Некролог на Web-Money Keeper

Крис Касперски

Хакер, номер #094, стр. 094-062-2

Но это только цветочки. Если поставить Keeper на VMWare, то система Web-Money автоматически заблокирует электронный кошелек при первой же попытке оплаты, даже не уведомив тебя об этом! Если бы Keeper просто не работал под VM Ware, то и черт с ним. Может, они просто не совместимы… или VM Ware чего-то дурит (с ней это часто случается). Но он ведь работает только до первой транзакции, а это значит, что вместе с данными о самой транзакции Keeper скрытно передает некоторую персональную информацию: как минимум конфигурацию оборудования, и, возможно, что-то еще.

Не секрет, что многие используют Web-Many в основном для совершения анонимных платежей (расплата за взлом, перевод зарплаты, в обход налоговой и т. д.). Однако эта анонимность только кажущаяся, тем более что компания охотно предоставляет сыщикам всю информацию о своих клиентах, которую ей только удалось собрать, а собирает она многое...

Система Keeper Light работает только из-под браузера и построена на механизме сертификатов. Никакой дополнительной информации о пользователе она не собирает, и единственной ниточкой, за которую могут зацепиться сыщики, оказывается IP-адрес. Не слишком серьезная улика, к тому же всегда существует возможность спрятаться за анонимным Proxy или атаковать один из компьютеров и осуществлять все транзакции его «руками». К сожалению, по своим функциональным возможностям Keeper Light значительно отстает от Classic'а и к тому же пожирает намного больше трафика (что для медленных соединений весьма актуально). Но ставить Classic'а на свою основную машину я так и не рискнул. Почему — читайте ниже.

Хакерские инструменты

Итак, Keeper Classic лежит у нас в руках, точнее жужжит жестким диском, устанавливая какие-то компоненты, но какие именно не говорит! А еще кто-то вирусов нехорошими словами называет! Компьютерный вирус — это такая штука, которая скрыто делает на твоем компьютере действия, о которых ты даже не подразумеваешь, а если бы и подразумевал — навряд ли бы дал свое согласие.

Чтение технической документации и заумных лицензионных соглашений не дает никакой полезной информации, и трепанацией Keeper'а приходится заниматься самостоятельно. Как это можно осуществить? Самое простое – перехватить обмен Keeper'а с «базой», снифая трафик любым подходящим sniffer'ом, например, тем, что встроен в персональный брандмауэр SyGate Firewall, однако, если трафик зашифрован, его будет не так-то легко расшифровать!

Гораздо проще воспользоваться файловым монитором и монитором реестра Марка Руссиновича (оба можно найти на www.sysinternals.com), а также монитором шины Bus Hound от компании Perisoft (www.perisoft.com). Полезно также снять дамп с работающей программы любой утилитой по вкусу (например, PE-TOOLS) и поковыряться в нем на предмет интересных текстовых строк, MAC-адресов и прочих приватных данных. Самые опытные исследователи могут прибегнуть к тяжелой артиллерии — дизассемблеру IDA Pro, который покажет, чем на самом деле занимается Keeper при запуске и в процессе перевода денег. Естественно, полное дизассемблирование занимает слишком много времени, поэтому мы будем обращать внимание лишь на самые заметные, наименее замаскированные места, сразу же бросающиеся в глаза при анализе.

ВИДЕО К ЭТОМУ НОМЕРУ

Взлом Pickup.RU
Взлом Pickup.RU....

Угон ящика с Почты.ру
Давно прошли те времена, когда нужно было рвать волосы на ягодицах в поисках новой XSS-уязвимости. А все для чего? Конечно же, чтобы свиснуть очередной 6-значную аську, ретривнуть пасс аккаунта от банка, где лежит "пицот мильеонов&qu...

Протроянивание пользователя с неприкрытым Денвером
Собственно в этом сюжете рассказывается о том, как некий гражданин Л решил поиметь доступ к компьютеру одного лошка (далее "друг") - то ли они с другом чего-то не поделили, то ли у товарища Л хобби такое, друзей хакать доподлинн...

Видео от AIRSG
AIRSG - Security white-hats group Заключена договорённость с администрацией портальной системы SET-CMS о тестировании и написании security update. Информация о Видео: Демонстрация XSS в SET-CMS. Демонстрация эксплоита AIRS Group img...

Process Explorer on 64-bit XP/Server 2003 10.06
Компактная, но мощная программа с удобным интерфейсом для мониторинга в режиме реального времени происходящих в системе процессов. Вариант для использования в 64-битных системах....

Предыдущие номера