Да уж. Е-нум это просто сплошной косяк.
Я его в прошлый раз так и не смог победить, в результате остался на обычной авторизации.
Вчера занялся переводом второго WMID на e-num (было 2 - хакнули и увели деньги с одного, 2-й остался цел, в тот же день я его снес с той машины, сменил пароль и ключи, в качестве срочных мер, ну а вчера занялся "плановой профилактикой").
Рассказываю как было дело:
1. Хочу сохранить ключи на е-num, вызываю соответствующий пункт после запуска кипера.
2. Нужен аккаунт на е-num, ок идем регаем, вводим все нужные данные.
3. На мыло должна придти ссылка с активацией. Письмо где-то застряло, но потом все-таки пришло, ок - кликаем переходим, активируем аккаунт.
4. Изначально хотел использовать авторизацию через смс (без использования программы, т.к. по прошлому опыту знаю что она глючная), но как включить ее в ЛК е-нума - не нашел. При попытке воспользоваться этой опцией из кипера - получают ответ, что этот вид авторизации запрещен пользователем. Что такое я так и не понял - похоже WM отключили этот вид авторизации полностью (видимо жаба все-таки задавила, за исходящие смс платить) и он остался только на бумаге и ФАКах.
5. Т.к. в предыдущем пункте ждал облом, то качаю программу. Выбрал PocketPC вариант (для смартфона). Ставлю на телефон - поставилась нормально. При первом запуске нужно ввести активационный код, присланный в виде смс на этот телефон - ввожу и программа вылетает с кучей ошибок. Пробую запустить еще раз - опять вылетает. Перезагружаю телефон, запускаю еще раз - вылетает.
6. Ну думаю криво сгенерировалась программа или может криво скачалась. Деинсталлирую программу с телефона, прохожу процедуру заново, получаю новый экземпляр. Ставлю на телефон, поставилось, ввожу активационный код - вылет.
7. Думаю, может с телефоном что-то не так? Ставлю на коммуникатор (КПК с gsm модулем), поставил. Программа просто не запускается - т.е. никаких ошибок нет, но при запуске ничего не происходит, молча завершается сразу.
8. Прочитал на сайте, что для работы нужен FrameWork 2-й версии. Проверил телефон и коммуникатор - на обоих как раз 2-я и стоит. Но на всякий случай переустановил ту версию, что предлагалась на сайте е-нума на смартфон, после чего поставил заново программу - тот же вылет с ошибками после ввода активационного кода.
9. Отказался вообще от этой версии программы. Решил попробовать java-вариант. Скачал, поставил. При запуске подвисает MIDLET-менеджер смартфона, а через какое-то время и весь смартфон если не успеть вовремя зависшую задачу снять. Блин, что за? За 2 года использования это вообще первый и единственный раз когда у меня смартфон завис 😡
10. Сменил MIDLET-менеджер на другой, скачал еще одно java-приложение e-num, поставил, ввожу код... и о чудо, на этой связке оно наконец-то работает!
Итого полдня убито, чтоб заставить работать этот глюк. И как-то неприятно доверять такой глючной вещи свои деньги. Хотя по идее при наличии резервного ключа лежащего в тайной заначке в случае чего можно к обычной авторизации вернуться, так что пожалуй пока буду им пользоваться за неимением лучшего...
Ну вот. И до лайта добрались. А то тут советовали дескать лайт = нет проблем.
А вообще сертификат из браузера выдрать еще легче чем классик ломануть. Просто большинство классик пользуются, вот и трояны под него в первую очередь пишутся и пострадавших с классик намного больше.
Это так же как с мифической супер-безопасностью линуха или МакОС (что дескать дыр там нет и вирусы не водятся). А самая дырявая вроде как Windows XP.
Может дыр и поменьше, но главное не в этом. А просто в том, что до сих пор Windows XP стоит на ~50-60% домашних/офисных машин - вот под нее все взломы и затачивают и пострадавших с ней больше всего.
А на Висту и 7-ку по 10-15% приходится - и пострадавших/взломов в разы меньше. (и пользователей в разы меньше, и хакеры им меньше внимания уделяют).
НУ а линух с его 1-2-3% (для домашних машин - сервера дело другое) да еще в виде зверинца из десятка разных пакетов этот тот самый "неуловимый Джо" (если кто забыл анекдот - то неуловимый он только потому, что нафиг никому не нужно его ловить)
Блокировка по диапазону (т.к. у провайдера внешний динамический).
Но определить с моего ip было подключение когда увели деньги или с чужого (но тоже входящего в доверенный диапазон) это не помешает. У провайдера ведутся логи, где можно посмотреть все ip которые мне присваивались и в течении какого времени они действовали.
Мешает другое - воришка кроме увода денег еще и пароль на вход сменил, так что войти и посмотреть лог подключений кипера нет возможности. Восстанавливать пароль поддержка WM отказалась - несмотря на то, что WM признали факт взлома, а у меня имеются резервные ключи + пароль к ним + я писал с е-майла, на который зарегистрирован WMID + правильно указал предыдущий пароль. Но выдать новый пароль(на вход) WM отказались. Теперь придется проходить полную процедуру восстановления контроля над WMID, а это не меньше месяца по времени... Но из интереса займусь.
А вот сам метод взлома интересен(дабы понять какие методы защиты могут быть эффективны) - копируется ли окружение кипера (признаки по которым он определяет, что на этой машине он уже активирован), или область памяти самого кипера (не файлы с диска, а кусок оперативной памяти с уже работающим залогиненным кипером). И потом запускается на машине злоумышленника(но вопрос как обходится блокировка по ip? или там еще одна дырища в безопасности и проверка по ip производится только в момент логина/авторизации, а при выполнении переводов ip сервером уже не проверяется? 😒). Или же все вообще происходит прямо на компьютере где установлен кипер, и вирус внедряется в работающий процесс и заставляет кипер выполнить нужные действия в обход интерфейса пользователя. В этом случае понятно почему не сработал фаейрвол - т.к. соединялся сам кипер, а для него есть разрешающее правило.
Если один из последних 2х вариантов - то от этого не помогут и e-num или e-token авторизации. 🙅
Кстати е-num та еще дырка, обойти ее не сложно, т.к. в ней почему-то нет привязки к телефону, а всего лишь к e-mail, который в большинстве случаев сломать как 2 байта переслать после чего качай новую прогу уже на свой телефон и ключик у тебя в кармане.
P.S.
Кто-то тут предлагал внедрить подтверждение операций при помощи sms. В принципе все необходимое для этого уже есть в e-num сервисе. Надо только доработать его "напильником": заблокировать смену номера мобильника (или для смены номера сначала нужно ввести код присланной в смс на старый номер), ну а дальше уже при подтверждении операций (НЕ логина/автризации в Кипер, а самого перевода!) вместо бесполезной капчи требовать код генерируемый е-num приложением в телефоне. Можно было бы еще проще в виде смс одноразовые коды отсылать, но вебманевцев жаба задушит платить за смс-ки (а если на пользователей эти затраты переложить будет гигантское бурление говн от недовольных).
MyTraf добавил 16.03.2010 в 02:57
Вот только от е-нума в текущем его воплощении толку мало. Он используется только для авторизации (входа в кипер). А воруют (или перехватывают управление) уже залогиненного кипера. Так что толку мало. Да и сам е-нум в общем сейчас вломать не сложно - взломав мыло к которому он привязан, а дальше можно новый экземпляр программы заказать.
А WM-овцы опять будут изображать, что у них с безопасностью все на высоте, а если что, то во всем виноват пользователь. :(
Я каких-то глобальных целей не ставлю. Цель поста - чтобы как можно большее количество людей узнало о проблеме - что в безопасности кипер классик найдена и уже активно используется критическая уязвимость, и занялось обеспечением безопасности "организационными мерами" (типа другой винды/ноута, и/или держать на кошельке самый необходимый минимум, при возможности вообще отказаться от использования WM), не надеясь на системы защиты WM (они теперь практически бесполезны).
А от WM что хотелось бы (хотя понимаю что этого не будет):
1. Признать наличие критической проблемы безопасности классика.
2. Закрыть ее в кратчайшие сроки (благо взять этот трой, разабрать код, понять принцип его работы и принять соотвествующие меры для специалистов не сложно). Вроде как новая версия недавна вышла - но о пододных исправлениях в ней ничего не упоминается. А значит либо уязвимость до сих пор не исправлена(это по прошествии уже нескольких месяцев с начала массовых краж) либо возможно все-таки исправлена, но самое ее наличие скрывается.
А то до сих пор на сайтах ВМ гордое упоминание что за всю историю WM не было ни одного взлома самого кипера/алгоритма (дескать все кражи это сами пользователи виноваты - не выполняют рекомендации по обеспечению безопасности). А на форумах предствители в хамоватой/ехидной форме отправляют читать ФАКи по безопасности (где перечислены все те же стандартные советы использовать антивирус, активацию кипера, блокировку по ip и т.д. от которых сейчас уже толку нет).
Блокировка по IP и активация кипера (что на телефон, что на мыло), а так же ключи спрятанные на отдельной флешке в сейфе больше значения не имеют.
Злоумышленники нашли капитальную дыру в самой архитектуре (в работе кипера классик или вообще протоколе взаимодействия с серверами).
По теме - в конце февраля так же ломанули кошелек и увели все деньги.
Защита в виде 2 фаерволов (аппаратного на роутере и софтогового Outpost FireWall Pro в режиме блокировать все, кроме явно разрешенного), проактивной защиты (Outpost FireWall Pro в режиме повышенной локальной безопасности), антивируса (лицензионный dr.web с постоянно обновляемыми базами) не помогли.
Примерно в тоже время увели кошелек у знакомого, только у него был Касперский (полный пакет фаервол+проактивка+антивирус).
Потом вирус нашли при помощи утилиты CureIT. Хотя по сути это тот же DrWeb для "одноразового" использования. Здачит злыдень смог заблокировать работу(или спрятаться) от штатно установленного антивируса (а CureIT запускается из произвольной папки + имена всех рабочих файлов у нее при каждом обновлении случайным образом изменяются - что-то типа полиморфа получается, что сильно затрудняет ее обнаружение)
Насчет не ставить "Левого софта" или не ходить на "порно сайты" - эти представления как основном источнике вирусов давно устарели. Сейчас эксплойты например внедряются через ифреймы с приличных сайтов - путем их взлома и незаметного (на первый взгляд, если в коде не копаться) внедрения гадости на них либо через рекламные модули (заходите вы на "хороший" сайт, но на нем грузится с другого сервера рекламный модуль с вредоносным кодом - как было в случае с ТС, так же похоже было у и меня).
Но самое главное не сработали все виды защиты самой Webmoney:
1. ключи находились ВНЕ компьютера, на отдельной флешке, флешка убрана на хранение и к компу не подключалась - т.е. теперь для перехвата контроля ключ не обязателен (а на кой ляд он вообще тогда сдался? только нормальным пользователям доп. геморррой создавать??)
2. была включена активация кипера - кода или запросов на активацию не приходило
3. была включена блокировка по IP - аналогично блокировка не снималась, но ее как то обошли
4. не говоря уже о всяких мелочах - типа капчи при переводах или запрета на перевод средств на неавторизованные WMID
Т.е. теперь вся безопасность webmoney сейчас держится на примитивных логин(WMID)+пароль и вашей способности не допустить их утечки. ВСЕ! Остальное обходится с использованием дыр самой WM, которые они не могут (или не хотят) исправлять!
MyTraf добавил 12.03.2010 в 03:12
Вообще насколько я помню у самой WM в правилах написано, что переводы в банки возможны только на имя того же человека, на имя которого зарегистрирован WMID.
На этом моменте люди с кошельками зарегистрированными на левые (не свои) данные уже много раз попадались - после блокировки кошелька или утери ключей не могли свои деньги получить - вебманевцы были неприклонны. (видать потому что деньги то им остаются с таких "утерянных" кошельков ☝ формально то они на кошельке даже остались в виде циферок, но если к нему никто доступ получить не может то ими можно спокойно распоряжаться как своими)
А как своровать и вывести на чужой счет - так пожалуйста в любой момент.
У меня тоже деньги на чей-то счет увели. На чей именно - в арбитраже называть отказываются, на все вопросы отправляют в милицию дело заводить, дескать данные только по запросу в рамках дела выдадут.
На вопрос как вообще вывели на имя и счет другого человека и как обошли степени защиты самой вм - в тупую молчанку играют (тикет без ответа уже 2-ю неделю висит).
MyTraf добавил 12.03.2010 в 05:55
Это как раз вполне просто объясняется - вирус действует совместно с руткитом (root-kit), который маскирует его присутствие в системе перехватывая некоторые функции windows. Вещь достаточно обычная для "хорошего" вируса. Но этот рут-кит сначала должен был как-то на компьютер установиться, а для этого обойти защиту винды и браузера (найти незапатченную "дыру"), а после этого проактивную защиту и проверку резидентным антивирусом, после этого внедрится в систему и скачать основной вирус, который и будет собственно выполнять "грязную работ" (для чего еще попутно обойти фаервол).
Вот это уже "высший пилотаж" вирусописания...
MyTraf добавил 12.03.2010 в 06:24
Сейчас он нормально определяется dr.web и cureIT. По-идее и касперским должен, т.к. я им этот файл на анализ почти 2 недели назад отсылал (хотя ответа о добавлении новой записи в базу так до сих пор и не получил, только стандартный авто-ответ что файл принят в обработку...).
НО проверять нужно загрузившись из другой системы (например с LiveCD), дабы вирус не мог помешать процессу сканирования.
До конца бы уже цепочку дописали, еще больше впечатлит:
абонент-ОСС-А1-смсдоступ-смс24-КОРОВКА-вебмастер
И каждое звено(кроме 1-го) стремится свой кусок урвать. 🤪
Ага и согласно логике касперского, надо забанить не только виновный сайт(на котором была какая-то гадость), но и систему через которую был переход (даже если это единичные случаи, т.к. как правильно заметили абсолютно за всем уследить невозможно), причем пожизненно. (например у гугла есть фишка - он промежуточный сайт тоже может в черный список занести, но только если переадресация подтверждается повторно, а потом если в течении 90 дней сайт в редиректах на зараженные ресурсы замечен не был, то он из черного списка автоматом удаляется. В результате те кто на вирусню льет целенаправленно из черного списка не вылезает, а кто попал тута случайно через некоторое время "реабилитируется")
И со спамом ссылками аналогично - увидили ссылку и сразу забанили.
А если я сейчас возму и разошлю спам со ссылками на этот форум (ну из вредности - западлянку хочу сделать, допустим зуб у меня на владельца) и касперский радостно занесет его в базу?
По-идее да. Но на практике скорее всего нет - присцат на такой крупный ресурс руку поднимать(или сначала добават, а потом уберут после жалобы). А любой другой ресурс поменьше легко и недорого можно в черный список каспера засадить.
MyTraf добавил 20.02.2010 в 01:32
Крыша у каспера поехала где-то в конце ноября-начале декабря прошлого года. До этого вел себя более-менее адекватно.(хотя фишинг фильтр у него уже не один год есть, просто раньше в него только явная гадость попадала). А после этого резко начались массовые баны по поводу и без повода.
Т.е. это не плавно к этому пришли. Это было какое-то решение на уровне руководства и целенаправленное изменение политики.
MyTraf добавил 20.02.2010 в 01:56
Так а вы разве не знаете как их "антивирусный сканер" сейчас работает? 😎
Я это изучил, когда одно время кашперский банил один мой скрипт - у них в базу просто заносится короткая текстовая строчка 5-10 байт длиной встречающаяся в файле (как она выбирается - хз, по-моему как левая пятка захочет) и любой файл в котором попадается такая же последовательность байтов называется вирусом (даже если это совсем другой файл). Соотвественно я просто менял эту строчку немного (имя одной переменной в частности) и кашперский переставал видеть в скрипте вирус. (это было намного проще чем объяснить им, что это не вирус вообще) Или наоброт вставлял эту строчку в другой файл (просто в кусок текста например) - и он визжал что это вирус.
Соотвественно если вирус полиморфный и криптованный т.е. его тело постоянно меняется, если смотреть "в тупую" и не проводить анализ то в нем вроде как нет постоянных неизменных последовательностей(на самом деле они есть, но скрыты) то и "супер-сканер" кашперских его и не может обнаружить. :p
Я думаю то резкое "ускорение" про которое тут упоминали (что начиная с какой-то версии касперский стал намного быстрее работать, вырвавшись с позиции "супер-тормоз" до позиции "скорость так себе") и было связано с упрощением и примитивизацией сканера.
С этим же связаны и многочисленные ложные срабатывания касперского. Просто добавляют очередную слишком короткую "срочку" в базу, а потом оказывается что по случайному стечению обстоятельств такая же последовательность байтов встречается в каком-либо другом файле и касперский на него тоже начинает ругаться как на вирус. Если это какой-то нужный и важный файл и идет много жалоб, то в сред. обновление баз его добавляют в исключения. Если же вала жалоб не наблюдается, то все остается как есть.
Это не случайности. А безмозглая работа + попытки заниматься цензурой в интернете, вместо того чем им положено заниматься (отлавливать реальные вирусы и оптимизировать свой тормозной софт). Просто крупные резонансные случаи (типа гугла и li.ru) они быстро исправляют, дабы не схлопотать, а на мелкие забивают.
Так в этом случае - на звоники и письма отвечали отписками или вообще попросту забивали. Разве что в суд подавать на касперских оставалось. Но проще оказалось забить на небольшой % посетителей пользующихся касперским (тем более и сам проект не основной был), чем устаивать разборки в суде (изходя из соотношения потерь и затрат времени и денег, которые придется потатить, чтобы доказать, что ты не верблюд - у кашперских юристы неплохие имеются).
Например партнерки работающие с клик-андер/поп-андер трафом банились (1under.ru к примеру) и биржи трафа не однократно. Никаких смс там в принципе нет. А решать в стиле а "клик-андер это отстой, надо их забанить", никто такого права касперским не давал!. Максимум можно в рекламный фильтр занести(тот что баннеры режет), но не обманывать пользователя называя это фишингом, а скрипты на которых оно работает - вирусами. (а именно так касперский и делал)
Некоторые фильмовые ПП банились (например dircash.ru, старые домены dirkino.su, dirkino.ru), не смотря на честное указание стоимости смс и что пользователь за них получит (сколько фильмов и на какой срок доступ). Зайдите сами посмотрите как стоимость указана (выбрать скачать какой-либо фильм): dirmovie.com (и так сделали НЕ в свяви с последними собитиями, так было изначально еще до бана каспером и изменения правил у биллингов)
Причем банились как платники (сайты куда попадает пользователь), так и сам домен партнерки зачем-то, хотя на него кроме вебмастеров никто и не заходит и никакой оплаты там ни от кого не требуют.
Наверно это они решили с "пиратами" побороться.
Правильно выше сказали. Комплекс бога в одном месте заиграл: слишком разрослась компания ожирела и обнаглела, до токой степени что стала считать себя истиной в последней инстанции. Как хочу так и делаю.
Ну не одним проном жив рунет. 🤪
Есть же и неадалтный трафик, который на прон лить просто нельзя.
Так что "конверт как у обычного прона" на теме без адалта, это тоже неплохо.
Хотя на кликандерном и подобном трафе врядли вообще будет конвертиться, но я попробую ради интереса...
MyTraf добавил 17.02.2010 в 03:24
Нет. Там хотя бы антивирус был. Он конечно бесплатный (т.е. при желании его можно было бы найти и скачать самостоятельно беслатно), но все-таки пользователь что-то получал: боялся вирусов, получит настоящий антивирус за свои смс-ки.
К тому же немногие "обычные" юзеры вообще знают что существуют бесплатные антивирусы, причем практически не уступающие платным аналогам. А полезные знания тоже денег стоят. ☝
Ну агрегаторы/биллинги по-моему самое скромное звено в цепочке. :)
В порядке убывания распределения исходных сумм (списанных со счета конкретного абонента) звенья цепочки располагаются обычно так:
1. ОПСОС
2. Вебмастер организовавший какую-то услугу
3. Государство (в виде 18% НДС с каждой смс-ки + другие налоги)
4. Агрегатор/биллинг
Это в лучшем случае. В худшем так:
2. Государство
3. Вебмастер
