Взлом и защита WebMoney
Автор: ©Крис Касперски ака мыщъх
Вопреки
всем заверениям разработчиков, система WebMoney катастрофически ненадежна и
вскрывается буквально ногтем. Существует множество червей, троянов и хакерских
групп, специализирующихся на похищении электронных кошельков, кражи которых
приняли массовый характер. Хотите узнать, как это делается и как обезопасить
себя?
Введение
Начнем с того,
чего не может быть. Никаких "генераторов WebMoney" не существует и не может
существовать в принципе. Вся наличность храниться на центральном сервере
оператора, а электронные кошельки представляют лишь средство доступа к ней.
Грубо говоря, от того, что вы сгенерируете комбинацию цифр для кодового замка,
деньги и драгоценности в сейфе еще не появятся. И хотя существует возможность
подобрать шифр к чужому сейфу, вероятность открыть его без помощи владельца
(гусары! про паяльник мы помним, но молчим) настолько мала, что об этом даже не
стоит и говорить!
А вот украсть
чужую комбинацию вполне реально! Именно этим "генераторы WebMoney" и занимаются. Они либо
делают дубликат с электронного кошелька и передают их злоумышленнику, либо
скрыто вызывают Keeper'а
и осуществляют перевод на свой счет. Аналогичным образом действуют вирусы и
троянские программы. Также отмечены и целенаправленные атаки на конкретную
жертву. Можно ли от них защититься? Система WebMoney, разработанная неспециалистами, изначально
проектировалась без оглядки на безопасность и, хотя в последнее время появился
целый комплекс "противопожарных" мер, приляпанных задним числом,
положение остается критическим. Пользователи путаются в системах защиты, служба
поддержки дает довольно туманные и расплывчатые рекомендации (обновить Windows, настроить брандмауэр
и т.д.), а тем временем кражи электронных кошельков продолжаются.
Мы не ставим
перед собой задачу научить кого бы то ни было воровать, мы просто хотим
показать и доказать(!), что система WebMoney действительно очень ненадежна и проектировалась даже не
задницей (к ней все-таки примыкает спинной мозг), а вообще неизвестно чем.
Здесь не будет расплывчатых слов (чтобы нас не обвинили в клевете), но не будет
и конкретных рекомендаций. Мы не дает готовых атакующих программ и не говорим,
какие именно байтики нужно хакнуть, но поверьте - весь необходимый хакерский инструментарий
может быть создан с нуля за одну ночь - святое для хакеров время!
Но обо всем по
порядку. Не будем спешить вперед и совать лазерный диск в дисковод, тем более
что последний нам еще понадобится.
Продолжение
http://www.insidepro.com/kk/172/172r.shtml