Кража электронных денег

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-064-6

Еще одна широко разрекламированная фишка - подтверждение авторизации по мылу. На неискушенный взгляд, все выглядит железно: прежде чем сделать что-либо со счетом, вводишь код, код приходит на твое мыло. Если хакер упрет KWM-файл, он останется с носом, а владелец - с деньгами, так как злоумышленник не получил доступа к почтовому ящику. Логика железная, но неправильная :). Почтовые ящики ломаются (конкретные приемы взлома приведены во множестве книг и статей), к тому же хакер, утащивший KWM-файл, утащит и пароль на e-mail. Исключение составляет, пожалуй, лишь кража смарт-карт и сменных носителей с ключами. Но такая кража, как правило, осуществляется либо близкими людьми, которые могут поиметь и e-mail, либо грабителями, получившими физический доступ к сменному носителю, хранимому, как правило, в непосредственной близости от компьютера.

А как насчет блокировки всех IP-адресов, кроме своего? В локальных сетях захват чужого адреса не является непреодолимой проблемой. Тот же, кто сидит на Dial-Up'е, как правило, получает динамические IP-адреса, выделяемые из общего пула. Прописывать их развяжется пупок, да и любой клиент того же провайдера будет авторизован без проблем. И никакому хакеру не нужно хранить у себя чужой кошелек – проще снять деньги руками Keeper'а, запущенного на компьютере жертвы, который наверняка имеет правильный IP, и никакая "блокировка" тут не спасет.

Защитные меры, предлагаемые разработчиками, можно перечислять очень долго. Практически все они ориентированы на воровство KWM-файла с последующей передачей по Сети. Почему-то разработчики думают, что это единственный способ взлома, и ошибаются. Еще они советуют "правильно" настроить брандмауэр, чтобы предотвратить утечку информации, и регулярно латать систему, чтобы не проникли ни хакеры, ни черви. Ну, насчет брандмауэров они явно погорячились. Достаточно сходить на популярный сайт www.firewallleaktester.com, чтобы убедиться в существовании атак, пробивающих все персональные брандмауэры.

Теперь разберемся с обновлениями. Многие сайты, принимающие оплату через WebMoney, работают только с IE, так как используют ActiveX. И хотя для альтернативных браузеров типа Opera и FireFox выпущены плагины, они работают кое-как, и в реальности приходится использовать именно IE, количество дыр в котором достойно книги рекордов Гиннеса - создатели WebMoney сами подсаживают нас на дырявый браузер. Так что проблема коренится не в пользователях. Проблема в мозгах разработчиков (точнее, в их полном отсутствии) и в концепции всей системы. Проблема в принципиальной уязвимости протокола передачи денег и незащищенности Keepеr'а. Сколько лет уже существуют алгоритмы генерации "одноразовых" ключей, при котором воровать просто нечего и нечем? Но почему о них не знают разработчики платежной системы?

Защищенность Keeper Light

Если небезопасность классического Keeper'а - общеизвестный факт, то Light считается достаточно защищенным. "В Keeper Classic файл с ключами можно по частям перетаскать, почту можно взломать и т.д. Ключи, хранящиеся на сменном носителе, троян может переписать на винчестер в момент, когда дискета или CD вставлены. То есть теоретически возможно добраться до денег, хотя при соблюдении всех мер предосторожности - крайне сложно. Но Light с неэкспортируемым сертификатом дает 100% гарантию безопасности", - взято с http://owebmoney.ru/cafe/index.php?showtopic=108.