Кража электронных денег

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-064-1

(no e-mail)

Взлом и защита WebMoney

Вопреки всем заверениям разработчиков, система WebMoney катастрофически ненадежна и вскрывается буквально ногтем. Существует множество червей, троянов и хакерских групп, специализирующихся на похищении электронных кошельков, кражи которых приняли массовый характер.

Начнем с того, чего не может быть. Никаких "генераторов WebMoney" не существует и не может существовать. Вся наличность хранится на центральном сервере оператора, а электронные кошельки представляют собой лишь средство доступа к ней. Грубо говоря, если ты сгенерируешь комбинацию цифр для кодового замка, деньги и драгоценности в сейфе от этого не появятся. И хотя существует возможность подобрать шифр к чужому сейфу, вероятность открыть его без помощи владельца настолько мала, что об этом даже не стоит и говорить!

Украсть же чужую комбинацию вполне реально! Именно этим и занимаются "генераторы WebMoney", которые либо делают дубликат электронного кошелька и передают его злоумышленнику, либо скрыто вызывают Keeper и осуществляют перевод на свой счет. Аналогичным образом действуют вирусы и троянские программы. Можно ли защититься от них?

Система WebMoney, разработанная неспециалистами, изначально проектировалась без оглядки на безопасность. Несмотря на то, что в последнее время появился целый комплекс "противопожарных" мер, приляпанных задним числом, положение остается критическим. Пользователи путаются в системах защиты, служба поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр и т.д.), а тем временем кражи электронных кошельков продолжаются.

Мы не ставим перед собой задачу научить кого бы то ни было воровать, мы просто хотим показать и доказать (!), что система WebMoney действительно очень ненадежна и проектировалась даже не задницей (к ней все-таки примыкает спинной мозг), а неизвестно чем. Здесь не будет ни расплывчатых слов (чтобы нас не обвинили в клевете), ни конкретных рекомендаций. Мы не даем готовых атакующих программ и не говорим, какие именно байтики нужно хакнуть, но гарантируем, что весь необходимый хакерский инструментарий может быть создан с нуля за одну ночь - святое для хакеров время!

Начало, или классическая миссионерская

Система WebMoney - своеобразный аналог обыкновенных банковских чеков, следовательно, для совершения платежей в обязательном порядке необходимо предварительно зарегистрироваться на центральном сервере оператора и открыть счет, что уже является огромной неприятностью…

Идем на www.webmoney.ru, скачиваем программу Keeper Classic, запускам ее (так и не удалось заставить это чудо научно-инженерной мысли работать через Proxy-сервер, пришлось поднимать NAT и маппить 2802-й порт), заполняем регистрационные данные (от фонаря или честно), придумываем себе любой пароль по вкусу, после чего программа приступает к генерации секретного ключа и просит подергать мышь и понажимать клавиши. Все это проделано ради получения действительно случайных данных - как будто псевдослучайный генератор на основе таймера здесь не годится. На фоне общей незащищенности системы бравировать словами RSA, RC5, MD4, MD5 и SSL просто глупо. Впрочем, психологический расчет разработчиков вполне понятен. Если секретный ключ будет генерироваться за доли секунды, какой пользователь в него поверит?