Электронные деньги: делай раз, делай два...

Никита Сенченко

Спецвыпуск Xakep, номер #034, стр. 034-072-2

Работает она так. При своем запуске, ПО системы - WM Keeper - устанавливает соединение с серверами сертификации (речь идет о Classic-версии программы). Все операции проходят в закодированном виде, с использованием алгоритма защиты, подобного RSA, с длиной ключа более 1024 бит. Для каждого сеанса (транзакции) используются уникальные ключи сеанса, поэтому в течение транзакции никто, кроме отправителя, не имеет возможности определить назначение платежа и его сумму. Для каждой сделки используются уникальные реквизиты, а попытки применить их повторно - отслеживаются и пресекаются.

Кроме того, используются алгоритмы кодирования RC5, MD4, MD5, SSL.

Как известно, на пользовательском уровне в WebMoney реализовано несколько степеней защиты: доступ по уникальному WMID и паролю плюс обязательное наличие т.н. файла ключей (*.kwm). В этом файле хранится приватный ключ для доступа в систему; ключ зашифрован с использованием WMID и пароля. Таким образом, для того чтобы иметь доступ к своим средствам в системе, необходимо знать не только пароль к WMID, но и обладать секретным файлом *.kwm. Кража одного лишь пароля ничего не даст.

Система эта весьма надежна, и я никогда не слышал об удачных попытках прямого взлома WebMoney - сервера или самой программы WM Keeper. Зато случаев распространения троянцев, стаскивающих файлы с ключами, довольно много. Лозунги здесь обычные: "Скачайте нашу программу-кряк и генерируйте WM сколько душе угодно". Причем, чаще всего, для правдоподобности, за этот кряк нужно заплатить небольшую сумму денег. Получается, авторы такого чуда троянской мысли остаются в выигрыше при любом исходе. Если лох заплатит за программу - хорошо. Если потом не сможет защититься - еще лучше.

Видимо, понимая плачевность ситуации, в WebMoney начали реализовывать всякого рода защиту от дурака. Пользователям была дана возможность сохранять файл с ключами на смарт-карте, а также искусственно увеличивать его размер вплоть до 10 Мб. Согласись, стащить десятимегабайтное файло - это уже проблема. Кроме того, в последней версии Keeper'а введена процедура активации: на мыльник высылается специальный код, необходимый для манипуляций средствами на кошельках.

Также, по просьбам трудящихся, вебманевские программеры реализовали еще один инструмент, который теперь лежит по адресу https://security.webmoney.ru. Данный сервис позволяет заблокировать доступ к своему WMID со всех IP-адресов, кроме тех, что входят в список разрешенных.

Яндекс.Деньги появилась на свет в начале 1998 года, почти одновременно с WebMoney, но до июля 2002 года существовала под маркой PayCash. Несмотря на то, что эта система всегда считалась технологически продвинутой и защищенной, а также куда более уверенно чувствовала себя в сфере права и юриспруденции, по числу пользователей PayCash на порядок отставала от WebMoney. Это отставание объяснялось более сложными процедурами регистрации и использования ПО системы, а также запутанной финансовой схемой, осилить понимание которой может далеко не каждый, даже видавший виды, юзер. Дела ее пошли на лад около года назад, когда за ее продвижение взялся Яндекс, а система была переименована в "Яндекс.Деньги". Тогда же она получила банковское свидетельство ЦБ России.