В общем, с вами все ясно. Живем по принципу, "пока гром не грянет, будем посмеиваться над теми, над кем уже грянул". Ну-ну! Есть потенциальная вероятность, что и блокировка по IP может не помочь. Если мой земляк не допустил оплошность и у него была блокировка по единственному выделенному IP, а не по диапазону, как по умолчанию предлагает WebMoney, то дела совсем плохи.
Для себя я выводы сделал и, насколько смог, остальных предупредил. С радостью бы отказался от использования системой, если бы она не была столь популярной и безальтернативной. А вы продолжайте жить в мире иллюзий, пока гром не грянет и над вами. А потом посмотрим, какой конструктивный диалог вы поведете.
А вы поизучайте вопрос как следует. На эту тему есть даже статьи, хоть и многолетней давности, но до сих пор актуальные. На худой конец, в файловом менеджере по F3 просмотрите, как выглядит содержимое файла, обработанного протектором и не обработанного.
Правда? А теперь поизучайте, на что приходится идти пользователям, чтобы хоть как то защититься в текущей ситуации. Вплоть до привязки к единственному IP при динамическом адресе. Натуральное удаление гланд через ж..у, т.к. приходится пользоваться поделкой, написанное студентом-первокурсником с руками растущими из ж..ы и достающими только до нее. При этом, не факт, что это поможет.
Любой дебил знает, что любая активация должна контролироваться сервером, но в WebMoney сидят исключительно олигофрены. Им до дебилов еще расти и расти.
Бесполезно людям объяснять. Они даже в серьез полагают, что с FF они в безопасности. Там же исходные коды доступны и даже реинженеринг проводить не надо. У Гугла в Хроме обнаруживали дыры. Гугл достаточно оперативно их закрывает, но сколько дыр обнаружено теми, кто о них помалкивает? Люди живут в мире иллюзий, не понимая, что текущая ситуация экстраординарна. Я более 10 лет благополучно пользовался WebMoney и никаких проблем с кражами не испытывал и когда такая хрень случилась, понять не мог, как такое могло случиться. Поэтому и читал кучу постов от собратьев по несчастью, чтобы понять. Результат анализа очень неприятный. До тех пор, пока WebMoney не сделают реально безопасное приложение и систему, никто не может чувствовать себя в безопасности. Хакеры не станут упускать такой шанс. Методы внедрения трояна будут совершенствоваться.
А вы почитайте топики в этом форуме, почитайте ветки в форуме Классика на WebMoney, поищите объявления о продаже этого трояна, а потом хорошенько подумайте. Может и прийдет немного осознания.
Эта особенность Windows известна даже двоечнику. Реализована она для наилучшей совместимости приложений. При написании секюрного приложения это должно учитываться, так же как секюрное приложение должно контролировать свою целостность, чего Кипер никогда не делал.
Вообще-то любая смена IP должна приводить к активации. Во всяком случае, когда я подключался через другого провайдера по диалапу или gprs приходил код активации, не смотря на то, что кипер на компьютере уже был активирован с другого IP. И проверяться такие вещи должны на серверной стороне, желательно при каждой операции. Кипер должен собрать хеш реального оборудования, текущий IP, а сервер должен проверить, имеет активировано ли данное оборудование и возможно ли выполнение на нем операций. Этого не происходит.
Я сначала думаю, а потом пишу, в отличие от некоторых, которые до сих пор не могут осознать масштаб и серьезность возникшей угрозы.
Ну, если только считать, что в дырке от бублика дырок быть не может.
Ага, с таким подходом приходим к отдельному компьютеру только для WebMoney с полностю кастрированными правами системы и без использования браузеров.
Slavomir добавил 22.02.2010 в 23:30
Ну, расскажите, каким образом можно будет оплатить через мерчант при полностью отключенным активным содержимым страниц.
Для людей с избытком мозга (или того, что вместо него) поясняю, что ничего не запускается, а просто в папку программы WebMoney Keeper Classic копируется dll-файл на 30 килобайт (даже на модеме загрузка займет 6-10 секунд). Эксплоиты и посложнее штуки делают. Бездарно написанный Кипер в запущенном состоянии начинает использовать его вместо оригинального системного. Снимается что-то типа дампа запущенного Кипера и отправляется хакеру под прикрытием все того же Кипера, что делает фаервол бесполезным. Используя этот дамп хакер на своей машине имитирует кипер запущенный на вашей машине, избегая всех мер защиты. Сервером даже не проверяется, было ли активировано оборудование с IP, с которого идут запросы. Все отдано на откуп клиента, который, как выяснилось, элементарно обводится вокруг пальца.
Про армию верно, но далеко не балбесов. Если вы еще не нарвались, это еще не значит, что вас это обойдет. Система - одна большая дыра и все меры безопасности в ней оказываются фуфлом. Единственный реальный способ защиты - не пользоваться Интернетом, а проще - не пользоваться программой.
Пока приходится констатировать, что спасение утопающих - дело рук самих утопающих. Если использование отдельной машины для WebMoney полностью без использования браузеров (использовать только прямой перевод и оплаты счетов) невозможно, то остается действовать так:
1. Не держать Кипер постоянно запущенным. Запускать для выполнения нужной операции и после сразу же закрывать.
2. Перед запуском Кипера просмотреть папку программы на наличие файла inetmib1.dll. Учтите, что файл скрытый и увидите вы его только при соответствующих настройках в Эксплорере или файловом менеджере. Возможно, лучше сразу привыкать полностью сканировать системный диск в поисках этого файла. Не исключено, что через некоторое время будет изобретен более изощренный метод подсовывания липовой библиотеки. В качестве дополнительной страховки принудительно обновляйте антивирус и сканируйте системный диск.
3. При запущенном Кипере постоянно мониторьте появление вышеозначенного файла в папке программы, особенно, если осуществляете оплату через сайт (мерчант или выписка чека).
4. Может быть поможет регулярная смена файла ключей и пароля при гарантированном отсутствии липового inetmib1.dll.
Slavomir добавил 22.02.2010 в 21:30
Для особо "продвинутых" поясняю. Как минимум, троян устанавливается при открытии html-страницы. Соответственно, подцепить его вы можете посетив любой сайт, в т.ч. и сайт сервиса, который привыкли оплачивать через мерчант. Просто сайт окажется взломанным и в страницы будет внедрен нужный код. Это может быть необнаруженным очень длительное время.
Нафиг! Предпочитаю зарабатывать честно.
Файл для проверки открывал IE6. Проскочила бы тварь через FF - не знаю, но те или иные дыры есть везде.
