, так що на його гаманці їх не виявиться і блокувати буде особливо й нічого. До речі кажучи, гаманці з початковим або персональним атестатом блокується тільки за рішенням арбітражної комісії, то є достатньо взяти атестат і ... Ось тільки не треба говорити, що власники атестатів крадіжкою не займаються, оскільки повідомляють свої паспортні дані. Агащазблін! Таки свої? Видачею атестатів зараз займаються всі кому не лінь і сподіватися, що всі вони люди чесні, сумлінні і непідкупні, просто наївно, тим більше, коли мова йде про гроші, нехай навіть електронних. Людина, яка намірився викрасти $ 100.000 (а чому б і ні), отримає без проблем не тільки фіговий атестат, але ще й фальшивий паспорт на додачу. Ну і кого з цього атестату потім шукати?! Якщо навіть співробітники МВС підробляють паспорта на потоці, про що не раз говорило TV (а це вже кримінал), то що говорити про "атестатах", у яких взагалі немає ніякого юридичного статусу?!
Втім, ситуація з перекиданням крадених грошей через кілька гаманців таки розглядалася розробниками, і вони ретельно поневолили про ... зловмисників! Судіть самі. Жертві після подачі вже згаданого позову слід звернутися до Адміністратора Арбітражного Сервісу (WMID 937717494180, arbitrage@webmoney.ru), і попросити його простежити весь ланцюжок. Вся "принадність" в тому, що Адміністратор працює тільки з понеділка по п'ятницю з 10 до 18 годин по Москві. Ми, мовляв, не служба порятунку і теж спати хочемо. Дуже гарна платіжна система, скажу я вам! При тому, що виведення грошей з системи здійснюється практично миттєво і рахунок йде на хвилини, адміністратор, бачте, хоче спатоньки. Я не зрозумів, це студентська общага або платіжна система?! Що варто було при мільйонних оборотах (про які реклама не перестає згадувати) найняти кілька людей для цілодобової підтримки?! Адже мова в даному випадку йде про гроші! Природно, для хакерів найбезпечніше здійснювати крадіжки або опівночі, або на вихідних. Але це добре, залишимо пусті слова і познайомимося з Keeper'ом ближче.
Keeper зовні і зсередини
Ось тут деякі захоплюються, як розробником вдалося так багато втиснути в обсяг Keeper'a ("не знаю як ви, а я щиро вклоняюся перед тими, хто в 2 мегабайта дистрибутива Keeper Classic примудрився вкласти таку" смачну "начинку, та ще й красиво упакувати це справа зовні ", http://www.owebmoney.ru/clashistory.shtml). А що вони, власне кажучи, в нього вмістили? Звичайно, у наш час, коли "Hello, World!" насилу втрутиться на лазерний диск, програми займають "всього" кілька мегабайт вже викликають повагу ...
Основний об'єм (~ 2,2 Мбайта) займає WMClient.dll який, власне, сам Keeper і є. Це DCOM-об'єкт, написаний на Microsoft Visual. NET з компіляцією в машинний код, нічим не упакований і ніяк, я повторюю, ніяк не перешкоджає своєму аналізу. Тут немає ні шифрованого, ні p-коду, ні антіотладочних прийомів, ні протидії дизассемблер, дампер, API-шпигунові. Нічого! Бери-і-аналізуй! У всякому разі, версія 2.4.0.3 (остання на момент написання цієї статті) веде себе саме так. Будь розробники хоч трохи розумніші, вони або використовували б Microsoft Visual C + + 6 (знамениту "шістку") плюс будь-який якісний протектор (наприклад, ExeCryptor), або відкомпілювати б NET-додаток в p-код, який набагато складніше дизасемблювати.
WebMoney.exe (~ 180 Кбайт) - це тільки "пускалка" і в ній немає нічого цікавого, проте дизасемблювати його все-таки варто. Хоча б для того, щоб посміятися над розробниками і оцінити їх кваліфікацію.
Отже, будемо вважати, що на комп'ютер з встановленим Keeper'ом впроваджений хакерський код, що виконується з користувацькими привілеями (домовимося, що адміністраторських прав нам не дали і, хоча підвищити свої привілеї з користувача до system в W2K/XP, загалом-то, не проблема, не кажучи вже про 9x, де ніякого поділу привілеїв зроду не бувало, будемо діяти в спартанських умовах, наближеним до бойових). Що ми можемо зробити? У нас два шляхи. Попередньо дизасемблювати Keeper'а, відновити протокол обміну з сервером, дочекатися, коли буде вставлений носій, на якому лежить секретний ключ і ... далі фантазуйте самі. Особисто мені колупатися в Keeper'е лінь. Дизасемблювання - це копітка справа і на відновлення протоколу обміну може піти не один тиждень. Використання снифферов істотно скорочує цей термін, проте все одно "влом". Набагато простіше і ефективніше красти гроші руками самого Keeper'а. Встановлюємо шпигуна, перехоплює клавіатурний ввід, чекаємо введення WMID або визначаємо його іншими шляхами, адже WMID ні для кого секретом не є (перший спосіб, в основному, використовується вірусами, другий - хороший при цілеспрямованої атаки), потім в один "прекрасний" момент ( після 18 години або у вихідний день) відключаємо висновок на екран, запускам WebMoney.exe і шляхом емуляції клавіатурної-мишачого введення справах все, що ми хотіли. Наприклад, поповнюємо гаманець жертви. А чому б і ні?! Ми ж адже ламаємо свій власний гаманець, вірно? Ось його і поповнимо! Ми ж не бандити які, а чесні хакери!
Техніка емуляції введення докладно описана в "Записках мищ'х'а", електронну версію якої можна безкоштовно зжувати з мого мищ'х'іного ftp-сервера ftp://nezumi.org.ru/ (тільки нагадую, що він доступний не весь час), до того ж в 67 номері Хакера була опублікована стаття "Ломка WebMoney" в якій все це описано. Так що не будемо розводити демагогію і жувати гуму по сто разів. Відзначимо лише загальний механізм. Спочатку ми знаходимо вікно Keeper'а викликом функції FindWindow або EnumWindows і визначаємо його дескриптор. Потім, використовуючи EnumWindows перераховуємо дочірні вікна, що належать елементам управління (кнопкам, рядкам редагування і т.д.). Посилаючи елементам управління різноманітні повідомлення (це можна зробити за допомогою функції SendMessage) ми легко візьмемо їх під своєю контроль. Відключення виведення на екран здійснюється або перехопленням служб GDI (реалізується складно, але діє на ура), або розташуванням поверх Keeper'а відволікаючого вікна, наприклад, вікна браузера з порнографічної картинкою. Так багато всякого тут можна придумати!
Проблема в тому, що, починаючи з деякого часу, тупа емуляція перестала діяти. Keeper обзавівся так званими "літаючими цифрами". На зразок тих, що використовується для запобігання автоматичної реєстрації на багатьох сайтах. Перш ніж зробити якийсь платіж, необхідно ввести три графічних цифри, які випадковим чином з'являються на екрані. Ідея, звичайно, цікава, та от запозичена вона явно невпопад. Важке дитинство, паскудний освіта, глибоке похмілля. А голова-то бо-бо. Втім, голова тут не причому. Все одно їй думати нікому. Прийомам безпеки розробників явно не вчили. Уривчасті знання в стилі "тут зубрив, а тут дівчину танцював, а тут мене рушили цеглою" так і пруть з усіх сторін.
Чому "літаючі цифри" діють на Web-серверах (там, де вони вперше і з'явилися)? Та тому і тільки тому, що, по-перше, захисний код знаходиться поза межами досяжності хакера, а, по-друге, тому, що захист націлена виключно на роботів, але не людей. Для охорони mail.ru від спамерів і вандалів такої міри більш ніж достатньо, але тільки не для Keeper'а! По-перше, в поточних версіях Keeper'а літаючі цифри елементарно розпізнаються простющім OCR, вільно уміщається в сотню кілобайт (при використанні готових бібліотек), по-друге, хакерскому коду нічого не варто захопити шматочок екрану і відправити його чергує біля монітора хакеру, щоб той розпізнав їх самостійно, по-третє, цей захист відключається біт-хаком, тобто правкою машинного коду Keeper'а, по-четверте, літаючі цифри можна вирубати через реєстр (якщо спробувати їх відключити засобами самого Keeper'а, він запросить підтвердження на легітимність цієї операції), по-п'яте, навіть якщо захист буде посилена, в запасі у хакерів залишиться розшифровка протоколу обміну і створення своїх власних клієнтів без всяких там цифр, в шостих ... Коротше, способів злому дуже і дуже багато і ніякої користі від цього захисту немає, не кажучи вже про те, що багато користувачів до сих пір сидять на старих версіях без літаючих цифр або відключають їх за непотрібністю.
А ось ще одна широко розрекламована фішка - підтвердження авторизації по e-mail. На недосвідчений погляд все виглядає залізно - перш, ніж з нашим рахунком вдасться що б то не було зробити, необхідно ввести код, який прийде по e-mail. Якщо хакер упреться *. Kwm файл, він залишиться з носом, а ми - з грошима. Адже доступу до нашого поштової скриньки він не отримає. Логіка залізна, але неправильна. Поштові скриньки ламаються не так вже й складно (конкретні прийоми злому наведені в безлічі книг і статей, так що не буду повторюватися), до того ж, якщо хакер поцупив *. Kwm файл, він потягне і пароль на e-mail. Виняток становить, мабуть, лише крадіжка смарт-карт і змінних носіїв з ключами, але ... така крадіжка, як правило, здійснюється або близькими людьми, які можуть поиметь і e-mail, або грабіжниками, які отримали фізичний доступ до змінного носія, що зберігається, як правило, в безпосередній близькості від комп'ютера. Ну і що їм варто вкрасти ще і пароль на скриньку?
Гаразд, а як щодо блокування всіх IP-адрес, крім свого? Почнемо з того, що в локальних мережах захоплення чужого адреси не є непереборною проблемою. Той же, хто сидить на Dial-Up'е, як правило, отримує динамічні IP адреси, які виділяються із загального пулу. Прописувати їх - задолбался, та й будь-який клієнт того ж провайдера буде авторизований без проблем. Але це неважливо. Ніякому хакеру зберігати у себе чужий гаманець нахрен не потрібно. Він просто зніме гроші руками Keeper'а, запущеного на комп'ютері жертви, який напевно має правильний IP і ніяка "блокування" його не зупиняє!
Захисні заходи, що пропонуються розробниками, можна перераховувати дуже довго. Практично всі вони орієнтовані на крадіжку *. Kwm файлу з наступною передачею його по мережі. Чомусь розробники думають, що це єдиний спосіб злому, хоча це далеко не так. Ще вони радять "правильно" настроїти брандмауер, щоб запобігти витоку інформації і регулярно латати систему, щоб не проникли ні хакери, ні черви. Ну, на рахунок брандмауерів вони явно погарячкували. Досить сходити на популярний сайт http://www.firewallleaktester.com/, щоб переконатися, що існують атаки, що пробивають всі персональні брандмауери. Я також писав про це в "Записках дослідника комп'ютерних вірусів", фрагменти якої можна завантажити ftp://nezumi.org.ru/, там же лежить готовий демонстраційний код.
Тепер розберемося з оновленнями. Багато сайтів, що приймають оплату через WebMoney працюють тільки з IE, тому що використовують ActiveX. І хоча для альтернативних бразузеров типу Опери і Лисиця випущені плагіни, працюють вони сяк-так і в реальності доводиться використовувати саме IE, кількість дірок у якому достойно книги рекордів Гіннеса. Тобто, творці WebMoney самі підсаджують нас на дірявий браузер, і при цьому ще дбайливо рекомендують - не забудь вчасно оновитися, мовляв. А може, мені ще й підлогу змінити?! Так що, проблема не в користувачів. Проблема в мізках розробником (точніше, в їх повній відсутності). Проблема в концепції всієї системи. Проблема у принциповій уразливості протоколу передачі грошей і незахищеності Keeper'а. Чорт візьми, скільки років вже існують алгоритми генерації "одноразових" ключів, при якому красти просто годі й нічим. Але чому про них знаю я - зовсім далекий від криптографії і фінансових махінацій мищ'х - але не знають розробники платіжної системи?! Понапрінімалі незрозуміло кого ...
Keeper light або боротьба з сертифікатами
Небезпечність класичного Keeper'а - загальноприйнятий факт, але Light все ще вважається досить захищеним: "В Keeper Classic файл з ключами можна по частинах перетягати, email можна зламати і т.д. Ключі, що зберігаються на змінному носії, троян може переписати на вінчестер в момент, коли дискета або CD вставлені. тобто, теоретично можливо дістатися до грошей, хоча при дотриманні всіх заходів безпеки - вкрай складно. Але Light з не експортуються сертифікатом дає 100%-ную гарантію безпеки "(http://owebmoney.ru/ cafe / index.php? showtopic = 108).
Звучить заманливо, але як із цим справи на практиці? Спробуємо розібратися. Почнемо з питання - як все-таки працює Keeper Light? Дуже просто. Секретний ключ тепер зберігається не в *. Kwm файлі, а в спеціальному сертифікаті, а все управління йде через Web-інтерфейс за спеціальними криптографічним протоколам.
Де браузер зберігає сертифікати? Залежить від самого браузера. Наприклад, Mozilla - в каталозі ". / Mozilla / defaul / <blahblahblah> / cert8.db", а от IE, запущений під керуванням Windows XP Professional, використовує досить навороченную систему. Сертифікати з відкритими ключами зберігаються в персональному (personal) сховище, розташованому в каталозі Documents-n-Settings \ <username> \ Application-Data \ Microsoft \ SystemCertificates \ My \ Certificates, яка вільна для доступу всім бажаючим (адже це відкрита інформація!) . Сертифікати користувача розташовані в його профілі. Закриті ключі зберігаються в каталозі Documents-n-Settings \ <username> \ Application Data \ Microsoft \ Crypto \ RSA. Всі файли, розташовані тут, автоматично шифруються випадковим симетричним ключем - основним ключем користувача (user's master key), довжиною в 64 символи. Основний ключ генерується за алгоритмом Triple DES на основі користувальницького пароля, з яким він входить в систему.
Що значить вся ця теоретична бодяга в практичному плані? А те, що поцупити сертифікат із закритим ключем з-під Windows XP не вдасться! Тобто, стягнути-то вдасться, але толку від цього буде нуль, оскільки на чужому комп'ютері він просто не буде працювати! (На то він і закритий сертифікат!). Правда, його можна експортувати, навіть не володіючи жодними особливими привілеями. Розпатрати програму Менеджера Сертифікатів, якщо не знаєте як. Власне кажучи, для перенесення сертифікатів з комп'ютера на комп'ютер Keeper Light використовує експортований сертифікат, який зберігається у файлах з розширенням. Pfx. Їх можна зустріти як на зовнішніх носіях, так і на жорстких дисках. Ось тільки тут є одне "але". Експортований сертифікат закритий паролем, який призначається користувачем, і, щоб його імпортувати в свою систему, необхідно або закинути клавіатурного шпигуна, або спробувати розкрити пароль методом перебору. Але перше занадто помітно, друге - довго, тому крадіжка сертифікатів не отримала великого поширення.
Чи означає це, що Keeper Light захищений? Ні і ще раз ні! Якщо Keeper Classic можна захистити хоча б теоретично (встановити драйвер, що забезпечує прямий клавіатурний ввід, відсікаючий емулятори і стежить за цілісністю Keeper'а і самого себе), то Keeper Light працює через браузер, "цілісність" якого неможливо контролювати в принципі!
Перше, що спадає на думку - це вже згадана емуляція. Говоримо "start https://light.webmoney.ru", тим чи іншим способом ховаємо вікно браузера (досить просто отримати його дескриптор і можна малювати поверх нього, що попало) і емулюючи послідовність натиснення клавіш для поповнення електронного гаманця. Діє залізно і невідворотно. Єдиний мінус - кожен тип (і, можливо, версія) браузера вимагає свого підходу, але можна зупинитися тільки на IE 5/6, як на найбільш популярному.
З іншими браузерами ще простіше. Беремо исходники Лисиця і створюємо хакерський міні-браузер на їх основі, який нічого не виводить на екран, але з гаманцями працює тільки так. Правда, серед користувачів WebMoney шанувальників Лиса не так вже й багато, але це все ж краще, ніж зовсім нічого. До речі, хай прихильники IE не відчувають себе в безпеці. Вихідні тексти W2K були вкрадені вже давно і створити свій клон IE на їх основі цілком реально, не кажучи вже про те, що IE - це просто набір DCOM-об'єктів і зібрати свій браузер на їх основі зможе навіть початківець.
А що, якщо імпортувати сертифікат перед кожним відкриттям гаманця, а потім видаляти його зі сховища? Дійсно, це до певної міри збільшить захищеність, однак хакерська програма може або чекати появи вікна "WebMoney Keeper :: Light Edition", що сигналізує про те, що користувач зайшов в систему, або шпигувати за клавішами, передаючи секретний пароль разом з сертифікатом по мережі. Так що, електронні гроші все одно залишаються в делікатній ситуації!
Злом WebMoney - це не міф, а сувора реальність та убезпечити себе на 100% не можна, навіть якщо ви експерт з безпеки. Завжди існує ризик підхопити вірусу через ще невідому дірку в операційній системі або браузері, причому, якщо від втрати оперативних даних на вінчестері рятує резервування, від розкриття конфіденційних даних - фізична відключення Інтранету від Мережі, то від крадіжки електронних грошей не рятує ніщо!
Переклад Andrey Kravets
- Попередня
- Наступна
Коментарі
Немає коментарів до цієї статті.
Коментарі