Вот залил пару интересных фактов: ifolder.ru/751801

Кто-нибудь реально исследовал вэбмани?

Просьба не флэймить, отвечать по делу...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Кто-нибудь реально исследовал вэбмани?
По этому поводу вспоминается одна старая как мир статья из х... знает какого по древности выпуска журнала "Хакер", называлась, вроде, "Взлом Вэбмани или как коммуниздят чужие деньги из И-нета", не встречал? Советую поискать, но это больше хакинг, а не крэк

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

bloom пишет:
ты видимо оттуда и пишешь
ЗЫ я Пастернака не читал, но "фактически дегенрат" Крис писал что вроде ВМ детектитя кипером.

Прежде чем писать, что я ничего не читал, ты бы сначала проверил кипер на Parallels, а потом бы и говорил.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Кстати, читал бред на owebmoney.ru/cafe/showtopic=1695&st=0?entry11729
Неужели они там думают, что кипер так уж защищен от кражи денег с помощью трояна?
Мне блин даже смешно становиться от такой антитроян защиты

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

ARCHANGEL
Там пишется троян, который, посылая сообщения, эмулирует работу юзера и отправляет деньги на один кошелек. Полстатьи посвящено обходу защиты картинкой.

ЗЫ. Хотел ссылку дать - но на сайт хакера что-то не могу пробиться

| Сообщение посчитали полезным:

Смешно читать этот топик на форуме такой тематики.

Под официальным сайтом я подразумевал именно этот ссылку на который дал, это конечно не официальный сайт, их представители. Но в теме отписывались вполне адекватные люди, в том числе и те, которые работают в центральной конторе.

KingSise пишет:
например мне не ясно зачем киперу список процессов в системе...

Например, может использован как псевдослучайный фактор при генерации твоих ключей.
Вся информация о железе это есть привязка. Использование драйвера для низкоуровневого чтения с диска(кстати это так и не доказано ничем) может быть использован для полчения уникальной инфы о винте, для всё той же привязки. Кто может это опровергнуть? Давайте доказательства в студию, пустой трёп в этой теме, особенно со стороны ветеранов крэкинга, вызывает неоднозначные эмоции.
В целом, всё это позволяет в достаточной степени защитить кипер(ну, конечно же, не от нашего Ms-Rem'a, о чём речь, профи, хуле).

Ну а вообще, на самом деле, WebMoney это кидалы и когда оборот средств достигнет пары миллиардов баксов они возьмут все Ваши деньги и улетят с ними на Марс, ага.

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
Например, может использован как псевдослучайный фактор при генерации твоих ключей.
Вся информация о железе это есть привязка. Использование драйвера для низкоуровневого чтения с диска(кстати это так и не доказано ничем) может быть использован для полчения уникальной инфы о винте, для всё той же привязки.

Для генерации ключей нужен список процессов? Бред. Генератор случайных чисел уже много лет был реализован и без использования драйверов в 0- кольце...

W[4Fh]LF пишет:
В целом, всё это позволяет в достаточной степени защитить кипер - простите, а вы кто? Вы работете в этой конторе?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
Вся информация о железе это есть привязка. Использование драйвера для низкоуровневого чтения с диска(кстати это так и не доказано ничем) может быть использован для полчения уникальной инфы о винте, для всё той же привязки. Кто может это опровергнуть
Дык вопрос не в этом. Ты хотел бы чтобы каждая программа запускала свой драйвер только для аутентификации? Не надо забывать, что каждый новый драйвер - это потенциальная дыра.

W[4Fh]LF пишет:
Использование драйвера для низкоуровневого чтения с диска(кстати это так и не доказано ничем)
Где ж не доказано? (Только не через свой драйвер)

Еще один фрагмент Кеерег'а, вызывающий функцию DeviceloControl
. text:100B7F63 push 0 ; lpOverlapped
, lext:100B7F65 move ecx. [ebp+lpBytesReturned]
.text;100B7FB8 push ecx ; forumytesReturned
.text;100B7F69 push 21 Qh ; nOutBufferSize
.text:100B7F6E movedx, [ebp+lpOutBufferj
. text:100B7F71 push edx ; IpOufBirffer
.text: 1OOB7F72 push 20h ; nlnBufferSlze
text:100B7F74 mov eax, [ebp+lplnBufier]
.text:1OOB7F77 push eax ; IplhBuffer
.text: 1OOB7F78 push 7C08Sh
.text:100B7F7D mov ecx, [ebp+hDevlce|
.text;100B7F80 push ecx ; hDevice
. text;100B7F81 call ds; DeviceloControl
.......
IOCTL-код 7C088h обеспечивает как запись, так и чтение данных с диска на секторном уровне в обход файловой системы всех установленных ею ограничений.

| Сообщение посчитали полезным:

KingSise пишет:
Для генерации ключей нужен список процессов? Бред. Генератор случайных чисел уже много лет был реализован и без использования драйверов в 0- кольце...

Не прав ты насчет случайных чисел. Я не знаюк какой алгоритм ты имеешь в виду, но на данный момент существуют алгоритмы, которые привязываются на инф.о железе ruwiki.com/article/GUID

| Сообщение посчитали полезным:

Дело не в том, чо он там смотрит, лезет ли он в ринг0, детектит процессы. Мне на это пох. А вот, зачем он эту инфу на офсервер отправляет? А , таки отправляет. Это тоже для генерации ключа? И чем в таком случае кипер отличается от троя? Или вы думаете, что любой хэкер, подсадивший троя вам на комп, сразу начнет юзать ваш инет и менять пароли на мыло? Ню-ню.
Я тоже юзаю Вебмани. Иногда приходиться. Но перед этим шаманю вокруг машины. Ставлю, делаю, чо мне надо, и сразу его сношу. А лайт - теже яйца, тока сбоку.

| Сообщение посчитали полезным:

stahh пишет:
А вот, зачем он эту инфу на офсервер отправляет? А , таки отправляет. Это тоже для генерации ключа?
очень интересная идея по ведению базы пользователей, которые пользуются веб-деньгами. на основании процессов можно судить о потенциальной "опасности" пользователя. зачем это все ведется можно еще наверное 100стр. написать. вот только правду никто и не скажет. а то что пользователя легче найти по MAC адресу и вообще чем больше данных тем легче найти. так это факт. и если бы ты пошел по ссылке что там человек сверху дал и почитал, так там написано, что менты действительно делают запросы в веб-деньги на все вопросы получают конкретные ответы....

| Сообщение посчитали полезным:

vadim_sg Да я то знаю, зачем любая прога, будь то Винапдейт, Аутпостапдейт или кипер, передают информацию. Это риторический вопрос, чиста.


А про то, что драйвер, напрямую работающий с портами может не тока угробить инфу, но и машину - знаю не понаслышке.
Крис, канешна, страху нагнал, но в основном, все факты, им приведенные - есть истена Любой может проверить сам. Ну а о намерениях разработчиков кипера или служб, для которых они собирают инфу - пусть каждый судит в меру своей распущенности.

ЗЫ. И читал я тот форум, естественно.

| Сообщение посчитали полезным:

Может просто лучше перейти на лайт версию, или она так де активно инфу собирает? Вроде работает только через броузер, никаких драйверов не ставит...

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

KingSise пишет:
Для генерации ключей нужен список процессов? Бред. Генератор случайных чисел уже много лет был реализован и без использования драйверов в 0- кольце...

Серьёзно? Ты уже исследовал? Ну давай сюда кусок кода. Али ты опять решил потрепаться?

KingSise пишет:
простите, а вы кто? Вы работете в этой конторе?

Я человек, который работает с WebMoney уже несколько лет. И чтобы предъявлять обвинения в сторону столь серьёзной контроы заявлений вроде: "Бред. Блаблабла", недостаточно.
Если ты переводишь с помощью кипера по 10 баксов пару раз в месяц, к тому за взломанные тобою программы, то твоё негодование мне вполне понятно. Но, например, если бы у меня украли с помощью этой системы приличную сумму денег, я бы спокойно смог доказать, что являюсь их владельцем, а контора веб-мани, в свою очередь, может предоставить мне, естественно через спец. органы, всю информацию о индивидуме, который это сделал(ну естественно я не учитываю те случаи, когда он мог это сделать в связке VM+TrueCrypt+etc).



stahh пишет:
Дело не в том, чо он там смотрит, лезет ли он в ринг0, детектит процессы. Мне на это пох. А вот, зачем он эту инфу на офсервер отправляет?

А как по-твоему кипер узнаёт, что твои ключи были использованы на другом компе?


stahh пишет:
И чем в таком случае кипер отличается от троя?

А троя ты тоже сознательно устанавливаешь и используешь принимая таким каков он есть?

KingSise пишет:
Может просто лучше перейти на лайт версию, или она так де активно инфу собирает? Вроде работает только через броузер, никаких драйверов не ставит...

Вах, ты гениален. А кто ж тебе раньше не давал этого сделать? Оказывается у тебя есть свобода выбора. Жалко, что ты об этом не знал до того, как Крис написал свою сомнительную "сенсацию" для такого же сомнительного издания.

| Сообщение посчитали полезным:

да тот же Permeo Security Driver и ID-Blaster Plus в альянсе с SocksChain спасут Вас от выслежки..
почитал линк на форум, там описан полный бред)) отписываются люди, абсолютно далекие от программирования и безопасности.

| Сообщение посчитали полезным:

HoBleen пишет:
Где ж не доказано? (Только не через свой драйвер)

Еще один фрагмент Кеерег'а, вызывающий функцию DeviceloControl
. text:100B7F63 push 0 ; lpOverlapped
, lext:100B7F65 move ecx. [ebp+lpBytesReturned]
.text;100B7FB8 push ecx ; forumytesReturned
.text;100B7F69 push 21 Qh ; nOutBufferSize
.text:100B7F6E movedx, [ebp+lpOutBufferj
. text:100B7F71 push edx ; IpOufBirffer
.text: 1OOB7F72 push 20h ; nlnBufferSlze
text:100B7F74 mov eax, [ebp+lplnBufier]
.text:1OOB7F77 push eax ; IplhBuffer
.text: 1OOB7F78 push 7C08Sh
.text:100B7F7D mov ecx, [ebp+hDevlce|
.text;100B7F80 push ecx ; hDevice
. text;100B7F81 call ds; DeviceloControl
.......
IOCTL-код 7C088h обеспечивает как запись, так и чтение данных с диска на секторном уровне в обход файловой системы всех установленных ею ограничений.

Если бы удосужился и посмотрел, что значит код 7C088h(SMART_RCV_DRIVE_DATA), то мог бы понять, что этот запрос происходит как раз для получения марки и серийного номера твоей винта. Я думаю, Крис не дурак и прекрасно понимает для чего делается этот запрос, но, увы, его статья была расчитана не на грамотную аудиторию, которая может сделать независимую оценку этих действий.

Любой программист, а тем более реверсер, который в достаточной мере работал с WebMoney, в достаточной для того, чтобы можно было объективно посмотреть на вещи, прекрасно должен понимать с самого начала, что вся система авторизации базируется на привязке твоих ключей к отдельной машине. Данные об этой машине должны хранится на сервере WebMoney, ибо в противном случае нельзя контролировать использование твоих ключей.
Но вот в этот момент надо сделать оговорку и кинуть камень в сторону ВебМани, т.к. в статье небыло предоставлено доказательств того, что именно эти данные отправляются на сервер, то можно предположить, что отправляются и не они, а лишь их ХЕШ. Хотя с другой стороны скорее всего отправляются именно данные, т.к. в ином случае результат такой защиты не слишком результативен.
В любом случае. Вам У станавливать кипер насильно никто не заставляет. Вам ненужны гарантии сохранности Ваших средств? В чём проблема, используйте Lite.

Не подумайте, что я здесь пытаюсь отстоять интересы WebMoney. Просто то, что вы здесь попусту трепитесь на эту тему, взяв за основу эту недостатью, вызывает негатив. Нужны конкретные железные доказательства, а в противном случае всё это трёп, все аргументы могут быть легко опровергнуты и не имея под собой основания не несут никакого смысла.

| Сообщение посчитали полезным:

Криса зря обсираете толково пишет и журнал ][ нормальное чтиво!!!

| Сообщение посчитали полезным:

W[4Fh]LF Не подумай что я всегда был противником WebMoney.Но когда понял(увидел) что они занимаются контролем(шпионажем)-расстался без сожаления.И случилось это гораздо раньше чем вышли публикации.
Спасибо Крису!Про такие "конторы" должен знать каждый.
например, если бы у меня украли Если украли - они попросят сначала твои данные и если вводил при регистрации левые - никто заниматься не будет.Но они не ждут а вычисляют владельцев с левыми данными и сами(способов несколько) блокируют счет И через три месяца прикарманивают(воруют) с оговоркой что ты был согласен с договором.
Хотя года 2 назад такого с ними не было.

| Сообщение посчитали полезным:

W[4Fh]LF Руль! А ты троя никогда по собственному желанию не устанавливал? Тока не надо прикидываться. Даже просто разрешение на актив-скрипт которое ты даешь аутпосту - есть твое согласие установить на свою машину все, что угодно. Это - формально.
Далее. Привязка к железу - херня. И это тебе ни один я скажу. Самый лажовый способ. Ставится снифер, перехватывается трафик кипера, при запросе с другой машины - устанавливается роутер, перехватывается трафик кипера, подменяется на трафик с другой машины. И чо? Кипер стоит хзгде, а сервер получает данные о предыдущей машине. Я не говорю, что это просто сделать, но возможно. И чем в таком случае оправдывается отправка твоего хардвея? Но более всего мне нравиться в кипере не это. А чтение списка процессов. Зачем? А если прибавить к этому - чтение памяти процесса, то это уже ни к какой авторизации не привяжешь.
Чо будет в следующей версии? Скрина экрана?
И покажи мне пальцем, где в соглашении инсталлятора написано, что вебмани собирают инфу о твоем железе, процессах, и чем эти процессы занимаются?
Любая хрень, я не только кипер имею ввиду, которая без моего ведома отсылает куда -либо сведения , не требуемые для нормального функционала программ - потенциально является троем. И может быть так же классифицирована.
Вот и поинтересуйся на офсервере вебманей - зачем киперу процессы и память этих процессов. Хчется услышать внятное объяснение оффспецов, которые считают Криса лажовым писакой.

| Сообщение посчитали полезным:

stahh пишет:
Ставится снифер, перехватывается трафик кипера, при запросе с другой машины - устанавливается роутер, перехватывается трафик кипера, подменяется на трафик с другой машины. И чо? Кипер стоит хзгде, а сервер получает данные о предыдущей машине
Мда. Бред полнейший. Ты никогда не слышал о криптографии и протоколах запрос-ответ?

stahh пишет:
Я не говорю, что это просто сделать, но возможно
В таком виде принципиально невозможно. По сети гоняется шифрованый трафик, и шифруется он динамически создаваемым в двухсторонней сессии аутентификации ключем.

Насчет удтверждения, что кипер это трой, не могу согласиться. Конечно он позволяет себе больше, чем пишут в лицензионном соглашении, но всегда есть выбор. Не хочешь - не юзай.

Насчет кражи денег с помощью троя, это дело очень простое. Зачем нам переводить деньги распознавая картинки, или красть ключи и обходить привязку к железу? Можно просто дождаться совершения какого-либо перевода, и подменить кошель и сумму. Все известные WM трои именно так и делают, и вся защита им совершенно допизды.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem Я же и не говорил, что это возможно с кипером. Это просто - общая мысль. Естественно, прога, переводящая деньги, должна защищать трафик. Но обойти проверку железа тоже возможно. Любым другим способом. Но утверждать не буду. Не пробовал.
И речь не о том, ставить или нет. А о том, делает ли кипер то, что Крис описал в статье, или нет.

| Сообщение посчитали полезным:

На мой взгляд все мнения рассмотрены, все сделали для себя выводы о безопасности кипера и честности авторов. Дальнейшая дискуссия - демагогия, имхо.

Тему - на закрытие.

| Сообщение посчитали полезным:

Я вот попробовал подглядеть что он отсылает при идентификации, не получилось... Никто не пробовал это сделать?

-----
-=истина где-то рядом=-

| Сообщение посчитали полезным:

stahh

Ну насчёт реализации твоей версии "обхода" сказать нечего, Ms-Rem объяснил популярно.
Я ещё раз повторяю, все ваши предположения пустой звон. Выше я уже сказал для чего может быть использован список процессов. Ты не можешь этого отрицать, точно так же как я не могу это утверждать, но изначально ты должен опровергнуть возможность использования списка процессов в каких-то "законных" целях.
Далее. Давай немного подумаем, исходя из твоей логики и трактуя ситуацию по-твоему, вот лично я не могу даже представить, на кой чёрт спецслужбам нужен список процессов? Глупо полагать, что WebMoney станет хранить списки процессов 3 млн. пользователей, тем более учитывая то, что это динамический, легкоизменяемый и быстро изменяющийся во времени фактор, который в случае чего абсолютно ничего доказать не может. Поэтому, ты уж извини, но разумнее предположить, что это псевдослучайный фактор в ГПСЧ кипера, чем что-то отправляемое на сервер.
Что касается MAC'a и информации а харде. Я уже сказал для чего это сделано(кстати, кто-нибудь доказал, что на сервер отправляется не хеш?), хватит мыслить однобоко и втюхивать мне, что эта защита ничего не стоит. Локально она ничего не стоит, как сказал MsRem все трои сейчас работают по принципу FindWindow+SendMessage, я это знаю. Меня удивляет то, что ниодин ветеран крэкинга не может увидить разницу между привязкой и защитой от кражи. Я везде употребляю термин привязка, ибо эти действия направлены на то, чтобы ВАШИ КЛЮЧИ НЕ МОГЛИ БЫТЬ ИСПОЛЬЗОВАНЫ БЕЗ ВАШЕГО ВЕДОМА НА ЧУЖОМ КОМПЬЮТЕРЕ. Если бы этой привязки небыло, то украв ключи и авторизировавшись по ним с левой тачки, можно было бы спокойно распоряжаться средствами и, самое главное, узнать все анкетные данные пользователя. Только не надо опять кидать понты и говорить, что это всё легко обходится, блаблабла... Да, можно найти способы обхода, но следуя вашей логике тогда вообще никакая защита ненужна. Нахрена тогда вы ставите фаеры, аверы, качаете заплатки, отрубаете бажные службы? Зачем? Ведь всё это можно обойти. Ваши посты мне напоминают темы вроде "Какая самый лучший протектор?", где все постоянно орут: "Если захотят снимут" и etc.

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
се трои сейчас работают по принципу FindWindow+SendMessage
Этот принцип с кипером не сработает, так как он будет требовать подтверждение на изменение параметров перевода. В кипере нужно хукать GetDlgItemTextA.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

Ms-Rem

Тебе виднее Общую мысль я влюбом случае выразил.

| Сообщение посчитали полезным:

Ms-Rem пишет:
Все известные WM трои именно так и делают

Как такого троя поймать?.
Похоже у меня такая херня завелась.

| Сообщение посчитали полезным:

NIKOLA пишет:
Как такого троя поймать?.
Как и любого другого. Есть куча софта для этого, атнивирусы, антируткиты, фаерволлы, и прочая фигня.
Если ничего не помогло, то format c - верное средство.

-----
Скажем дружно - нафиг нужно.

| Сообщение посчитали полезным:

W[4Fh]LF пишет:
Смешно читать этот топик на форуме такой тематики.
W[4Fh]LF пишет:
пустой трёп в этой теме, особенно со стороны ветеранов крэкинга, вызывает неоднозначные эмоции.
W[4Fh]LF
Хватить трёп разводить в отношении ветеранов, любой ламерский крякер или хекер не имеет право себя так называть, ибо является обычным юзером Stripper`ов&UnPacker`ов и прочей лабуды и понятия не имеет, как это работает на уровне низкого программирования.
Не одна юзерпрога или драйвер не может себе позволить переплюнуть возможности, которые предоставляет железо установленное на компе, в том числе и сам проц тоже относиться к знаниям человека конечно можно почитать инфу в инете, но теория без практики это равно нулю
Появление нового программного обеспечения непосредственно связано с появлением нового оборудования.
Для сравнения возьмем Win`ь XP и “Vista”. Появление “Vista” можно было предсказать уже довольно давно и понятное дело, что после того как новые технологии перевалят за банальные 32Bit`а и т. д.
Тот, кто (Ms-Rem) успевает вовремя устанавливать новое оборудование, естественно будет знать гораздо больше, чем та информация, которая появляется в Интернете на 1-2 года раньше.
Поэтому критиковать знания ветеранов, считаю, неуместным в рамках этой темы, так как не все себе могут из-за финансовых возможностей поставить новое оборудование и стать более продвинутым в своих знаниях – Аминь
В сабже идет обсуждение статьи, а ты занимаешься фанатичной пропагандой WebMoney - ИМХО

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным: