Timofeev Oleg Vitalievich Тимофеев Олег Витальевич (timotv) wrote,
Timofeev Oleg Vitalievich Тимофеев Олег Витальевич
timotv

Безопасность Webmoney. Как реально защититься от новых видов троянов, в т.ч. inetmib1.dll.

WebMoney Keeper под виртуальной машиной VMware

Первое конечно, что надо сделать, это выполнить все замечания по настройкам безопасности, которые выдаёт WebMoney Keeper - они вытекают из рекомендаций по безопасному использованию WebMoney Keeper Classic, опубликованных на сайте (первый пункт этих рекомендаций является обязательным).

Но оказывается и этого недостаточно, и в реальности никакой защиты от хакеров не существует. Никакой сервис enum.ru не поможет пока существует сама физическая связь с вашим компьютером (интернет-кабель и кабель питания). Да, говорят, Enum создан для того, чтобы обезопасить себя в случае подмены запросов WebMoney Keeper троянской программой - именно такие трояны самые опасные. Но также говорят (некоторые), что даже после успешной авторизации через enum система webmoney использует файлы *.init, которые создает Кипер, как и в случае с обычной авторизацией (используя только Кипер). Так или иначе самое слабое место всегда было и остается после самого пользователя (а вы думали? :) ) - это ОС и программная платформа, в которой пользователь проводит финансовые операции и даёт старт транзакциям. Поясняю: WebMoney Keeper - это и есть та самая платформа. Т.о. безопасности в принципе не существует. И это касается вообще любого ПО, а не только WebMoney Keeper.

Пришлось прочитать несколько форумов (см. список ссылок в конце статьи), чтобы понять, что никакой реальной защиты от перехвата управления кошельком и от перехвата транзакций никогда не существовало и не существует. Можно только значительно уменьшить вероятность такого перехвата. Для ведения серьезной финансовой деятельности обращайтесь к спецслужбам, или другим проверенным специалистам. Простым смертным и тем, кому не жалко будет потерять WM-деньги в непредвиденном случае - посвящается данная статья.

Главное о чем я хочу всех предупредить данной статьёй - не проводите финансовые операции под ОС, которая используется в повседневных целях, это крайне не предусмотрительно.

Я для себя наметил следующую концепцию безопасности работы с Webmoney:
- разделить процесс формирования каждой транзакции на части - несвязанные между собой ОС и различные программные платформы (пока не представляю как это реализовать)
- максимально изолировать каждую программную платформу (веб-платформа, ОС), на которую устанавливается специализированное ПО, используемое для совершения финансовых операций
- защита всего ПО, которое непосредственно используется для совершения финансовых операций. Должна быть защита с целью снижения вероятности перехвата управления в т.ч. изнутри программной платформы, на которой установлено данное финансовое ПО.
- использовать меньше прямых переводов со своего кошелька, т.е. стараться делать платежи через Merchant, через выписку счета, интерфейс Click&Buy, а также применяя код протекции, если уж без прямых переводов никак не обойтись. (идею спёр отсюда)



Для реализации этой концепции на текущий момент я наметил следующий путь, или даже механизм, состоящий из 7-ми элементов:
1) выполнять все финансовые операции только под виртуальной машиной. Рекомендую VMware Workstation. Пример работы с виртуальной машиной (скриншот):

А вот так выглядят файлы виртуальной машины, когда она выключена:


Виртуальная машина позволяет изолировать работу приложений (в нашем случае - финансовых приложений) от реальной операционной системы, и т.о. изолировать их от возможных вирусов, которыми может заразится реальная ОС. Правда, когда речь идет о приложениях, для которых необходим интернет, то возможности виртуальной машины по изоляции уменьшаются (вирусы могут попасть напрямую через интернет), но при этом уровень безопасности работы ПО под такой ОС всё-равно остается выше, чем под реальной ОС. Суть в том, что при работе под виртуальной машиной в условиях ограниченных задач сужается фронт интернет-соединений, которые необходимо защищать. В частности WebMoney Keeper - идеальный пример, когда для его работы достаточно открыть нужный канал в фаерволле (брандмауэре) и закрыть всё остальное, чтобы исключить проникновение вирусов из интернета. В таком случае вероятность появления вирусов из интернета на виртуальной машине на порядок меньше, чем на реальной машине. Возможно, для сложного и громоздкого ПО типа CASE-систем, использовать виртуальную машину будет не всегда удобно и в некоторых случаях допускаю, что виртуальная машина не будет приносить большого выигрыша в безопасности, т.к. CASE-системы сами по себе требуют непрерывного доступа к интернету, причем некоторые из них - по разным протоколам и портам, что расширяет фронт интернет-соединений, который необходимо защищать. Но это лишь предположения, поэтому в подобных случаях необходим отдельный анализ ситуации. Помимо этого при работе с современным ПО требуется использовать веб-серфинг и работать с различными web-приложениями, что тоже увеличивает фронт работ для брандмауэра. Так или иначе, но для целей  WebMoney Keeper виртуальная машина подходит как нельзя лучше.

Сразу после установки Windows на виртуальную машину необходимо создать учётную запись "user" с правами группы Пользователей, из под которой впредь и следует работать. Разумеется на обе учетные записи (admin и user) необходимо установить пароль. Но следует помнить, что пароль для входа в Windows защищает лишь от любопытных и неопытных пользователей, ибо при наличии определенного софта, пароль снимается ровно за 5 минут.
После завершения установки необходимого ПО (WebMoney Keeper в т.ч.) под виртуальной ОС следует обезопасить себя от проникновения перспективных вирусов через интерфейс "drag and drop". Для этого в настройках виртуальной машины, созданной при помощи VMware Workstation, надо снять все галочки в разделе Options\Guest Isolation, см. скриншот:


В настройках виртуальной Windows из-под учетной записи Администратора отключите файл подкачки (c:\pagefile.sys) - он не нужен на виртуальной машине:

Установите размер оперативной памяти для виртуальной машины не меньше 512 МБ, а лучше 700 МБ. Сам реально столкнулся с тем. что 512 МБ мне не хватило для установки Winrar.

2) На виртуальной машине необходимо установить фаерволл и антивирус. Лучше всего сразу устанавливать комплексный софт - "два в одном", например, фаервол с антивирусом на борту - Agnitum Outpost Security Suite Pro, или Norton Internet Security, или Symantec Endpoint Protection, или Kaspersky Internet Security. В настройках надо разрешить доступ к интернету только для WebMoney Keeper и другого необходимого вам софта. Но следует помнить - чем меньшее количество софта пользуется интернетом, тем безопаснее будет ваша ОС. Хотя должно признать, что большая часть вирусов проникает через интернет-браузеры, через веб-скрипты, и через дыры Windows.
Рассмотрим настройку Outpost. Политику брандмауэра необходимо установить в "режим блокировки" (блокировать всё, кроме исключений, которые мы сами зададим). После этого надо задать правила для WebMoney Keeper Classic. Зайдите в Windows под нужной учетной записью (user или Администратор) для настройки Outpost. Запустите один раз WebMoney Keeper Classic - он спросит место хранения ключей доступа - и можете сразу закрывать. Это необходимо, чтобы Outpost увидел приложение WebMoney Keeper и создал для него стандартные правила. Далее необходимо зайти в "Настройки\Правила для приложений", найти в списке WEBMONEY.EXE, зайти в режим редактирования, затем открыть "Сетевые правила" и установить галочку напротив "Гдe yдaлeнный aдpec". Ниже, в окошке №3 нажать по надписи "и удаленный адрес Не определен" и добавить доменные имена, указанные здесь.

Norton Internet Security, Symantec Endpoint Protection и Kaspersky Internet Security настраиваются иначе, чем Outpost. Главные отличия объясняются тем, что NIS, SEP и KIS выросли из антивирусов, а Agnitum Outpost Security Suite, наоборот, вырос из брандмауэра.

3) На виртуальной машине необходимо установить интернет-браузер Mozilla Firefox и плагин к нему NoScript, чтобы обезопасить себя от проникновения вирусов через JAVA и всевозможные скрипты. Плагин надо устанавливать под каждой учетной записью Windows отдельно. В настройках NoScript добавить в белый список:
webmoney.ru
wmtransfer.com
Такой же плагин я рекомендую использовать и на реальной ОС во время веб-путешествий при помощи  Mozilla Firefox.
Для возможности прохождения авторизации через
https://login.wmtransfer.com/GateKeeper.aspx
- необходимо в настройках плагина "Дополнительно\ABE" нажать кнопку "Отключить"

4)
Виртуальную машину хранить только на сменном носителе и с него же - работать. В качестве сменного носителя рекомендуется USB 3.0 HDD (в нынешних условиях желательно иметь для HDD кейс не только с интерфейсом USB 3.0, но и eSATA и USB 2.0 - для большей гибкости и мобильности). В текущем году скоростной интерфейс USB 3.0 начинает своё распространение, поэтому с производительностью проблем у USB-HDD уже нет. Сегодня HDD, подключенные по USB3.0, работают на уровне своих характеристик быстродействия, тогда как USB 2.0 ограничивает быстродействие HDD. Разочаровывают полупроводниковые носители информации для массового применения - флешки и карты памяти (SD, micro SDHC, MMC и др.) - флеш память сама по себе пока остается медленной, и по быстродействию сильно отстает даже от возможностей интерфейса USB 2.0, который имеет пропускную способность 60 МБ/с (отнимите 5-15% для протокольных (служебных) данных). Производительность современных высокоскоростных USB2.0-флешек составляет 13-18 МБ/с при записи последовательных данных - это при том, что заявляются характеристики в 20 МБ/с. Существенного улучшения здесь в ближайшие год-полтора ожидать не стоит. Хотя в продаже обещают вскоре появиться флеш-носители USB 3.0 с заявленной скоростью до 85 Мб/с, но, во-первых, это скореее всего скорость чтения, которая обычно в 2 раза выше скорости записи, а во-вторых, практика показывает, что реальная скорость окажется ниже заявленной. Неизвестно также какова будет цена. Очевидно, что она будет минимум в 2 раза выше, чем для USB2.0-флешек того же объема. Другие устройства: PCI-E to USB3.0 - контроллеры. Материнские платы с портами USB 3.0 впервые появились еще в прошлом году. Следует отметить, что долговечность флеш памяти даже самых именитых брендов оставляет желать лучшего - крайне высока вероятность выхода из строя микросхем по истечению срока гарантии (обычно 1 год). Обычно выходит из строя USB-контроллер, при этом микросхема памяти остаётся невредимой.

5) После установки WebMoney Keeper на виртуальную ОС файлы ключей *.kwm надо зашифровать при помощи специального ПО и сохранить непосредственно на сменном носителе, но не под виртуальной машиной и не на HDD. Ключ к шифру хранить только в голове. По возможности придумайте ключ к шифру, который бы отличался от пароля к файлу *.kwm. Чтобы вручную не заниматься шифрованием, ключи *.kwm можно хранить на отдельных зашифрованных носителях eToken и ruToken. (вместо них можно купить любой другой USB-носитель, который позволяет работать в режиме шифрования). Журнал "Хакер" предлагает еще один способ защиты ключа:

Размер файла с ключами можно произвольно менять вплоть до 100 Мб (по умолчанию при регистрации предлагается размер 1,2 Мб - чтобы помещался на дискету). Если вы храните файл на винчестере - очень желательно увеличить его размер. Насколько увеличивать - решать вам. Чем тяжелее он будет, тем лучше: поскольку любой вирусной программе нужно передать ваш .kwm через Интернет своему хозяину-мошеннику, этот процесс может значительно усложниться, если вес .kwm будет исчисляться не в килобайтах, а в десятках мегабайт. Для передачи такого объема информации необходимо много времени даже на довольно быстрых каналах связи. Таким образом, у вас будет время обнаружить "утечку" по формальным признакам (большому трафику неизвестного происхождения т.д.).

Для сравнения: кража файла с ключами размером 500 Кб через выделенный канал в 256 Кбит/сек займет около 20 секунд. Кража файла размером 100 Мб на том же канале - более часа. Разница ощутима. 

Установить размер файла .kwm можно все на той же вкладке "Безопасность" диалогового окна настроек Keeper Classic. При изменении размера делать новые резервные копии .kwm не обязательно: копии, сделанные ранее, не потеряют своей валидности, поскольку изменение размера не затрагивает необходимый программе код.

6) Подтверждение операций с помощью дополнительных сервисов. Необходимые для этого инструменты, которыми обладает webmoney, могут быть настроены здесь: https://security.webmoney.ru/asp/transconfirm.asp. Справка: Способы подтверждения транзакций в WebMoney Keeper Classic.
Следует отметить о нескольких важных недостатках системы E-num: нельзя сменить E-mail, нельзя этому E-mail сопоставить другой номер мобильного телефона, а также нельзя переназначить данную пару E-mail+номер м/т в соответствие с другим WMID. Другими словами, если у вас изменился номер м/т, или E-mail, или WMID, то про авторизацию с помощью системы E-num можно забыть. Если только вы не сделаете персональный аттестат, который позволит обратившись в техподдержку E-num внести изменения в регистрационные данные. Так что прежде, чем привыкать к этой системе, хорошо подумайте над перспективами. И еще: E-mail, указанный при регистрации в E-num, рекомендую не использовать для других целей и тем более не указывать его контактным в аттестате. В качестве контактного E-mail в аттестате лучше указывать публичный E-mail (см. ниже мои рекомендации для безопасной работы в интернете). В качестве E-mail для регистрации в E-num необходимо использовать почтовый ящик, предназначенный исключительно для ведения финансов, или по крайне мере ящик, предназначенный для личной переписки с людьми, хорошо известными вам в реальной жизни.

7) Служба безопасности Webmoney настоятельно рекомендует поставить блокировку по IP. Помните, что если у Вас динамический IP или же несколько точек входа, это не препятствие, см. http://www.webmoney.ru/rus/about/demo/help/classic/resp3_07_ipblock.shtml
Если у Вас возникают проблемы с установкой блокировки по IP ознакомтесь с инструкциями по ссылке http://wiki.webmoney.ru/wiki/show/Blokirovka_po_IP и http://www.owebmoney.ru/security5.shtml. Но некоторые люди говорят, что такая блокировка успешно обходится ворами. Лично я ей не пользуюсь по другим соображениям - мне просто лень :) Для моих финансов это уже избыточная безопасность. Что касается эффективности такой меры, то считаю, что она не оказывает ровно никакой роли на безопасность.

Касательно активации WebMoney Keeper и оборудования, на котором он запускается, через м/т это тоже весьма условные гарантии безопасности - закрывают лишь одну лазейку из нескольких. Хочу только предупредить, что при использовании активации при помощи СМС многие пользователи сталкиваются с такой проблемой как ограниченное количество СМС, которые можно отправлять с телефона. Так что хорошенько изучите этот вопрос - начните отсюда: https://forum.webmoney.ru/ и отсюда:
Вебмани через енум- как увеличить число смс? Вместо СМС-активации/авторизации на данный момент лучше использовать специальное приложение для мобильных телефонов и КПК от системы E-num.

На этом о мерах безопасности при работе с WebMoney всё.
Не забывайте про необходимую сложность всех ваших паролей, в т.ч. на всех ваших почтовых ящиках - об этих очевидных мерах безопасности рассказывать не буду. Кто до сих пор не знает как правильно придумывать пароли - изучите этот вопрос самостоятельно, спросите у Яндекса.

Вообще безопасность работы с webmoney возможна только при соблюдении общей безопасности работы в интернете. Советую прочесть: http://kjyeqavrel.livejournal.com/2081.html

Мои рекомендации для безопасной работы в интернете:
(без выполнения всех этих рекомендаций сохранность ваших тайн и денег в принципе невозможна)

1) для входа в почтовые ящики используйте пароли отличные от тех, что используются при авторизации на форумах и сайтах
2) для регистрации на любых форумах и любых сайтах, не связанных с финансовой деятельностью, используйте специальный почтовый ящик, т.н. мусорный E-mail, в котором не будет хранится никакая важная информация. Сразу готовтесь к тому, что этот почтовый ящик может стать жертвой спама - это неудивительно, поскольку адрес ящика на некоторых сайтах и форумах при регистрации может быть засвечен. Никогда не допускайте, чтобы в этом почтовом ящике хранилась информация, которая поможет злоумышленнику выйти на другие ваши E-mail-адреса и получить любую вспомогательную информацию.
3) Если вы не хотите, чтобы о вас собрали сведения с порталов, на которых вы зарегистрированы, то соблюдайте следующие простые условия: 1) не храните письма с важной информацией (логин, пароль), удаляйте письма об успешном завершении регистрации и письма, содержащие ссылки для подтверждения тех или иных запросов. 2) Периодически проверяйте поисковыми машинами (Яндекс и Гугл) на доступность свои E-mail-адреса, в т.ч. мусорный адрес, и по возможности удаляйте ненужные публикации этих адресов.
4) для любой важной переписки (как общение с родственниками, так и деловая переписка) используйте отдельный ящик, который вы нигде и ни при каких условиях не должны публиковать. Ответы на секретные вопросы (которые необходимы в случае восстановления доступа к почтовому ящику, например, в случае утери пароля) не должны быть типовыми, лучше посидеть, поломать голову над вопросом и ответом. Для ведения финансовой деятельности, в т.ч. для Webmoney, лучше использовать отдельный почтовый ящик, адрес которого должен храниться только у вас в голове, либо в зашифрованном файле.
5) для ведения публичной деятельности используйте отдельный E-mail, который вы можете спокойно публиковать. Публичный адрес означает, что по этому адресу вас будут узнавать как о реальном человеке.
6) В случае, когда у вас всё таки возникла необходимость опубликовать(засветить) почтовый адрес в интернете всегда используйте неявное его отображение, например: Oleg [цобака] mail [точка] ru - это поможет защититься от автоматических сканеров. В идеале публиковать свой E-mail адрес лучше в виде скриншота:
, или для большей надежности, в виде рисунка, сделанного в любом графическом редакторе от руки:

Для создания скриншотов и работы с ними рекомендую программу FastStone Capture - такая программа должна быть у любого современного интернет-пользователя. К таким мерам следует прибегать даже при публикации мусорного E-mail, который предназначен только для регистрации на сайтах - это значительно уменьшит вероятность попадания СПАМА. Но публиковать свой деловой E-mail даже в виде скриншота категорически не рекомендую. Один раз засветили - считай гарантий от спама никаких. 
7) не храните переписку на почтовом сервере. Вместо почтового веб-интерфейса используйте специальные программы - почтовые менеджеры, например, The Bat. Портативная версия TheBat! Voyager позволяет работать прямо с флешки.

Вот так сложно, но зато более безопасно. В противном случае рано или поздно (а скорее всего рано) ваш кошелек будет заблокирован сервером Webmoney по причине "попытки перехвата управления над Вашим WMID троянской программой". В лучшем случае, если попытка будет пресечена и хакер не опустошит ваш кошелек. Именно так и произошло со мной. В результате чего я быстренько исправился. Самое интересное, что мой кошелек был заблокирован будучи почти пустым (200 руб). Я практически не пользуюсь электронными кошельками. Конечно, если бы я периодически пользовался этой платежной системой, то я бы не поленился позаботиться о безопасности.

Следует помнить
Даже если вы будете использовать Кипер под виртуальной ОС, то на реальной ОС всё-равно рекомендуется держать включенным антивирус, чтобы вирусы не заразили USB-носитель, на котором у вас находится виртуальная машина. Когда виртуальная машина выключена ей ничего не грозит (вируса, который заражает файлы виртуальных машин пока не существует). Предостерегу только от случаев когда виртуальная машина включена(!), т.е. когда пользователь ведет активную работу в виртуальной ОС - вирусы могут проникнуть двумя способами: при использовании переносных носителей информации и через сеть (LAN, internet). Поэтому следует обязательно устанавливать антивирус и фаерволл на виртуальной машине, которая используется для финансовых операций. Следует отметить, что никакой вирус не страшен файлам, расположенным на носителе информации, который использует шифрование всего объема данных (например, eToken и ruToken, которые вот уже много лет предлагает нам webmoney). Если конечно для вашего носителя информации не был разработан специальный вирус :) Вы можете хранить на таком зашифрованном носителе не только электронные ключи, но свою виртуальную машину и работать прямо с него. Правда сам я не проверял - будет ли в действительности работать вирутальная машина прямо с зашифрованного носителя, не знаю. Одно могу сказать наверняка - я бы не стал это проверять на USB 2.0 -носителях, т.к. не хватит пропускной способности. Пришло время USB 3.0.

Обязательно к прочтению:
http://seo-newbie.ru/2010/05/enum-ne-panaceya/               (ОБЯЗАТЕЛЬНО; добавил ссылку 29.07.2010)
http://forum.searchengines.ru/showthread.php?t=471952                          (общие положения)
http://wmtpro.ru/security_webmoney.html                                                        (важно!)
http://forum.cgm.ru/vvod-vyvod_deneg/129544-wm-_troyan.html      (здесь я взял идею о виртуальной машине и плагине NoScript для Mozilla Firefox)
https://forum.webmoney.ru/Default.aspx?g=posts&t=17172                      (важно! Здесь среди прочего обсуждается возможность запретить Киперу создавать файлы *.init)
Проблемы безопасности Webmoney или как не стать лохом

Блокировать только транзакцию(ден. сумму) вместо всего кошелька (добавил ссылку 12.04.2011)

Tags: webmoney, безопасность в интернете
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 22 comments