Безопасная работа с системой Webmoney

Мы живем в информационный век, когда растет рынок товаров и услуг, и все тяжелее выкроить время на выбор качественного товара и способа его оплаты. И только Интернет сокращает нам дистанцию между продавцом услуг и покупателем. В этой статье мы поговорим об использовании известной программы WebMoney Keeper Classic, позволяющей проводить финансовые операции через Интернет, а также о защите вашего электронного кошелька.

Большинство пользователей WebMoney используют среду Keeper Classic по причине большей функциональности, чем Keeper Light, поэтому именно ей необходимо уделять максимальное внимание безопасности.

Работая с программой WebMoney, вам периодически придется общаться с ее интернет-сервисами. Данные сервисы используют интернет-протокол SSL(https). SSL обеспечивает более безопасную передачу данных между web-узлами за счет того, что вся информация зашифровывается и расшифровывается при помощи пары ключей. Во время установки WebMoney Keeper Classic на ваш компьютер добавляются два сертификата WebMoney, содержащих открытые (незасекреченные) ключи, которые должны постоянно оставаться в хранилище сертификатов на вашем компьютере. Если вы будете использовать Keeper Light, то необходимо установить их со страницы http://www.webmoney.ru/download.shtml , на которой также содержатся краткие инструкции того, как это делать.

Для правильной работы сервисов WebMoney необходимо разрешить браузеру выполнять сценарии ActiveX. Для использования этих сценариев нажмите в браузере пункт меню "Сервис — Свойства обозревателя". В открывшемся окне перейдите на закладку "Безопасность", нажмите кнопку "Другой" и выставите следующие параметры (IE):
• Загрузка подписанных элементов ActiveX — Разрешить.
• Загрузка не подписанных элементов ActiveX — Отключить.
• Использование элементов ActiveX, помеченных как небезопасные — Отключить.
• Запуск элементов ActiveX и модулей подключения — Разрешить.
• Выполнять сценарии элементов ActiveX, помеченных как безопасные — Разрешить.
• Доступ к источникам данных за пределами домена — Разрешить.
• Разрешить метаобновление — Разрешить.
• Отображение разнородного содержимого — Разрешить.
• Не запрашивать сертификат клиента, когда он отсутствует или имеется только один — Запретить.
• Перетаскивание или копирование и вставка файлов — Разрешить.
• Установка элементов рабочего стола — Запретить.
• Переход между кадрами через разные домены — Разрешить.
• Разрешения канала программного обеспечения — Высокий уровень безопасности.
• Передача незашифрованных данных форм — Разрешить.
• Устойчивость данных пользователя — Разрешить.
• Активные сценарии — Разрешить.
• Разрешить операции вставки из сценария — Разрешить.
• Выполнять сценарии приложений Java — Разрешить.

Теперь дополнительно добавим в доверенную зону сервисы WebMoney, которые используются при проведении операций со своими кошельками и WMID (персональный идентификатор пользователя системы WebMoney). Для этого во вкладке "Безопасность" понадобится выбрать иконку "Надежные узлы" и нажать на кнопку "Узлы…". В появившемся окне вам необходимо ввести следующие узлы:
http://*.wmtransfer.by/
http://*.webmoney.ru/
http://*.wmtransfer.com/
http://*.paymer.com/
http://*.telepat.ru/
http://*.exchanger.ru/
http://*.megastock.ru/
http://*.megastock.com/
https://*.webmoney.ru/
https://*.wmtransfer.com/
https://*.paymer.com/
https://*.telepat.ru/
https://*.exchanger.ru/
https://*.megastock.ru/
https://*.megastock.com/

В диалоговом окне "Сервис — Свойства обозревателя" на вкладке "Дополнительно" нужно включить такие параметры:
— Проверять аннулирование сертификатов издателей.
— Проверять аннулирование сертификатов серверов.
— Проверка подписи для загруженных программ.
— SSL 3.0.
— Предупреждать о недействительных сертификатах узлов.
— Предупреждать при переадресации передаваемых форм.

Итак, одной из самых важных задач является грамотное построение пароля на вход в WebMoney Keeper Classic и контроль над персональным файлом с ключами *.kwm. Пароль устанавливается пользователем при регистрации нового WMID и должен быть крайне непредсказуемым, а файл ключей генерируется после его установки. Пароль и непосредственно файл с ключами используются для подключения к системе под вашим идентификатором. Он должен содержать не менее 8-12 символов, желательно разных регистров и по смыслу быть совершенно нейтральным к пользователю. Например: "fuD12mS32E" или "muRZ1LkkA". Если пароль трудно запомнить, то запишите его на бумагу, но не храните его у себя на компьютере. Также он не должен повторяться с паролями, которые вы используете в своей почте, на социальных сайтах или форумах. Кроме этого, время от времени необходимо менять свой пароль, так как не исключено, что на ваш компьютер может попасть кейлоггер или клавиатурный шпион, который может отслеживать вводимые с клавиатуры тексты и отправлять их через Интернет злоумышленнику. Делается это в диалоговом окне WebMoney Keeper Classic "Меню — Настройки — Программы", на вкладке "Безопасность". Для смены пароля нажмите кнопку "Сменить пароль...".

После смены пароля меняется сам файл ключей *.kwm, и старые резервные копии не подойдут. Поэтому после каждой смены пароля обязательно делайте новые копии этого файла. Обращение к файлу ключей происходит при входе в программу, поэтому рекомендуется хранить свой kwm-файл на сменных носителях: flash-дисках, дискетах или CD-дисках, так как любая попытка скопировать ключ вирусной программой будет вами замечена — вы услышите работу ваших приводов либо увидите световую индикацию на flash. Еще лучше изменить имя и расширение файла с ключами на любые другие, это можно сделать в любой момент. Например, его можно переименовать в "config.ico" или "stat.txt". Keeper Classic все равно найдет в этом файле ключи, вне зависимости от того, как он будет называться. Это связано с тем, что большинство вирусных программ осуществляют поиск файла по имени, а не по содержимому. После переименования, при очередном входе в программу Keeper'а, вам понадобится просто указать местоположение файла ключей и выбрать его.

Также предусмотрено произвольное изменение размера файла, по умолчанию он составляет 1,2 Мб, но может быть расширен до 100 Мб. Этим самым мы можем усложнить передачу файла ключей через Интернет или просто определить попытку его кражи по увеличению посылаемого трафика.

Размер файла *.kwm можно найти на вкладке "Безопасность" диалогового окна настроек WebMoney Keeper Classic. При изменении размера делать новые резервные копии kwm-файла не обязательно. Рекомендуется изменять время от времени и ключи. Для этого на вкладке "Безопасность" нажмите кнопку "Сменить ключи…", укажите новое имя файла ключей, но так, что бы оно отличалось от старого. После смены файла старые резервные копии больше не подойдут, поэтому обязательно создайте новые копии и сохраните их в "укромном уголке".

Но какими бы ухищренными не были бы методы защиты, вероятность кражи вашего кошелька остается: или по причине неграмотности пользователя, или если он вообще проигнорирует настройки безопасности софта, а также вследствие развития интеллектуальной базы самих взломщиков.

Поэтому, на случай, если ваши ключи и пароли будут похищены, предусмотрен режим активации WebMoney Keeper Classic. Данный режим контролирует доступ к WMID на новом компьютере. А именно, при первой попытке доступа к WMID на новом компьютере система отправляет специальный код активации на почтовый ящик пользователя. При этом Keeper запрашивает этот код, а пока он не введен, все операции над WMID с данного компьютера будут невозможны. Значит, если вы получили такое письмо с кодом активации — знайте, доступ к вашему WMID похищен, будьте бдительны! А также обратите внимание на адрес отправителя, а то вдруг попадете под фишинг =).
При регистрации нового WMID вам единожды будет высылаться код активации на e-mail. Режим активации можно выключать и включать в любое время на закладке "Безопасность", но только когда Keeper находится в состоянии OnLine.

Когда код отправляется в процессе регистрации, система берет e-mail, указанный пользователем в окне личных данных. После того как регистрация завершена, для отправки кода будет использоваться ящик, указанный на момент отправки в персональной информации "Меню — Настройка — О себе" (в случае, если у пользователя аттестат псевдонима) или в аттестационных данных (в случае, если у пользователя формальный аттестат).

Полный аттестат в Беларуси можно получить по адресу http://www.wmtransfer.by/attestat.asp.

Дополнительную защиту вашего кошелька можно организовать при помощи службы Security. Она позволяет вести журнал подключений, устанавливать доверенные WMID, а также блокировать посторонние IP-адреса при попытке подключиться к персональному идентификатору электронного кошелька.
Для полного просмотра своих параметров безопасности клиента обратитесь к "Меню — Инструменты — Параметры программы", далее выберите вкладку "Безопасность…" и нажмите "Просмотреть отчет…".

Самой востребованной защитой в системе безопасности WebMoney была и является блокировка по IP. Простое использование и хранение адресов на сервере ресурса делает его достаточно надежным. Здесь вы можете запретить доступ к своему WMID со всех IP-адресов, кроме списка разрешенных, то есть указываете, с каких IP вы будете подключаться к сети Интернет. Для установки этих параметров вам необходимо кликнуть на вкладку "Безопасность" главного окна приложения Keeper Classic и выбрать "Журнал IP — Блокировка по IP".

Перед включением блокировки необходимо произвести два действия: установить список разрешенных IP и указать свой e-mail. Если вы входите в Интернет по фиксированному IP (по выделенной линии), тогда ставим переключатель "Тип новой позиции" в положение "IP-адрес", вводим свой IP в поле "Значение новой позиции" и нажимаем кнопку для добавления. После этого указанный IP-адрес появится в списке разрешенных. Далее при включении блокировки доступ к WMID будет возможен только с него. Обратите внимание, что поле "Маска" в данном случае не заполняется. А если вы пользуетесь WebMoney с нескольких различных адресов — добавьте их все в этот список.

При активации этой функции любая попытка получить доступ к вашему WMID с IP-адреса, не включенного в список, вызовет ошибку подключения. При регистрации попытки несанкционированного доступа на указанный вами e-mail будет отправлено письмо следующего содержания:
"К Вашему идентификатору осуществлена попытка доступа с IP-адреса — xxx.xxx. xx.xxx, которого нет в списке IP-адресов, разрешенном Вами для авторизации в системе на сайте https://securtiy.webmoney.ru. Если это Вы осуществляете доступ, то по приведенной ниже ссылке Вы сможете снять блокировку https://security.webmoney.ru/asp/unblockiplist.asp? wmid= xxxxxxxxx&wmcode=xxxxxx".

В этом случае проверьте правильность указания своего IP. А если вы просто зашли с другого компьютера, то вам достаточно перейти по ссылке снятия блокировки и добавить новый адрес. В худшем случае ваш пароль и ключи были украдены злоумышленниками, поэтому вам необходимо проверить свой компьютер антивирусной программой с последней антивирусной базой. После проверки создайте новый ключ и смените пароль. Учтите, что ваш почтовый ящик должен находиться в надежном домене, со стабильной работой почтового ресурса, иначе вы рискуете не получить письмо от сервиса WebMoney. В противном случае доступ к нему вы сможете вернуть только через Арбитраж системы, и затянется этот процесс на неизвестный срок! =(

Журнал подключений

Здесь все просто. На странице "Журнал IP" показан список подключений вашего WMID к серверу системы. Записи в таблице отсортированы по времени: вверху более поздние подключения, внизу — более ранние. Здесь можно сделать выборку по дате подключения и по IP, с которого были совершены входы в программу. Список соединений хранится только последние 30 дней, поэтому более раннюю историю просмотреть вы не сможете. В результате, в любой момент можно просмотреть, с каких IP-адресов и когда совершались подключения. Эта информация помогает при настройке функции блокировки по IP, а также при проведении "расследования" Арбитражем и самим пользователем в отношении нарушителей.

Установка доверенных WMID

Этот ресурс служит только web-разработчикам. Ими в системе WebMoney реализованы специальные xml-интерфейсы, позволяющие интернет-магазинам или различным информационным службам (сотовая связь, интернет-провайдеры и т.д.) принимать оплату за товары или услуги, выписывать счета и проверять их оплату, а также совершать другие действия автоматически, без участия пользователя. Но работает эта служба только со специальным модулем WMSigner, который производит электронно-цифровую подпись (ЭЦП) каждой операции при вызове интерфейса. Проверяя ЭЦП, сервер WebMoney устанавливает соответствие подписи WM-идентификатору, от имени которого она была сформирована. Это позволяет совершать операции в системе только от имени зарегистрированного WMID. Таким способом вы можете разрешать доверенным WM-идентификаторам подписывать запросы на выполнение тех или иных финансовых операций и формировать ЭЦП от их имени.

Знайте, что WebMoney никогда не просит посетителей своего сайта указать месторасположение файла с ключами или ввести пароль к WMID на странице ресурса, а не в самом клиенте. Если у вас именно такой случай, значит, вы попали на трояна, который изменил системный файл Windows. Для предупреждения такой ситуации вы должны время от времени следить за файлами в каталоге: C:\Windows\system32\drivers\etc\lmhosts.host и просто hosts. Желательно скопировать их как можно раньше (сразу после установки операционной системы) и хранить на сменном диске. А когда произойдет такая ситуация, вам всего лишь придется заменить их старыми копиями, предварительно отключившись от Интернета. Также можете выставить в свойствах этих файлов атрибут "Только чтение".

В дополнение ко всему, для защиты компьютера я советую не только использовать антивирус и фаерволл, но и клавиатурные антишпионы (Anti-Keylogger, Keylogger Killer и т.д.), а также программы против троянских вирусов (Spybot, Trojan Remover, Tauscan).

Не скачивайте и не запускайте подозрительные программы, пришедшие к вам на электронную почту, храните важные файлы и сведения только на сменных носителях, не скачивайте с сайтов сомнительные антивирусы или другие неизвестные программы, внимательно следите за содержимым интернет-ресурсов и правильностью вводимого адреса.

Андрей Зайцев http://sa-sec.org

Андрей Зайцев http://sa-sec.org


Компьютерная газета. Статья была опубликована в номере 25 за 2009 год в рубрике безопасность

©1997-2024 Компьютерная газета