ОЧЕНЬ интересная статья про Web-Money Keeper

Kukuruzzka

Обнаружил в инете очень интересную статью про WebMoney.
Приведу только начало, так как вся она большая.
Для заинтересовавшихся оригинал
Для безынетных есть txt, но читать будет неудобно.
Цитирую:
Некролог на Web-Money Keeper
Крис Касперски
Хакер, номер стр. 094-062-1
Чем опасен WM-клиент
Какую информацию собирает о нас система Web Money, можно ли ей доверять? Просидев за дизассемблером всю ночь напролет, пришел к весьма неутешительным выводам, которых придерживаются и другие пользователи. Как обезопасить себя и обеспечить максимальную анонимность?
Введение
Популярная платежная система Web-Money реализована в виде двух независимых программ: Keeper Classic и Keeper Light, каждая из которых имеет свои достоинства и недостатки. Keeper Classic представляет собой обычное Windows-приложение, требующее инсталляции на компьютер. Вот что об этом говорят некоторые пользователи: «Это — поделка от Web-Money, в которую неизвестно что зашито, может, и троян. И даже если его там нет, это творение небезупречно: пару раз ставил на несколько компов, так они стали хромать на обе ноги, вплоть до BSOD. На других же компах работа была нормальной. Следовательно, эта программа недоработана и ведет себя непредсказуемо".
Но прикладное приложение, которым пытается казаться Keeper Classic, не может вызывать BSOD, поскольку это прерогатива драйверов, работающих на уровне ядра. Значит, Keeper каким-то образом проникает в ядро, причем не совсем легальным путем (отсюда конфликты и BSOD). Во всяком случае, я не видел никакого запроса на установку драйверов при инсталляции, и никаких драйверов не появилось в каталоге WINNT\System32\Drivers, где им и положено быть, но… запуск утилиты R-Studio, восстанавливающей удаленные файлы, показал наличие созданного и тут же удаленного файла winio.sys, ссылка на который обнаружилась в компоненте Keeper'a: WMClient.dll. Судя по названию, этот драйвер открывает доступ к портам ввода/вывода с прикладного уровня, что создает нехилую дыру в системе безопасности, не говоря уже о том, что некорректное обращение с портами чревато не только голубыми экранами смерти, зависанием компьютера, но и потерей данных вместе с порчей оборудования.
Тут же, по соседству с «winio.sys», приютились текстовые строки: «\\.\PhysicalDrive%d», «\\.\Scsi%d:» и «SCSIDISK», недвусмысленно свидетельствующие в пользу того, что Keeper работает с жесткими дисками на низком уровне!
А дальше... дальше идет нечто совершенно невероятное:
Фрагмент WMClient.DLL, передающий жесткому диску ATA-команды
.text:100B7A31 push 557 ; nOutBufferSize
.text:100B7A36 lea eax, [ebp+OutBuffer]
.text:100B7A3C push eax ; lpOutBuffer
.text:100B7A3D push 3Ch ; nInBufferSize
.text:100B7A3F lea ecx, [ebp+OutBuffer]
.text:100B7A45 push ecx ; lpInBuffer
.text:100B7A46 push 4D008h ; IoControlCode(IOCTL_SCSI_PASS_THROUGH)
.text:100B7A4B mov edx, [ebp+hObject]
.text:100B7A4E push edx ; hDevice
.text:100B7A4F call ds:DeviceIoControl
Диску посылается IOCTL-код IOCTL_SCSI_PASS_THROUGH, позволяющий передавать любую ATA-команду в обход операционной системе! ATA-команды — это наиболее низкоуровневые команды, на которых «разговаривает» диск, и с их помощью можно сделать все, что угодно. Малейшая неосторожность (или несовместимость) способна разрушить содержимое диска или уничтожить его «прошивку», что еще хуже. Девять из десяти, что эта процедура используется для чтения показаний SMART, однако не исключено, что Keeper пишет на диск какую-то гадость. Мне было лень досконально изучать этот вопрос, поскольку в любом случае Keeper мутит.

У кого какие мыли возникают по этому поводу?

vladi1

ОЧЕНЬ интересная статья
Что же в ней такого ОЧЕНЬ интересного?

PooH

это ОЧЕНЬ боянная статья - то, что кипер ставит в систему свои какие-то левые дрова давно известно
вроде он еще метки какие-то ставит на диски - типа повышает секьюрность

juliuzz

Крис — ОЧЕНЬ большой параноик

kill-still

Ему за параною платят. :)

lubanj

просто видать автор впервые столкнулся со статьей Криса. вот и все.

yroslavasako

надо попробовать скормить апач Крису, и почитать комменты

elenangel

ага, сам недавно про гугл статью от Касперски прочитал и был в шорохе =)

gai_opera

ага, сам недавно про гугл статью от Касперски прочитал и был в шорохе =)
провел эксперимент: закрыл в файрволе доступ к адресу google.com. в опере перестали открываться ЛЮБЫЕ страницы. в эксплорере, как ни странно, тоже. как-то действительно не по себе от этого... если кому интересно - у меня comodo personal firewall pro 3.5
неужели в натуре все идет через гуголь? и как иначе объяснить?

Helga87

судя по всему, ты чо-то нахимичил с правилами и закрыл доступ ко всему интернету.

olegusmaximus

У гугла есть такая штука - гугл аналитикс, стоит на довольно многих сайтах, возможно поэтому у тебя некоторые сайты не загружались.

kruzer25

Ты бредишь. От того, что не загрузится гугланлитикс, сайты не перестанут работать, перестанет работать только эта статистика.

gai_opera

я не менял настроек вообще, а добавил только один blocked address - google.com
после того, как потыкал разные сайты, и ни один не открылся, я удалил этот адрес из "запрещенных адресов", и после этого все снова работает, как раньше.
предположения?
минусов сразу накинули :)
писать "ты дурак" на флокал модно

kruzer25

предположения?
/dev/hands побился, переставь.

olegusmaximus

А ты никогда не видел, что бывает если ссылки на внешние скрипты прописаны в начале страницы и эти скрипты недоступны?

Andbar

я так понимаю, предполагается, что за два с лишним года почти никто не прочитал эту статью?

kruzer25

А ты никогда не видел, что бывает если ссылки на внешние скрипты прописаны в начале страницы и эти скрипты недоступны?
Ну давай, расскажи мне, что бывает в таких случаях :smirk:

olegusmaximus

Вот только сейчас загружал 3dnews.ru, загрузился титул, фавикон, а далее ожидание ответа от гугл-аналитикс.ком (остальной код страницы при этом не загружается, пока загрузка скрипта не вылетит по таймауту).

kruzer25

остальной код страницы при этом не загружается, пока загрузка скрипта не вылетит по таймауту
А когда вылетит по таймауту - что произойдёт? :smirk:
У страницы не стали открываться долго, они у него перестали открываться вообще :smirk:

Dimon89

Вот только сейчас загружал 3dnews.ru, загрузился титул, фавикон, а далее ожидание ответа от гугл-аналитикс.ком (остальной код страницы при этом не загружается, пока загрузка скрипта не вылетит по таймауту).
Забанил адреса counter.yadro.ru, google-analytics.com, counter.rambler.ru, top.list.ru
3dnews.ru загрузились моментально. Что я делаю неправильно?

kruzer25

1) Там может стоять для некоторых браузеров прорисовка страницы только по onLoad, и в разных браузерах страница, соответственно, начнёт прорисовываться в разное время (сразу или только тогда, когда всё загрузится).
2) Файрволы могут вести себя по разному. С некоторыми файрволами, когда ты пытаешься подключиться к закрытому адресу - ничего не получаешь в отвёт, и только через некоторое время думаешь "ага, время ожидания уже прошло, наверное, они лежат". А с некоторыми - пытаешься подключиться к закрытому адресу и сразу получаешь отлуп от файрвола.

olegusmaximus

Не знаю, и думаю ты не знаешь, как у него "не открываются", возможно он не стал дожидаться отлупа по таймауту.

olegusmaximus

Ты их в браузере забанил? В таком случает даже попыток обращения к ним не будет и на загрузку это не повлияет.

Dimon89

Ты их в браузере забанил? В таком случает даже попыток обращения к ним не будет и на загрузку это не повлияет.
Нет, в ДНСе. Уж извините, фаерволлов адекватных под винду нет.

olegusmaximus

Подозреваю что в этом случае отлуп не по таймауту происходит, поэтому грузится быстро.

gai_opera

ЗЫ: при том же забаненом
гугл-аналитикс.ком
все страницы открываются как часы

PooH

ставил в правилах для прокси-сервера игнорировать загрузку с counter.yadro.ru и всякие гуглы-аналитиксы - все работает как часы, только панелек со статами нету
Оставить комментарий
Имя или ник:
Комментарий: