вторник, 14 сентября 2010 г.

Про WebMoney и .init

Все чаще и чаще на форумах мелькают темы с криками, о не надежности WebMoney и очередной дыре в безопасности.
Последнии крики про файлы WMID.init, которые находятся \Documents and Settings\Имя_вашего_пользователя\Application Data\WebMoney. Файлы как и положено секретным – системные и скрытые.

Ну и собственно мнение общественности, что злоумышленнику достаточно похитить этот файлик и все – все денежки ваши у него в кармане. Вне зависимости от типа авторизации (не спасает и E-Num)

Теперь по порядку, что это за файлы. Буду по-простому. Это всего лишь так называемые сессионные ключи, сессия – это конфигурация вашего компьютера.
Когда вы первый раз устанавливаете WebMoney Keeper на компьютер (или не в первый, а после полной переустановки Windows), кипер запрашивает файл ключей (.kwm) от идентификатора (WMID), получив его (а файл рекомендуется хранить не на жестком диске, а на сменном носителе) создает сессионный ключ с привязкой к текущей конфигурации компьютера.
Это позволяет не использовать файл ключей, каждый раз при запуске на уже известной платформе.

Теперь действия, которые необходимо выполнить злоумышленнику, чтобы получить доступ вашего кошелька.
  1. Получить файл wmid.init – допустим трояном
  2. Собрать данные о вашем компьютере и передать их на сервер злоумышленника (для того, чтобы можно было сделать слепок с вашей системы
  3. получить пароль от вашего WMID – т.е. опять трояном перехватить ввод с клавиатуры и переслать куда-то


Страшно? Да – компьютер не защищен от вирусов и троянов, особенно если лазить по всем сайтам подряд, без защиты.

Теперь про все другие системы электронных денег (не WebMoney, у которой по мнению авторов на форумах - одни дыры), которые имеют веб-интерфейс. Скажем Яндекс.Деньги. Для перевода на другой кошелек все-то нужно похитить два пароля – основной и финансовый.
Тем же трояном, для перехвата ввода с клавиатуры.
И все, и не нужны никакие файлы, ключи и прочее.

Таким же образом воруют деньги, даже с клиент-банков для юридических лиц.


Что тут скажешь? Не заходите на незнакомые сайты, установите антивирус, тем более не запускайте файлы, которые вам кто-то передает (вроде фотографии по ICQ -my_sexy_foto.jpg.exe).
А еще лучше выполняйте все, что хотите - но под виртуальной машиной. Сам использую этот метод, никаких проблем. Вирусы живут только в ней и то до первого выключение (автоматически возвращается состояние системы) .

Если уж суммы проходят через WebMoney очень солидные, то не грех купить отдельный нетбук, на котором будет только кипер, на нем и проводить финансовые операции.

4 комментария:

  1. 100% гарантии не даст даже отдельный компьютер (что такое компьютерный червь знаем?).
    Подхватить трояна очень легко. Ифрейм со связкой сплоитов может стоять на абсолютно любом сайте.
    Стоит ли говорить, что большинство антивирусов очень плохо палит неизвестные им файлы? Что такое крипт файлов тоже гуглим.
    Если говорить про банковские акки - они защищены на порядок лучше и вывести оттуда деньги намного сложнее, хотя конечно и не невозможно.
    А вебмани, учитывая их популярность и ходящие через них суммы, могли бы лучше озаботиться своей безопасностью. Регулярно пробегают трояны уводящие деньги с вебмани, использующие дыры в самой системе, а не оплошность пользователей.

    ОтветитьУдалить
  2. Не спорю что разработчики вебмани могли бы придумать что-нибудь еще за свои 0.8% с транзакции, но к сожалению, трояны используют дыры в Windows'а, как например замена системной библиотеки.
    А насчет сетевых червей - так можно закрыть все порты и отключить службы.

    ОтветитьУдалить
  3. А как автор относится к авторизации и подтверждении операций через отпечатки пальцев (Enum)?

    ОтветитьУдалить
  4. Файлики .init создаются и при таком типе авторизации, а значит сделав копию вашей машинки можно получить доступ к WMID'у без ключа и отпечатка.

    ОтветитьУдалить