Кража электронных денег

Крис Касперски ака мыщъх

Спецвыпуск: Хакер, номер #061, стр. 061-064-7

Звучит заманчиво, но как обстоят дела на практике? Попробуем разобраться. Начнем с вопроса о том, как все-таки работает Keeper Light. Очень просто. Секретный ключ теперь хранится не в KWM-файле, а в специальном сертификате, а все управление идет через web-интерфейс по специальным криптографическим протоколам.

Где браузер хранит сертификаты? Это зависит от браузера. Например, Mozilla – в каталоге "./mozilla/defaul/<blahblahblah>/cert8.db", а IE, запущенный под управлением Windows XP Professional, использует довольно навороченную систему. Сертификаты с открытыми ключами хранятся в персональном (personal) хранилище, расположенном в каталоге Documents-n-Settings\<username>\Application-Data\Microsoft\SystemCertificates\My\Certificates. Эта информация открыта и доступна всем желающим. Сертификаты пользователя расположены в его профиле. Закрытые ключи хранятся в каталоге Documents-n- Settings\<username>\Application Data\Microsoft\Crypto\RSA. Все файлы, расположенные здесь, автоматически шифруются случайным симметричным ключом - основным ключом пользователя (user's master key) длиной в 64 символа. Основной ключ генерируется по алгоритму Triple DES на основе пользовательского пароля, с которым он входит в систему.

Что значит вся эта теоретическая бодяга в практическом плане? Стащить сертификат с закрытым ключом из-под Windows XP не удастся! То есть удастся, но толку от этого будет ноль, поскольку на чужом компьютере он просто не заработает (на то он и закрытый сертификат). Правда, его можно экспортировать даже не обладая никакими особенными привилегиями. Распотроши программу Менеджера Сертификатов, если не знаешь как. Собственно говоря, для переноса сертификатов с компьютера на компьютер Keeper Light использует экспортируемый сертификат, который хранится в файлах с расширением .pfx, которые можно встретить как на внешних носителях, так и на жестких дисках.

Здесь есть одно "но". Экспортируемый сертификат закрыт паролем, который был назначен пользователем, и чтобы импортировать его в свою систему, необходимо либо закинуть клавиатурный шпион, либо попробовать вскрыть пароль методом перебора. Первое слишком заметно, второе - долго, поэтому кража сертификатов не получила большого распространения.

Означает ли это, что Keeper Light защищен? Нет и еще раз нет. Если Keeper Classic можно защитить хотя бы теоретически (установить драйвер, обеспечивающий прямой клавиатурный ввод, отсекающий эмуляторы и следящий за целостностью Keeper'а и самого себя), то Keeper Light работает через браузер, "целостность" которого невозможно контролировать в принципе!

Первое, что приходит на ум, - это упомянутая эмуляция. Говоришь "start https://light.webmoney.ru", тем или иным способом прячешь окно браузера (достаточно получить его дескриптор - и уже рисуешь поверх него что попало) и эмулируешь последовательность нажатия клавиш для пополнения электронного кошелька. Действует железно и неотвратимо. Единственный минус кроется в том, что каждый тип браузера (и, возможно, версия) требует особого подхода, но можно остановиться только на IE 5/6, как на самом популярном.