Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 09.03.2011, 13:59   #1561
F-L
Кандидат наук
 
Регистрация: 25.04.2007
Сообщений: 328
Репутация: 26710

По умолчанию Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Цитата:
Сообщение от LEOnidUKG Посмотреть сообщение
Под Wine запускается т.е. под виртуальной машинкой.
Wine - это вроде не вирт-машина а эмулятор? Или как?
Стоит у меня эта убунта. Ради интереса зашел сейчас - кликал, кликал под Wine по муравью - тишина...

Цитата:
Сообщение от redroot Посмотреть сообщение
light.webmoney.ru в связке с GNU/Linux использую с 2002 года - все работает стабильно...
Где сказано про лайт? Я про кипер кажется спрашивал, а не про сайт вебманей... Кипер-классик и лайт-вмид это совершенно разные примочки

Последний раз редактировалось F-L; 09.03.2011 в 14:04.. Причина: Добавлено сообщение
F-L вне форума   Ответить с цитированием

Реклама
Старый 09.03.2011, 15:59   #1562
ext3
cat > /usr/bin/catman
 
Регистрация: 20.12.2010
Сообщений: 385
Репутация: -14366
Отправить сообщение для ext3 с помощью ICQ

По умолчанию Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Цитата:
Сообщение от F-L Посмотреть сообщение
Стоит у меня эта убунта. Ради интереса зашел сейчас - кликал, кликал под Wine по муравью - тишина...
Wine не поможет, нужно запускать полноценную вирт ось. Либо довольствоваться кипер мини.
ext3 вне форума   Ответить с цитированием
Старый 09.03.2011, 16:50   #1563
JackssGover
Особый статус
 
Регистрация: 05.05.2010
Сообщений: 12
Репутация: -6

По умолчанию Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-то?

Ставьте на ubuntu бесплатный vbox - там есть скриншот(snapshot) системы. И откатывайте каждый раз кипер, если что заметили.
А для брождения по интернету имейте другую виртуальную машину, без кипера и личных семейных фото, которыми потом заполняют тематичные сайты.
JackssGover вне форума   Ответить с цитированием
Старый 12.03.2011, 07:59   #1564
woff
Студент
 
Регистрация: 19.09.2008
Сообщений: 43
Репутация: 17810

По умолчанию Re: Ответ: Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-т

Цитата:
Сообщение от -= Serafim =- Посмотреть сообщение
Никто не будет генерить код на основе данных, которые можно получить третьему лицу.
Так нам эти данные и не нужны) Коллизии в алгоритме генерации кода еще никто не отменял) Даже приватного ключа и кода активации знать не требуется.
Например, засылаем жертве трояна, который мониторит переводы с кипера. Под каким-либо предлогом заставляем жертву совершить перевод в размере 200 руб. 00 коп. на кошель R301329629286 и в нужный момент трой подменяет сумму на 10001 руб. 00 коп.
Код подтверждения при этом не меняется, можете проверить (всей семьей ночью сидели перебирали, пальцы в кровь, кнопки на телефоне облезли )
это всё чисто теоретически

woff добавил 12.03.2011 в 09:17
Цитата:
Сообщение от _vb_ Посмотреть сообщение
Для этого должен быть известен алгоритм формирования кода подтверждения для данного конкретного кошелька. А он для каждого кошелька свой - enum генерит условно уникальное jar приложение для каждого кошелька. Т.е. если вы возьмете jar приложение для чужого кошелька и попробуйте сгенерить с его помощью код подтверждения для своего кошелька, то этот код будет не валиден для enum.

Соответствующие эксперименты проводились в этом или соседних аналогичных топиках.
Да, верно, приложение уникально для каждого конкретного enum-аккаунта. Но алгоритм генерации кода всё же одинаков, различия лишь в приватном ключе и коде активации, которые действительно различаются для разных аккаунтов. И в процессе генерации возникают коллизии, когда для пары кошель-сумма существует другая пара кошель-сумма, дающая такой же код подтверждения.

Другое дело, что нельзя зарегать кошель с произвольным номером и тогда придется к существующему номеру кошеля подбирать сумму, а это может и не увенчаться успехом.

И есть причины полагать, что enum беспокоится из-за подобных особенностей алгоритма. Так, например, в java-мидлете версии 3 по сравнению с версией 2 был увеличен размер приватного ключа в 2 раза и, судя по всему, введена задержка при генерации кода подтверждения (чтобы затруднить перебор?)

Последний раз редактировалось woff; 12.03.2011 в 08:21.. Причина: Добавлено сообщение
woff вне форума   Ответить с цитированием
Старый 12.03.2011, 08:28   #1565
_vb_
Ненастоящий сварщик
 
Аватар для _vb_
 
Регистрация: 25.07.2009
Адрес: Деревня, глушь, Саратов
Сообщений: 1,005
Репутация: 109718

По умолчанию Re: Ответ: Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-т

Цитата:
Сообщение от woff Посмотреть сообщение
перевод в размере 200 руб. 00 коп. на кошель R301329629286 и в нужный момент трой подменяет сумму на 10001 руб. 00 коп.
Код подтверждения при этом не меняется, можете проверить
...
возникают коллизии, когда для пары кошель-сумма существует другая пара кошель-сумма, дающая такой же код подтверждения.

Другое дело, что нельзя зарегать кошель с произвольным номером и тогда придется к существующему номеру кошеля подбирать сумму, а это может и не увенчаться успехом.
Ну промышленная эксплуатация такой фичи enum мне все таки представляется не очень продуктивной. Слишком большой должен быть размер ботнета зараженных компов клиентов wm, чтобы оправдать все эти танцы с бубнами. Да и все равно ничего более надежного, чем enum, на данный момент не имеется.

Но за инфу спасибо, очень интересно.
__________________
Саратовская фракция серча. Давайте посчитаемся.
_vb_ вне форума   Ответить с цитированием
Старый 12.03.2011, 09:08   #1566
fhuuz
Академик
 
Аватар для fhuuz
 
Регистрация: 08.03.2009
Сообщений: 2,749
Репутация: 233678

По умолчанию Re: Ответ: Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-т

Цитата:
Сообщение от woff Посмотреть сообщение
Так нам эти данные и не нужны) Коллизии в алгоритме генерации кода еще никто не отменял) Даже приватного ключа и кода активации знать не требуется.
Например, засылаем жертве трояна, который мониторит переводы с кипера. Под каким-либо предлогом заставляем жертву совершить перевод в размере 200 руб. 00 коп. на кошель R301329629286 и в нужный момент трой подменяет сумму на 10001 руб. 00 коп.
Не совсем понятна ваша мысль. Если трой подменяет сумму, код подтверждения еще ведь не выслан -как он может меняться/не меняться?

Или вы имеете ввиду, что будет послан следом второй перевод на тот же кошелек с большей суммой, который хакер подтвердит тем же кодом?
__________________
ZennoPoster - реальная экономия на кодерах
Пишу программы на ZennoPoster.
fhuuz вне форума   Ответить с цитированием
Старый 12.03.2011, 11:44   #1567
woff
Студент
 
Регистрация: 19.09.2008
Сообщений: 43
Репутация: 17810

По умолчанию Re: Ответ: Re: У кого украли Webmoney и доступ к ним - давайте разберемся наконец-т

Цитата:
Сообщение от fhuuz Посмотреть сообщение
Не совсем понятна ваша мысль. Если трой подменяет сумму, код подтверждения еще ведь не выслан -как он может меняться/не меняться?

Или вы имеете ввиду, что будет послан следом второй перевод на тот же кошелек с большей суммой, который хакер подтвердит тем же кодом?
Смотрите, порядок действий, каким я себе его представляю.
Пользователь формирует запрос на перевод средств, указывая номер кошелька и сумму. Выбирает подтверждение через enum. Кипер от сервера enum получает число-вопрос. Пользователь через приложение генерирует код подтверждения, вводит его и нажимает "Далее". В этот момент трой подменяет сумму перевода и на сервер enum на проверку уходит уже другая сумма, но код подтверждения остается прежним и при этом корректным (возникла коллизия), поэтому enum говорит, что всё ok.

К сожалению, я не знаю тонкостей реализации протокола обмена между кипером и enum. Если где-то в кипере или на самом сервере enum контролируется целостность данных, в частности, сумма перевода в рамках сессии, то реализация подобной операции выглядит сомнительной. Поэтому мои слова чистой воды теория)

пс. Хотя, если посмотреть API, который предоставляет enum http://service.enum.ru/ (для корпоративных клиентов?), видно, что при использовании запроса GetChallenge (получить то самое число-вопрос) данные о сумме перевода на сервер enum'a не отсылаются. И проверка выполняется только запросом CheckUserAnswerTransaction
woff вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны